La gestione della superficie di attacco (ASM) adotta la prospettiva di un attaccante e aiuta i team di sicurezza a ottenere visibilità sugli asset sui quali l’IT non ha governance e controllo, come shadow IT, sistemi di terze parti e applicazioni line-of-business.
Il gergo IT spiegato
Che cos’è la gestione della superficie di attacco?
L’ASM combina persone, processi, tecnologie e servizi per scoprire, inventariare e gestire in modo continuo gli asset interni ed esterni di un’organizzazione. L’obiettivo finale è garantire che tutte le esposizioni identificate vengano affrontate prima che possano essere sfruttate da attori malevoli.
La gestione della superficie di attacco (ASM) comprende tre aree: gestione della superficie di attacco degli asset cyber (CAASM), gestione della superficie di attacco esterna (EASM) e servizi di protezione dal rischio digitale (DRPS). Ogni area si concentra su uno specifico caso d’uso: il CAASM per asset e vulnerabilità, l’EASM per gli asset esterni e i DRPS per gli asset digitali.
Correlato: Serie di report di ricerca Ivanti State of Cybersecurity: Gestione della superficie di attacco
Che cos’è la gestione della superficie di attacco degli asset cyber (CAASM)?
Il CAASM offre una vista completa, aggiornata e consolidata degli asset interni ed esterni di un’organizzazione, come endpoint, servizi, dispositivi e applicazioni.
I prodotti CAASM lo fanno raccogliendo dati da fonti interne esistenti, come individuazione degli asset, gestione degli asset IT, sicurezza degli endpoint, gestione delle vulnerabilità e strumenti di gestione delle patch, oltre che da sistemi di ticketing tramite integrazioni API.
Quindi aggrega, normalizza e deduplica automaticamente i dati raccolti e li presenta in un’unica interfaccia utente, eliminando per i team IT e di sicurezza la necessità di raccogliere e riconciliare manualmente i dati sugli asset. I prodotti CAASM consentono inoltre ai team di eseguire query sui dati raccolti, identificare vulnerabilità di sicurezza, individuare lacune nei controlli di sicurezza e risolvere i problemi.
Che cos’è la gestione della superficie di attacco esterna?
Come suggerisce il nome, la gestione della superficie di attacco esterna si concentra su una vista dall’esterno verso l’interno della superficie di attacco, individuando asset e sistemi esposti su Internet, oltre alle vulnerabilità correlate.
Esempi degli asset individuati dall’EASM includono applicazioni web, IP, nomi di dominio, certificati SSL e servizi cloud. I tipi di vulnerabilità identificati dall’EASM includono, a titolo esemplificativo ma non esaustivo, server esposti, credenziali, configurazioni errate dei servizi di cloud pubblico, divulgazioni nel deep web e nel dark web e vulnerabilità nel codice software di terze parti.
Oltre all’individuazione degli asset, i prodotti EASM offrono comunemente altre funzionalità, tra cui:
- Scansione esterna attiva degli ambienti cloud, IT, IoT e OT.
- Analisi degli asset per determinare se sono rischiosi, vulnerabili o se si comportano in modo anomalo.
- Assegnazione di priorità agli asset in base a fattori come l’impatto sul business e la probabilità di sfruttamento da parte di un attore malevolo.
- Workflow di remediation e integrazioni con sistemi di ticketing, soluzioni di orchestrazione, automazione e risposta alla sicurezza (SOAR) e altri strumenti.
Che cosa sono i servizi di protezione dal rischio digitale (DRPS)?
I DRPS combinano tecnologia e servizi per proteggere asset e dati digitali dalle minacce esterne. Estendono il rilevamento e il monitoraggio oltre il perimetro aziendale — al web aperto, al deep web, ai social media e ai marketplace di app — per cercare minacce alle risorse digitali aziendali, inclusi indirizzi IP e asset correlati al brand.
Poiché le organizzazioni svolgono sempre più attività online, è fondamentale che i team di sicurezza adottino queste funzionalità e guardino oltre le minacce presenti all’interno della rete aziendale. I DRPS identificano le minacce e forniscono intelligence azionabile sugli attori delle minacce e sugli strumenti, le tattiche e i processi che sfruttano.
Qual è la differenza tra CAASM, EASM e DRPS?
CAASM, EASM e DRPS sono tutti componenti dell’ASM e si concentrano sulla gestione degli asset di sicurezza e sulla prioritizzazione dei problemi. Queste somiglianze possono creare confusione sulle differenze tra queste soluzioni.
Questa tabella riassume le differenze tra CAASM, EASM e DRPS.
| Funzionalità / capacità | CAASM | EASM | DRPS |
|---|---|---|---|
| Area di interesse | Asset e vulnerabilità | Asset esterni | Rischio digitale |
| Asset applicabili |
|
|
|
| Composizione |
|
|
|
| Funzionalità |
|
|
|
| Fonti dati | Raccolta passiva dei dati tramite integrazioni API con strumenti interni esistenti:
Gli strumenti CAASM raccolgono comunemente dati anche da strumenti DRPS ed EASM. |
| Monitoraggio di:
|
Perché la gestione della superficie di attacco è importante?
I principali framework di sicurezza concordano sul fatto che comprendere la propria superficie di attacco sia essenziale per una solida postura di sicurezza. Sia il NIST CSF sia i CIS Controls la includono come capacità fondamentale.
La gestione della superficie di attacco è così importante perché, senza visibilità sull’intera superficie di attacco, non è possibile sapere quali vulnerabilità stiano esponendo l’organizzazione. Questo, a sua volta, offre una visione insufficiente della postura di rischio dell’organizzazione: non è quindi possibile sapere se si sta rimanendo entro il proprio appetito al rischio, né come orientare gli sforzi per affrontare le esposizioni a rischio più elevato.
Con superfici di attacco che cambiano e si espandono così rapidamente, la gestione della superficie di attacco non può che diventare sempre più critica. I team di sicurezza non possono permettersi di procedere alla cieca.