Il gergo IT spiegato

Che cos’è la gestione della superficie di attacco?

La gestione della superficie di attacco (ASM) adotta la prospettiva di un attaccante e aiuta i team di sicurezza a ottenere visibilità sugli asset sui quali l’IT non ha governance e controllo, come shadow IT, sistemi di terze parti e applicazioni line-of-business.

L’ASM combina persone, processi, tecnologie e servizi per scoprire, inventariare e gestire in modo continuo gli asset interni ed esterni di un’organizzazione. L’obiettivo finale è garantire che tutte le esposizioni identificate vengano affrontate prima che possano essere sfruttate da attori malevoli. 

La gestione della superficie di attacco (ASM) comprende tre aree: gestione della superficie di attacco degli asset cyber (CAASM), gestione della superficie di attacco esterna (EASM) e servizi di protezione dal rischio digitale (DRPS). Ogni area si concentra su uno specifico caso d’uso: il CAASM per asset e vulnerabilità, l’EASM per gli asset esterni e i DRPS per gli asset digitali. 


Correlato: Serie di report di ricerca Ivanti State of Cybersecurity: Gestione della superficie di attacco 

Che cos’è la gestione della superficie di attacco degli asset cyber (CAASM)? 

Il CAASM offre una vista completa, aggiornata e consolidata degli asset interni ed esterni di un’organizzazione, come endpoint, servizi, dispositivi e applicazioni. 

I prodotti CAASM lo fanno raccogliendo dati da fonti interne esistenti, come individuazione degli asset, gestione degli asset IT, sicurezza degli endpoint, gestione delle vulnerabilità e strumenti di gestione delle patch, oltre che da sistemi di ticketing tramite integrazioni API. 

Quindi aggrega, normalizza e deduplica automaticamente i dati raccolti e li presenta in un’unica interfaccia utente, eliminando per i team IT e di sicurezza la necessità di raccogliere e riconciliare manualmente i dati sugli asset. I prodotti CAASM consentono inoltre ai team di eseguire query sui dati raccolti, identificare vulnerabilità di sicurezza, individuare lacune nei controlli di sicurezza e risolvere i problemi. 

Che cos’è la gestione della superficie di attacco esterna? 

Come suggerisce il nome, la gestione della superficie di attacco esterna si concentra su una vista dall’esterno verso l’interno della superficie di attacco, individuando asset e sistemi esposti su Internet, oltre alle vulnerabilità correlate. 

Esempi degli asset individuati dall’EASM includono applicazioni web, IP, nomi di dominio, certificati SSL e servizi cloud. I tipi di vulnerabilità identificati dall’EASM includono, a titolo esemplificativo ma non esaustivo, server esposti, credenziali, configurazioni errate dei servizi di cloud pubblico, divulgazioni nel deep web e nel dark web e vulnerabilità nel codice software di terze parti. 

Oltre all’individuazione degli asset, i prodotti EASM offrono comunemente altre funzionalità, tra cui: 

  • Scansione esterna attiva degli ambienti cloud, IT, IoT e OT. 
  • Analisi degli asset per determinare se sono rischiosi, vulnerabili o se si comportano in modo anomalo. 
  • Assegnazione di priorità agli asset in base a fattori come l’impatto sul business e la probabilità di sfruttamento da parte di un attore malevolo. 
  • Workflow di remediation e integrazioni con sistemi di ticketing, soluzioni di orchestrazione, automazione e risposta alla sicurezza (SOAR) e altri strumenti. 

Che cosa sono i servizi di protezione dal rischio digitale (DRPS)? 

I DRPS combinano tecnologia e servizi per proteggere asset e dati digitali dalle minacce esterne. Estendono il rilevamento e il monitoraggio oltre il perimetro aziendale — al web aperto, al deep web, ai social media e ai marketplace di app — per cercare minacce alle risorse digitali aziendali, inclusi indirizzi IP e asset correlati al brand. 

Poiché le organizzazioni svolgono sempre più attività online, è fondamentale che i team di sicurezza adottino queste funzionalità e guardino oltre le minacce presenti all’interno della rete aziendale. I DRPS identificano le minacce e forniscono intelligence azionabile sugli attori delle minacce e sugli strumenti, le tattiche e i processi che sfruttano. 

Qual è la differenza tra CAASM, EASM e DRPS? 

CAASM, EASM e DRPS sono tutti componenti dell’ASM e si concentrano sulla gestione degli asset di sicurezza e sulla prioritizzazione dei problemi. Queste somiglianze possono creare confusione sulle differenze tra queste soluzioni. 

Questa tabella riassume le differenze tra CAASM, EASM e DRPS. 

Funzionalità / capacità CAASM EASM DRPS 
Area di interesse Asset e vulnerabilità Asset esterni Rischio digitale 
Asset applicabili 
  • Endpoint 
  • Server 
  • Dispositivi 
  • Applicazioni 
  • Applicazioni web 
  • IP 
  • Nomi di dominio 
  • Certificati SSL 
  • Servizi cloud 
  • Indirizzi IP 
  • Domini 
  • Asset correlati al brand 
Composizione 
  • Tecnologia 
  • Tecnologia
  • Servizi 
  • Processi 
  • Tecnologia
  • Servizi 
Funzionalità 
  • Raccogliere, aggregare, normalizzare, deduplicare e presentare i dati. 
  • Eseguire query sui dati raccolti. 
  • Identificare vulnerabilità di sicurezza. 
  • Individuare lacune nei controlli di sicurezza. 
  • Risolvere i problemi. 
  • Individuare gli asset. 
  • Utilizzare la scansione esterna attiva degli ambienti cloud, IT, IoT e OT. 
  • Analizzare gli asset. 
  • Assegnare priorità agli asset. 
  • Sfruttare workflow di remediation. 
  • Integrarsi con sistemi di ticketing di terze parti, soluzioni SOAR e altri strumenti. 
  • Rilevare e monitorare le minacce al di fuori del perimetro aziendale. 
  • Ottenere intelligence azionabile sugli attori delle minacce. 
  • Mitigare le minacce attive. 
  • Svolgere le attività necessarie per contrastare le minacce future e proteggere gli asset digitali. 
Fonti dati 

Raccolta passiva dei dati tramite integrazioni API con strumenti interni esistenti: 

  • Individuazione degli asset. 
  • ITAM. 
  • Sicurezza degli endpoint. 
  • Gestione delle vulnerabilità. 
  • Gestione delle patch. 
  • Sistemi di ticketing. 

Gli strumenti CAASM raccolgono comunemente dati anche da strumenti DRPS ed EASM. 

  • Scansioni attive su scala Internet eseguite dall’EASM. 
  • DNS passivo. 
  • WHOIS. 

Monitoraggio di: 

  • Web aperto. 
  • Deep web. 
  • Dark web. 
  • Social media. 
  • Marketplace di app. 

Perché la gestione della superficie di attacco è importante? 

I principali framework di sicurezza concordano sul fatto che comprendere la propria superficie di attacco sia essenziale per una solida postura di sicurezza. Sia il NIST CSF sia i CIS Controls la includono come capacità fondamentale. 

La gestione della superficie di attacco è così importante perché, senza visibilità sull’intera superficie di attacco, non è possibile sapere quali vulnerabilità stiano esponendo l’organizzazione. Questo, a sua volta, offre una visione insufficiente della postura di rischio dell’organizzazione: non è quindi possibile sapere se si sta rimanendo entro il proprio appetito al rischio, né come orientare gli sforzi per affrontare le esposizioni a rischio più elevato. 

Con superfici di attacco che cambiano e si espandono così rapidamente, la gestione della superficie di attacco non può che diventare sempre più critica. I team di sicurezza non possono permettersi di procedere alla cieca.


CorrelatoIndividuazione della superficie di attacco: come identificare la superficie di attacco della propria organizzazione