Punti Chiave
L’individuazione della superficie di attacco è un processo che include la classificazione dei tipi di asset in base al livello di visibilità, quindi l’utilizzo di software, come strumenti di individuazione, strumenti di gestione della superficie di attacco esterna e altri, per colmare le lacune di visibilità e identificare le vulnerabilità. L’individuazione della superficie di attacco è un elemento fondamentale per una solida postura di sicurezza ed è un primo passo critico nella gestione dell’esposizione. La tua superficie di attacco comprende elementi digitali, fisici e umani. Una volta identificata la superficie di attacco, puoi valutare e assegnare priorità alle vulnerabilità in linea con la propensione al rischio della tua organizzazione, per concentrare efficacemente gli sforzi di correzione.Proprio come un prato dopo una bella pioggia, la tua superficie di attacco crescerà rapidamente se non viene tenuta sotto controllo. E all’aumento delle dimensioni della superficie di attacco corrisponde un aumento del rischio di cybersecurity. Sebbene il rischio non possa essere eliminato del tutto (perché le superfici di attacco sono in continua evoluzione), puoi gestirlo per mantenere i livelli di rischio complessivi in linea con la tua propensione al rischio.
Perché l’individuazione della superficie di attacco è così importante?
La gestione del rischio di cybersecurity inizia con l’identificazione della superficie di attacco della tua organizzazione. Più nello specifico, devi identificare ciò che si nasconde sotto la superficie: endpoint, vulnerabilità e altri vettori di attacco che espongono il tuo ambiente.
I principali framework di sicurezza concordano sul fatto che l’individuazione della superficie di attacco sia essenziale per una solida postura di sicurezza. Ad esempio, la prima Funzione del National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) Versione 1.1 è Identify, e il NIST afferma: “Le attività nella Funzione Identify sono fondamentali per un uso efficace del Framework”. Analogamente, CIS Controls v8 include i seguenti Controlli:
- Controllo 1 — Inventario e controllo degli asset aziendali
- Controllo 2 — Inventario e controllo degli asset software
- Controllo 7 — Gestione continua delle vulnerabilità
In parole semplici, non puoi difendere ciò che non sai di avere. Ma come fai a capire di che cosa disponi?
Come iniziare con l’individuazione della superficie di attacco?
L’individuazione della superficie di attacco richiede di osservare la tua organizzazione dal punto di vista di un attaccante, per individuare asset sfruttabili e vulnerabilità associate.
La tua superficie di attacco ha tre componenti: una superficie di attacco digitale, una superficie di attacco fisica e una superficie di attacco umana. Qui ci concentreremo principalmente sull’individuazione della superficie di attacco digitale, pur accennando brevemente anche agli altri due aspetti.
La tua superficie di attacco digitale include gli asset IT tradizionali — hardware, come endpoint e server, oltre alle applicazioni software — e gli asset esterni esposti a Internet, come applicazioni web, IP, nomi di dominio, certificati SSL e servizi cloud.
Il primo passo consiste nel censire ogni elemento della superficie di attacco digitale e identificare le lacune di visibilità. Puoi classificare ogni elemento come segue:
- Noto noto: asset cyber che sai far parte della tua superficie di attacco.
- Noto ignoto: asset cyber che sai far parte della tua superficie di attacco, ma sui quali potresti non avere visibilità e/o che non hai sotto gestione.
- Ignoto ignoto: asset cyber che potrebbero far parte o meno della tua superficie di attacco: non lo sai.
- N/D: asset cyber che sai con certezza al 100% non far parte della tua superficie di attacco.
Per una panoramica più completa degli elementi della tua superficie di attacco, usa la nostra checklist modificabile per la superficie di attacco per effettuare l’inventario.
Strumenti per individuare e gestire la superficie di attacco
Il passo successivo, dopo aver classificato le tipologie di asset, è capire quali strumenti o approcci ti consentiranno di colmare le lacune di visibilità, trasformando i noti ignoti e gli ignoti ignoti in noti noti.
Esistono soluzioni più specifiche che rientrano nell’ampio ambito della gestione della superficie di attacco — cyber asset attack surface management (CAASM), external attack surface management (EASM) e digital risk protection services (DRPS). Questi strumenti aggregano i risultati per identificare più facilmente le vulnerabilità; alcuni offrono anche funzionalità per assegnare priorità e correggere tali vulnerabilità, consentendoti di agire rapidamente sugli insight relativi alla superficie di attacco e ridurre il rischio.
Tuttavia, le organizzazioni avevano bisogno di individuare e gestire le proprie superfici di attacco digitali già prima che fossero disponibili le soluzioni ASM. Al posto delle soluzioni ASM, molte organizzazioni hanno adottato — e continuano ad adottare — altri approcci per farlo.
| Approccio | Descrizione | Pro | Contro |
|---|---|---|---|
| Strumenti di individuazione degli asset | Individuano e inventariano gli asset hardware e software che si connettono alla rete. | Già implementati nella maggior parte delle organizzazioni. Meglio dei fogli di calcolo. | Possono presentare punti ciechi, come shadow IT, sistemi di terze parti e applicazioni line-of-business. |
| Simulazione di violazioni e attacchi (BAS) | Testa automaticamente i vettori di minaccia per comprendere più a fondo le vulnerabilità della postura di sicurezza e convalidare i controlli di sicurezza. | Genera report sui gap di sicurezza e assegna priorità agli interventi di correzione in base al rischio. | Si concentra solo sugli attacchi noti. Non fornisce funzionalità di correzione. |
| Cloud security posture management (CSPM) | Comprende i cambiamenti nelle configurazioni cloud. | Offre visibilità in tempo reale sulle configurazioni cloud. | Non rileva quando le configurazioni si discostano dalla conformità né il potenziale impatto delle minacce emergenti. |
| Configuration management database (CMDB) | Tiene traccia delle modifiche apportate ai sistemi. | Già implementato nella maggior parte delle organizzazioni. | Non rileva quando le configurazioni si discostano dalla conformità né il potenziale impatto delle minacce emergenti. |
| Approccio sviluppato internamente | Combina fogli di calcolo, script e processi manuali per gestire la superficie di attacco. | Economico o gratuito dal solo punto di vista dei costi (senza considerare le ore degli analisti). | Richiede molto tempo ed è soggetto a errori. Non è scalabile né in tempo reale. |
| IT asset management (ITAM) | Tiene traccia degli asset e li monitora lungo tutto il loro ciclo di vita. | Già implementato nella maggior parte delle organizzazioni. Meglio dei fogli di calcolo. | Copre solo gli asset noti e gestiti, trascurando le componenti sconosciute o non gestite della superficie di attacco. |
| Penetration testing (ad es. strumenti di penetration testing automatizzato e penetration testing as a service) | Identifica le vulnerabilità all’interno della rete e delle applicazioni simulando un cyberattacco. | Fornisce esempi della postura di sicurezza e delle relative priorità di budget. | Si concentra solo sulla prima fase della cyber kill chain: la ricognizione. Inoltre, i risultati sono in genere puntuali e validi solo quanto lo sono i penetration tester che eseguono la simulazione. |
| Red teaming | Fornisce un quadro completo della postura di cybersecurity di un’organizzazione attraverso una simulazione di cyberattacco contro reti, applicazioni, misure di protezione fisiche e dipendenti. | Va oltre il penetration testing concentrandosi su altre fasi della cyber kill chain. Inoltre, va oltre la superficie di attacco digitale e tocca anche le superfici di attacco fisica e umana. | I risultati sono in genere puntuali e validi solo quanto lo sono i penetration tester che eseguono la simulazione. |
| Threat intelligence | Accede a informazioni su minacce e altre problematiche di cybersecurity. | Fornisce agli esperti di sicurezza intelligence su minacce e vulnerabilità. | Pensata per organizzazioni con operazioni di sicurezza molto mature, composte da personale qualificato e risorse estese. |
| Strumenti di gestione delle vulnerabilità (ad es. scanner) | Identificano e gestiscono le vulnerabilità all’interno dell’infrastruttura e delle applicazioni. | Già implementati nella maggior parte delle organizzazioni. | Nessuna visibilità sugli asset sconosciuti. Quantità di dati eccessive. |
Sebbene questi metodi non offrano tutte le funzionalità di una soluzione ASM appositamente progettata, svolgono comunque un ruolo importante nelle pratiche IT e di sicurezza di un’organizzazione.
Di fatto, gli strumenti CAASM non possono funzionare senza i dati provenienti da strumenti di individuazione degli asset, ITAM, gestione delle vulnerabilità e/o gestione delle patch. Allo stesso modo, EASM integra i servizi di threat intelligence e security testing elencati sopra.
Come identificare la superficie di attacco fisica della mia organizzazione?
La prima componente principale della superficie di attacco fisica della tua organizzazione si sovrappone alla superficie di attacco digitale. Viene definita superficie di attacco degli endpoint ed è composta principalmente da tutti gli endpoint che si connettono alla rete: computer desktop, laptop, dispositivi mobili e dispositivi IoT. Gli strumenti e le tecniche che utilizzi per individuare la superficie di attacco digitale si applicano anche in questo caso.
La seconda componente principale della superficie di attacco fisica è costituita da uffici, data center e altre strutture. Anche in questo caso, le tecniche già utilizzate per identificare la superficie di attacco digitale si sovrappongono alla superficie di attacco fisica. Nello specifico, si tratta della componente di penetration testing fisico del red teaming.
Come identificare la superficie di attacco umana della mia organizzazione?
L’identificazione della superficie di attacco umana inizia dall’analisi dell’organigramma. Chiunque sia associato alla tua organizzazione e possa accedere a informazioni sensibili — o impedire ad altri di accedervi — contribuisce alla superficie di attacco umana. Questo include non solo i dipendenti a tempo pieno, ma anche quelli part-time, i membri del consiglio di amministrazione, i collaboratori esterni, i partner, i vendor, i fornitori, il personale temporaneo e altri soggetti.
Il red teaming, una pratica utilizzata per identificare elementi sia della superficie di attacco digitale sia di quella fisica, può essere usato anche per identificare una componente importante della superficie di attacco umana: la suscettibilità dei dipendenti al social engineering.
L’assegnazione impropria dei privilegi utente è un altro fattore importante che contribuisce alle superfici di attacco umane. Esaminare i sistemi e i dati a cui hanno accesso le persone che contribuiscono alla superficie di attacco umana, insieme ai livelli di accesso di cui dispongono, è un altro modo per identificarne alcune parti.
Ho identificato la superficie di attacco della mia organizzazione. E adesso?
Individuare la superficie di attacco è il primo passo verso l’obiettivo finale: correggere le vulnerabilità che comportano il rischio maggiore per la tua organizzazione. Nel suo complesso, questo processo è chiamato gestione dell’esposizione.
L’individuazione della superficie di attacco, come abbiamo già visto, è una delle basi della strategia di sicurezza: se non sai che esiste, non puoi proteggerla. La gestione dell’esposizione aggiunge un ulteriore pilastro fondamentale: determinare la tua propensione al rischio. Questo definisce quanto rischio la tua organizzazione è disposta ad assumersi nel perseguire i propri obiettivi. (Puoi utilizzare questo modello modificabile per la dichiarazione della tua propensione al rischio.)
Una volta affrontati questi due elementi fondamentali, puoi valutare le vulnerabilità individuate nella tua superficie di attacco per determinare quanto rischio comportano per la tua organizzazione e se rientrano nella tua propensione al rischio (un processo che approfondiamo in questa guida alla valutazione oggettiva del rischio cyber).
Le vulnerabilità che superano la tua propensione al rischio sono le priorità di correzione, consentendoti di concentrare gli sforzi dove hanno il maggiore impatto.
FAQ
Che cos’è una superficie di attacco?
La tua superficie di attacco è l’insieme di tutti i potenziali punti di ingresso che possono essere utilizzati per accedere a un ambiente IT allo scopo di lanciare un cyberattacco.
Quali sono le componenti della superficie di attacco?
La tua superficie di attacco include una superficie di attacco digitale (asset IT tradizionali e asset esterni esposti a Internet), una superficie di attacco fisica (hardware e strutture) e una superficie di attacco umana.
Ivanti vende prodotti che aiutano a individuare e gestire la mia superficie di attacco?
Sì, Ivanti Neurons for Discovery, Ivanti Neurons for Risk-Based Vulnerability Management, Ivanti Neurons for External Attack Surface Management e Ivanti Neurons for Application Security Posture Management possono tutti contribuire all’individuazione e alla gestione della tua superficie di attacco.
