Il gergo IT spiegato

Che cos’è una superficie di attacco?

Una superficie di attacco è l’insieme dei potenziali punti di accesso che possono essere utilizzati per accedere a un ambiente IT, in genere allo scopo di lanciare un attacco informatico.

La “superficie di attacco” è un concetto che di recente ha suscitato un interesse crescente. Google Trends mostra una crescita costante di “superficie di attacco” come termine di ricerca negli ultimi cinque anni. 

Google Trends results for 'attack surface' from April 2018 to April 2023

Risultati di Google Trends per “superficie di attacco” da aprile 2018 ad aprile 2023

La crescita dell’interesse verso il tema delle superfici di attacco coincide logicamente con l’espansione delle superfici di attacco reali. Due terzi delle organizzazioni affermano che le proprie superfici di attacco sono cresciute nell’ultimo anno. L’espansione del lavoro da remoto e il maggiore utilizzo di risorse accessibili da Internet, come applicazioni cloud ed endpoint IoT, sono tra i principali fattori trainanti.

La situazione è arrivata a un punto in cui per i professionisti IT e della sicurezza è fondamentale non solo conoscere l’argomento, ma anche essere in grado di intervenire per identificare, gestire e ridurre le superfici di attacco della propria organizzazione.  

Serie di report di ricerca sullo stato della cybersecurity

Report 2024 sulla gestione della superficie di attacco

Le superfici di attacco delle organizzazioni si stanno espandendo rapidamente. La ricerca di Ivanti esamina la portata del problema e le strategie per una gestione completa della superficie di attacco.

Report ASM

Che cos’è una superficie di attacco nella cybersecurity? 

Come per qualsiasi concetto tecnico, quando si parla di superfici di attacco è importante comprendere la terminologia associata, in modo che tutte le parti utilizzino un linguaggio comune. Per questo motivo, inizieremo da qui la nostra panoramica sulle superfici di attacco.

Le definizioni di “superficie di attacco” sono diverse. Ecco alcune definizioni fornite da autorità di riferimento nel campo della cybersecurity: 

Definiremo “superficie di attacco” come l’insieme dei potenziali punti di accesso che possono essere utilizzati per accedere a un ambiente IT, in genere allo scopo di lanciare un attacco informatico. Questi punti di accesso possono essere digitali, fisici o umani. 


Scopri di più: 8 best practice per ridurre la superficie di attacco della tua organizzazione

Che cos’è una superficie di attacco digitale?

Le superfici di attacco digitali comprendono tutto ciò che espone l’infrastruttura e i sistemi IT di un’organizzazione, sia nel cloud sia on-premise, a soggetti esterni con connessioni Internet. In altre parole, i punti di accesso digitali al tuo ambiente. 

Alcuni considerano le superfici di attacco digitali sostanzialmente come superfici di attacco di rete, poiché comprendono tutto l’hardware e il software connessi alla rete di un’azienda. Tuttavia, i componenti che costituiscono una superficie di attacco digitale sono molteplici e vari. Oltre a “hardware” e “software”, tali componenti includono, a titolo esemplificativo ma non esaustivo: 

  • Codice. 
  • Applicazioni e server esposti a Internet. 
  • Configurazioni errate di sistemi, risorse e strumenti IT. 
  • Risorse IT obsolete, come dispositivi e applicazioni. 
  • Password. 
  • Porte. 
  • Punti di accesso non autorizzati. 
  • Shadow IT. 
  • Database condivisi. 
  • Directory condivise. 
  • Vulnerabilità in software, firmware e sistemi operativi. 
  • Siti web. 

Gli aggressori possono sfruttare tutti questi elementi per accedere a un ambiente IT. 

Che cos’è una superficie di attacco fisica? 

Le superfici di attacco fisiche si riferiscono a qualsiasi oggetto fisico che potrebbe essere preso di mira da attori malevoli. Così come alcuni considerano le superfici di attacco digitali come superfici di attacco di rete, sarebbe quasi corretto classificare le superfici di attacco fisiche come superfici di attacco degli endpoint, poiché sono comunemente costituite principalmente da computer desktop, laptop, dispositivi mobili e dispositivi IoT. Questi dispositivi spesso finiscono nelle mani di malintenzionati dopo essere stati smarriti o rubati. 

Oltre agli endpoint, le superfici di attacco fisiche includono anche: 

  • Porte USB. 
  • Telecamere di sicurezza e webcam USB. 
  • Hard disk. 
  • Hardware di rete. 
  • Apparecchiature per ufficio, come stampanti. 
  • Punti di accesso a luoghi fisici, come uffici e data center. 
  • Dati utente e credenziali di accesso archiviati su hardware dismesso o annotati su carta. 
  • Badge identificativi dei dipendenti, portachiavi elettronici o token di autenticazione smarriti. 

In sostanza, se è qualcosa che si può toccare fisicamente, fa parte di una superficie di attacco fisica. 

Che cos’è una superficie di attacco umana? 

Si presta molta attenzione alle superfici di attacco di reti ed endpoint, ma esiste un’altra superficie di attacco spesso trascurata: la superficie di attacco umana. Questo potrebbe spiegare perché il 74% delle violazioni analizzate per il Report 2023 sulle indagini sulle violazioni dei dati (DBIR) di Verizon coinvolgeva un elemento umano.

Le superfici di attacco umane si formano quando utenti o amministratori non rispettano le best practice di sicurezza. Queste mancanze consistono principalmente nel cadere vittima di attacchi di social engineering. Secondo il report di Verizon, phishing e pretexting, spesso utilizzato insieme al phishing, sono i due tipi di social engineering che causano il maggior numero di vittime. Non sorprende che il 43% delle organizzazioni intervistate per il Press Reset: report 2023 sullo stato della cybersecurity abbia subito un attacco di phishing negli ultimi due anni. 

Altri componenti che possono costituire una superficie di attacco umana includono: 

  • Mancata applicazione regolare delle patch ai sistemi. 
  • Utilizzo di password deboli e riutilizzate. 
  • Assegnazione impropria dei privilegi utente. 
  • Lasciare aperta la porta di un edificio adibito a uffici. 
  • Consentire a persone non autorizzate di praticare tailgating o piggybacking per accedere a uno spazio protetto. 
  • Mancata eliminazione delle carenze nella progettazione della rete. 
  • Consentire il furto di informazioni sensibili tramite shoulder surfing
  • Cadere vittima di un attacco di baiting collegando un’unità USB sconosciuta a un computer. 
  • Smaltimento improprio di dati sensibili. 

L’elenco è infinito. Sebbene gli esempi condivisi finora siano in genere azioni involontarie attribuibili a ingenuità e negligenza, le superfici di attacco umane includono anche le azioni intenzionali di insider malevoli. Secondo la Cybersecurity & Infrastructure Security Agency (CISA), una minaccia intenzionale è “la possibilità che un insider utilizzi il proprio accesso autorizzato o la propria conoscenza di un’organizzazione per danneggiarla.” 

È importante notare che diversi vettori di attacco possono essere considerati parte di più tipi di superfici di attacco. Ad esempio, la porta lasciata aperta potrebbe essere considerata sia parte di una superficie di attacco umana, poiché è stata tenuta aperta da una persona, sia parte di una superficie di attacco fisica, perché la porta è un oggetto fisico che consente l’accesso a un luogo fisico. Ciò che conta davvero non è il tipo di superficie di attacco a cui viene attribuito un vettore di attacco, ma il fatto di identificarlo, gestirlo e, ove possibile, eliminarlo. 


Scopri di più: Individuazione della superficie di attacco: come identificare la superficie di attacco della tua organizzazione