La gestione della superficie di attacco esterna (EASM) è un approccio alla cybersecurity incentrato sull'identificazione, il monitoraggio e la mitigazione dei rischi associati a dati, sistemi e tecnologie connessi al mondo esterno.
La superficie di attacco di un'organizzazione è l'insieme totale di vulnerabilità, punti di accesso e vettori di attacco che i malintenzionati possono utilizzare per ottenere l'accesso non autorizzato a sistemi e dati. È ciò che i criminali prendono di mira quando vogliono interrompere i sistemi, rubare dati, estorcere un riscatto o intraprendere qualsiasi altro tipo di azione dannosa.
Ogni organizzazione ha una superficie di attacco interna ed esterna. La superficie di attacco interna comprende tutto ciò che costituisce l'ambiente di rete interno: infrastruttura, dispositivi, applicazioni, utenti e altro ancora.
La superficie di attacco esterna, come suggerisce il nome, è tutta la tecnologia che affronta e si interfaccia con il mondo esterno tramite Internet, servizi cloud, connettività mobile e simili. Include anche connessioni con fornitori di terze parti, partner, venditori e lavoratori da remoto.
La gestione della superficie di attacco esterna (EASM) è il processo di protezione delle risorse, delle tecnologie e delle risorse esposte verso l'esterno. Richiede particolare attenzione perché così tante minacce provengono da organizzazioni esterne e perché la superficie di attacco esterna in particolare è più dinamica e complessa che mai. Un'organizzazione in grado di gestire in modo proattivo la sua superficie di attacco esterna è in grado di rafforzare notevolmente il suo stato di sicurezza.
Gestione della superficie di attacco esterna vs. gestione della superficie di attacco
Attack Surface Management (ASM) è un termine generico che copre la superficie di attacco totale, interna ed esterna. La gestione della superficie di attacco esterna si concentra solo sui rischi esterni. Entrambi i tipi di gestione della superficie di attacco hanno tre dimensioni, digitale, fisica e sociale/umana, e richiedono un processo continuo in tre fasi di scoperta, valutazione e mitigazione.
Perché l'EASM è importante?
L'EASM è diventato sempre più importante poiché le reti sono diventate interconnesse e aperte. Sono finiti i tempi in cui gateway e firewall potevano tenere fuori i malintenzionati in modo affidabile, con il supporto di test di vulnerabilità e penetrazione di routine. Oggi, le reti hanno meno "confini rigidi" da proteggere in questi modi tradizionali, creando abbondanti nuove opportunità per i cyber criminali di accedere a sistemi e dati e fare del male.
Allo stesso tempo, l'IT aziendale è diventato altamente decentralizzato. Le business unit e i singoli utenti possono attivare le risorse cloud senza l'aiuto del reparto IT. Le applicazioni e i servizi Shadow IT sono in continua crescita e molti lavoratori utilizzano dispositivi personali sulle reti aziendali o per scopi lavorativi.
Tutto questo significa che la superficie di attacco esterna presenta più vulnerabilità che mai e richiede un approccio concertato e completo alla gestione del rischio informatico. EASM visualizza l'intera superficie di attacco esterna, consentendo il monitoraggio e la mitigazione continui. Ciò consente ai team di cybersecurity di capire dove le loro organizzazioni sono più a rischio e di agire per fare qualcosa al riguardo.
Da cosa protegge EASM?
La maggior parte dei vettori di attacco (metodi di conduzione di un attacco informatico) prende di mira la superficie di attacco esterna. Tra i più comuni figurano ransomware e schemi di phishing, nonché incursioni mirate a rubare dati privati o di valore elevato o a interrompere i sistemi operativi. EASM aiuta i team di sicurezza a ridurre la superficie di attacco esterna in modo che vettori come questi abbiano meno opportunità di entrare nell'ambiente aziendale.
EASM consente inoltre alle organizzazioni di conformarsi alle leggi e alle normative sulla privacy e sulla protezione dei dati, offrendo una maggiore visibilità sulla superficie di attacco esterna e consentendo ai team di sicurezza di prevenire o contenere le violazioni.
Esempi di elementi esterni della superficie di attacco
Qualsiasi sistema o servizio accessibile da Internet può far parte della superficie di attacco esterna. Ogni organizzazione avrà il proprio mix specifico di dispositivi e tecnologie che sono rivolti verso l'esterno e potenzialmente esposti. Alcuni comuni includono:
- Applicazioni Web: Qualsiasi azienda con un sito di e-commerce o un motore di prenotazione esegue un'applicazione web (app web). Ciò rende le app web una parte importante delle superfici di attacco esterne di molte organizzazioni, accessibili a chiunque disponga di una connessione Internet. Se un'app web è configurata in modo errato o mal protetta, un malintenzionato può utilizzare tali vulnerabilità per distribuire malware, rubare dati o accedere ai sistemi aziendali di back-end connessi all'app web.
- Servizi cloud: I servizi cloud e l'infrastruttura virtualizzata offrono alle organizzazioni l'accesso a risorse di elaborazione convenienti, flessibili e altamente scalabili. Ma poiché richiedono una connessione di rete esterna affinché un'organizzazione possa utilizzarle, sono esposte e potenzialmente vulnerabili agli attacchi. Come per le app web, quando l'infrastruttura cloud è configurata in modo improprio, gli hacker possono sfruttare tali punti deboli.
- Sistemi di accesso remoto: L’ampia diffusione del lavoro da remoto e ibrido durante e dopo la pandemia richiede ai lavoratori di accedere ai sistemi e ai dati aziendali dalle loro reti domestiche o da reti potenzialmente non sicure mentre sono in viaggio. Le tecnologie utilizzate per proteggere tali connessioni, come le reti private virtuali (VPN), sono state prese di mira dagli aggressori in quanto rappresentano un modo per accedere agli ambienti IT aziendali.
- Dispositivi Internet of Things (IoT): Molte aziende ed edifici sono ora abilitati all'IoT per tutto, dai controlli ambientali ai sistemi di sicurezza, comprese le case dei lavoratori e gli uffici domestici. Questi dispositivi costituiscono anche una parte crescente della superficie di attacco esterna.
Un'altra area di esposizione esterna che le organizzazioni devono tenere in considerazione nelle loro strategie EASM riguarda le relazioni con i fornitori di terze parti. Molte aziende dipendono da terze parti per servizi commerciali, finanziari e tecnici, come i provider di servizi gestiti (MSP) per i partner IT e di elaborazione dei pagamenti. Qualsiasi connettività tra tali terze parti e le risorse IT dell'organizzazione può essere un potenziale obiettivo per gli aggressori.
Come funziona l'EASM?
Come la gestione complessiva della superficie di attacco (ASM), l'EASM prevede un processo continuo e ripetuto di scoperta, valutazione e mitigazione.
Scoperta
Una piattaforma di cybersecurity con funzionalità esterne di gestione della superficie di attacco dovrebbe essere in grado di identificare tutte le risorse rivolte verso l'esterno, comprese quelle che potrebbero non essere incluse negli inventari esistenti. Le risorse e gli elementi scansionati come parte del processo di rilevamento includono servizi cloud, app web, indirizzi IP, domini e altro ancora. Una soluzione EASM può anche scoprire applicazioni shadow IT nel cloud che rappresentano lacune totali nella cybersecurity (“unknown unknowns”).
Valutazione
Dopo la scoperta, la soluzione EASM può essere utilizzata per valutare i rischi della superficie di attacco esterna. Ciò include in genere la ricerca di configurazioni errate, software senza patch, sistemi obsoleti, vulnerabilità note e potenziali e altro ancora. Una volta identificate in questo modo, le vulnerabilità possono essere classificate in base al loro livello relativo di rischio (noto come punteggio di rischio). Ciò offre all'organizzazione un modo per determinare quali rischi sono più urgenti o significativi in modo che le risorse possano essere allocate di conseguenza per rispondere.
Mitigazione
La mitigazione può comportare la disattivazione di hardware obsoleti, l'aggiornamento e l'applicazione di patch ai software, la correzione di configurazioni errate, la gestione delle applicazioni shadow IT e altro ancora. Nell'ambito del processo EASM in corso, la superficie di attacco esterna deve essere monitorata continuamente in modo che, con il cambiamento dell'ambiente IT e del panorama delle minacce, l'organizzazione possa essere proattiva e mantenere un solido stato di sicurezza.
Quali sono i vantaggi di EASM?
EASM offre una serie di vantaggi correlati alle organizzazioni:
- Visibilità: EASM offre alle organizzazioni una visione completa delle loro risorse tecnologiche rivolte verso l'esterno, scoprendo vulnerabilità precedentemente sconosciute per consentire una difesa informatica più forte e completa.
- Efficacia: EASM contribuisce a una risposta agli incidenti più rapida e precisa grazie a un rilevamento più rapido delle minacce e a un quadro più completo dell'ambiente IT, consentendo di contenere le minacce in modo più rapido e completo.
- Conformità: Le organizzazioni di molti settori sono tenute a rispettare i quadri legali e normativi per la protezione dei dati e la privacy. EASM supporta la conformità come parte di un buon approccio complessivo alla gestione del rischio cyber.
Tutti questi elementi combinati forniscono una strategia di sicurezza complessiva più solida basata sull'intelligence in tempo reale e su risposte di cybersecurity mirate.
In che modo l'EASM si adatta alla gestione del rischio cyber?
La gestione del rischio informatico è un modo per migliorare la consapevolezza situazionale in materia di cybersecurity di un'organizzazione, identificando, dando priorità e mitigando le minacce. L'EASM è solo una piccola parte di un quadro generale di gestione del rischio informatico.
In generale, la gestione del rischio cyber mira ad aiutare le organizzazioni a essere più proattive nell'identificare e gestire le minacce, con misure e controlli di sicurezza personalizzati per soddisfare le esigenze specifiche, il contesto del settore e l'ambiente delle minacce dell'azienda in questione. Il suo obiettivo è consentire una visione in tempo reale delle minacce attraverso il monitoraggio e le valutazioni continue, e garantire che tutti i dipendenti condividano la stessa mentalità proattiva sulla cybersecurity.
Le fasi della gestione del rischio informatico sono le stesse dell'EASM: scoperta, valutazione e mitigazione.
Una soluzione completa di gestione dell'esposizione al rischio informatico includerà ASM, EASM, gestione della superficie di attacco delle risorse informatiche (CAASM), | gestione del rischio di vulnerabilità, postura di sicurezza, quantificazione del rischio di conformità e valutazione del rischio, nonché policy, procedure e altri componenti correlati alla governance per garantire obiettivi chiari e follow-through coerente.
Dove posso trovare aiuto con EASM?
L'EASM è una parte importante dell'ASM, ma per creare una vera resilienza al rischio, le organizzazioni necessitano di una serie di funzionalità all'avanguardia per l'esposizione al rischio informatico, come l'EASM, la gestione della superficie di attacco degli asset informatici (CAASM), la gestione delle vulnerabilità e la gestione della postura di sicurezza. Trend Vision One offre una soluzione di Cyber Risk Exposure Management che combina tutte queste funzionalità per consentire di monitorare continuamente i punti di ingresso, dare priorità alle azioni di mitigazione in base all'impatto, tradurre i rischi in termini finanziari e prevedere le minacce future per neutralizzare i rischi prima che si concretizzino.
Scopri di più su come Cyber Risk Exposure Management può aiutarti ad andare oltre la semplice gestione della superficie di attacco.