La gestione della superficie di attacco degli asset cyber (cyber asset attack surface management, CAASM) è un approccio emergente a un elemento fondamentale della strategia di cybersecurity: avere una visione completa dei propri asset cyber per poter identificare le vulnerabilità che gli attori malevoli potrebbero sfruttare.
Per il personale delle operations IT, il CAASM probabilmente ricorderà molto da vicino l'IT Asset Management (ITAM). Questo perché le due discipline sono strettamente correlate, evidenziando con chiarezza come sicurezza e IT ops possano e debbano fare leva su strumenti e processi condivisi.
ITAM vs. CAASM: qual è la differenza?
L'ITAM è un insieme di processi e strumenti per gestire tutti gli asset IT, inclusi hardware e software, lungo tutto il loro ciclo di vita. Normalmente comprende un'ampia gamma di workflow, tra cui discovery degli asset, gestione dell'inventario, mappatura dei servizi, tracciamento e monitoraggio degli asset e gestione del ciclo di vita degli asset.
Il CAASM amplia l'ITAM identificando e mitigando potenziali vulnerabilità e minacce ai sistemi, alle reti e alle applicazioni della tua organizzazione. Il processo prevede in genere l'identificazione di tutti gli asset all'interno dell'ambiente IT, la mappatura delle interdipendenze tra questi asset e la valutazione del potenziale impatto di una violazione.
L'obiettivo è offrire alla tua organizzazione una comprensione chiara della potenziale superficie di attacco e dare priorità agli interventi di remediation in base ai rischi più significativi. Ed è proprio ciò che i team desiderano: il 44% dei team di cybersecurity considera le informazioni sugli asset fondamentali per identificare e proteggere le superfici di attacco.
I vantaggi dell'ITAM per la sicurezza
L'importanza dell'ITAM per la sicurezza non è una novità per i leader IT. Un sondaggio del 2022 condotto da EMA tra i leader IT ha rilevato che quasi la metà misura il successo del proprio programma ITAM in base alla riduzione dei rischi di sicurezza. Analizzare l'ITAM attraverso la lente della sicurezza evidenzia diversi vantaggi direttamente collegati al CAASM:
Identificazione degli asset
Una soluzione ITAM pienamente implementata consente alla tua organizzazione di identificare e tracciare tutti gli asset IT. Sapere quali asset sono presenti nell'ambiente è il primo passo per identificare potenziali vulnerabilità e minacce.
Gestione delle vulnerabilità
Senza un inventario completo degli asset IT, la tua organizzazione si troverà di fronte a lacune quando tenterà di condurre valutazioni periodiche delle vulnerabilità, identificare potenziali vulnerabilità e affrontarle in modo proattivo.
Assegnazione delle priorità alle misure di sicurezza
Sapere quali sono tutti gli elementi e dove si trovano è un ottimo punto di partenza, ma allocare efficacemente le risorse a supporto della gestione del rischio significa sapere quali asset sono più critici. Un insieme ben definito di processi ITAM e sistemi ITAM efficaci fornisce alla tua organizzazione le informazioni necessarie per dare priorità alle misure di sicurezza.
Classificando gli asset per tipologia, i team di cybersecurity possono concentrarsi maggiormente sugli asset a rischio più elevato, come cloud e SaaS, mantenendo al contempo un controllo appropriato sugli asset a rischio relativamente più basso, come i dispositivi edge.
E sebbene siano meno direttamente collegati al CAASM, l'ITAM contribuisce anche a rafforzare la sicurezza in altre aree:
Conformità
Esiste un ampio corpus di normative – CCPA, GDPR, POPI, Castle e altre – che richiedono alle aziende di mantenere un inventario accurato dei propri asset IT e dimostrare la conformità a vari standard di sicurezza.
Risparmio sui costi
Per quanto riguarda gli asset IT, la gestione dei costi è strettamente correlata alla gestione dell'utilizzo. Ad esempio, quasi un terzo dei leader IT intervistati ritiene di sprecare budget in risorse cloud inutilizzate o sottoutilizzate. Una spesa gestita in modo inadeguato rappresenta di per sé un rischio per le organizzazioni IT e aggrava i problemi di cybersecurity limitando le risorse disponibili per affrontare le criticità di sicurezza.
Creare una soluzione CAASM che garantisca la sicurezza degli asset
Combinando l'ITAM con la gestione del rischio degli asset cyber, una soluzione CAASM può proteggere i singoli asset, così come l'intera superficie degli asset cyber, da un'ampia gamma di minacce e vulnerabilità. Esaminiamo più da vicino i componenti che costituiscono uno stack di soluzioni CAASM efficace:
Discovery e gestione degli asset
Abbiamo già visto che l'ITAM è un componente critico della soluzione CAASM. Per implementare con successo l'ITAM sono necessari strumenti di discovery in grado di analizzare la rete per identificare tutti i dispositivi connessi, inclusi quelli che potrebbero essere nascosti o sconosciuti.
Il database degli asset della soluzione ITAM, spesso associato alla CMDB (vedi sotto), può quindi fornire un repository centrale per gestire tutte le informazioni sugli asset, inclusi attributi degli asset, configurazioni e mappatura di relazioni e dipendenze.
Gestione delle vulnerabilità
La gestione delle vulnerabilità include strumenti e tecnologie che consentono alla tua organizzazione di identificare e assegnare priorità alle vulnerabilità all'interno degli asset IT. Gli strumenti di scansione delle vulnerabilità eseguono scansioni periodiche dell'ambiente per identificare potenziali vulnerabilità in hardware, software e configurazioni. Questi strumenti assegnano quindi le priorità alle vulnerabilità in base alla gravità e forniscono raccomandazioni di remediation per affrontarle in modo proattivo.
Threat intelligence
La threat intelligence include strumenti e tecnologie che forniscono informazioni in tempo reale su minacce e tendenze emergenti. Questi strumenti monitorano un'ampia gamma di fonti, tra cui feed pubblici e privati, social media e forum del dark web, per identificare potenziali minacce e vettori di attacco. Puoi utilizzare queste informazioni per dare priorità alle misure di sicurezza e affrontare in modo proattivo le potenziali minacce.
Configuration Management Database (CMDB)
La CMDB è un repository centrale di tutti i servizi, gli asset e gli altri elementi di configurazione presenti nell'ambiente IT. Include sia un inventario di questi elementi sia le relative relazioni e dipendenze. La CMDB consente alla tua azienda di monitorare e gestire tutte le modifiche agli asset, assicurando che vengano apportate in modo controllato e documentato.
Integrando la CMDB con strumenti di gestione delle vulnerabilità e threat intelligence, le aziende possono dare priorità alle misure di sicurezza in base alla criticità degli asset e alle loro relazioni.
Lo stack di soluzioni CAASM è un insieme completo di strumenti e tecnologie che consente alle aziende di identificare e mitigare in modo proattivo potenziali vulnerabilità nei propri asset IT. Combinando discovery degli asset e gestione dell'inventario, gestione delle vulnerabilità, threat intelligence e CMDB, la tua azienda può anticipare le potenziali minacce informatiche e mantenere al sicuro gli asset IT critici.