Home topics Cos'è la superficie di attacco? Cos'è una superficie di attacco?
Una superficie di attacco è l'insieme delle vulnerabilità di un'organizzazione a un attacco informatico.
Persona seduta a una scrivania per ufficio che utilizza un computer laptop
Cos'è una superficie di attacco?

Una superficie di attacco è l'insieme di vulnerabilità, percorsi o metodi, a volte chiamati vettori di attacco, che gli hacker possono utilizzare per ottenere l'accesso non autorizzato alla rete o ai dati sensibili o per compiere un attacco informatico.

Con la crescente adozione da parte delle organizzazioni di servizi cloud e modelli di lavoro ibrido (on-premise/lavoro da casa), le reti e le relative superfici di attacco diventano ogni giorno sempre più grandi e complesse. Secondo il report di Randori The State of Attack Surface Management 2022 (link esterno a ibm.com) (Randori è una società controllata di IBM Corp.), il 67% delle organizzazioni ha visto espandere le proprie superfici di attacco negli ultimi due anni. L'analista di settore Gartner ha definito l'espansione della superficie di attacco come la principale tendenza per la sicurezza e la gestione dei rischi per il 2022 (link esterno a ibm.com).

Gli esperti di sicurezza suddividono la superficie di attacco in tre sottosuperfici: la superficie di attacco digitale, la superficie di attacco fisica e la superficie di attacco di ingegneria sociale.
Superficie di attacco digitale

La superficie di attacco digitale espone potenzialmente il cloud dell'organizzazione e l'infrastruttura on-premise a qualsiasi hacker che disponga di una connessione internet. I vettori di attacco più comuni nella superficie di attacco digitale di un'organizzazione includono:

  • Password vulnerabili: le password semplici da ricordare, o facili da decifrare tramite attacchi di forza bruta, aumentano il rischio che un criminale informatico possa compromettere gli account utente per accedere alla rete, sottrarre informazioni sensibili, diffondere malware e danneggiare in altro modo l'infrastruttura. Secondo il report di IBM Cost of a Data Breach 2021, le credenziali violate sono state il vettore di attacco iniziale più comunemente sfruttato nel 2021.
     

  • Errori di configurazione: porte di rete, canali, punti di accesso wireless, firewall o protocolli configurati in modo non corretto fungono da punti di ingresso per gli hacker. Gli attacchi man-in-the-middle, ad esempio, sfruttano la debolezza dei protocolli di crittografia sui canali utilizzati per trasferire i messaggi per intercettare le comunicazioni tra i sistemi.
     

  • Vulnerabilità nel software, nel sistema operativo e nel firmware: gli hacker e i criminali informatici possono trarre vantaggio dagli errori di implementazione o codifica nelle applicazioni, nei sistemi operativi e in altri software o firmware di terze parti per introdursi nelle reti, ottenere l'accesso alle directory degli utenti o installare malware. Ad esempio, nel 2021 i criminali informatici hanno sfruttato una falla nella piattaforma VSA (virtual storage appliance) di Kaseya (link esterno a ibm.com) per distribuire ransomware, mascherato da falso aggiornamento software, ai clienti di Kaseya.
     

  • Asset esposti a internet: applicazioni web, server web e altre risorse esposte a internet pubblico sono intrinsecamente vulnerabili agli attacchi. Ad esempio, gli hacker possono introdurre codice dannoso nelle API (Application Programming Interface) non sicure, portandole a diffondere in modo improprio o addirittura a distruggere le informazioni sensibili contenute nei relativi database.
     

  • Directory e database condivisi: gli hacker possono sfruttare directory e database condivisi tra sistemi e dispositivi per ottenere l'accesso non autorizzato alle risorse sensibili o lanciare attacchi ransomware. Nel 2016, il ransomware Virlock si è diffuso (link esterno a ibm.com) infettando cartelle di file collaborativi a cui si accedeva da molteplici dispositivi.
     

  • Applicazioni, dati o dispositivi obsoleti o non aggiornati: la mancata applicazione di aggiornamenti e patch crea rischi per la sicurezza. Un esempio rilevante è il ransomware WannaCry che si è diffuso sfruttando una vulnerabilità del sistema operativo Microsoft Windows (link esterno a ibm.com) per cui era disponibile una patch. Analogamente, le applicazioni, gli account utente, i set di dati e gli endpoint obsoleti che non vengono disinstallati, eliminati o rimossi in modo corretto, creano vulnerabilità non monitorate che i criminali informatici possono facilmente sfruttare.
     

  • IT ombra: l'IT ombra (o Shadow IT) è costituito da software, hardware o dispositivi - (applicazioni di ampio utilizzo o gratuite, dispositivi di storage portatili, dispositivi mobili personali non protetti) - che i dipendenti utilizzano all'insaputa o senza l'approvazione del reparto IT. Poiché non viene monitorato dai team IT o di sicurezza, l'IT ombra può introdurre gravi vulnerabilità che gli hacker possono sfruttare.
Superficie di attacco fisica

La superficie di attacco fisica espone le risorse e le informazioni, in genere accessibili solo agli utenti con accesso autorizzato, ai dispositivi endpoint o all'ufficio fisico dell'organizzazione (server, computer, laptop, dispositivi mobili, dispositivi IoT, hardware operativo).

  • Utenti interni malintenzionati: dipendenti scontenti o corrotti o altri utenti malintenzionati possono utilizzare i loro privilegi di accesso per sottrarre dati sensibili, disabilitare dispositivi, installare malware o peggio ancora.
     

  • Furto di dispositivi: i criminali possono sottrarre dispositivi endpoint o accedervi introducendosi negli uffici di un'organizzazione. Una volta entrati in possesso dell'hardware, gli hacker possono accedere ai dati e ai processi memorizzati su tali dispositivi. Inoltre, possono utilizzare i permessi e l'identità del dispositivo per accedere ad altre risorse di rete. Gli endpoint utilizzati da coloro che lavorano in remoto, i dispositivi personali dei dipendenti e i dispositivi abbandonati in modo improprio sono obiettivi tipici di furti. 
     

  • Adescamento: l'adescamento (baiting) è un attacco con cui gli hacker lasciano unità USB infette da malware in luoghi pubblici, nella speranza di indurre gli utenti a collegare i dispositivi ai loro computer e a scaricare inconsapevolmente il malware.
Superficie di attacco di ingegneria sociale

L'ingegneria sociale induce con l'inganno le persone a condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare, visitare siti web che non dovrebbero visitare, inviare denaro a criminali o commettere altri errori che compromettono la sicurezza o le risorse personali o dell'azienda.

Poiché sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o digitali del sistema, l'ingegneria sociale viene talvolta definita "hacking umano".

Ulteriori informazioni sull'ingegneria sociale

La superficie di attacco di ingegneria sociale di un'organizzazione corrisponde sostanzialmente al numero di utenti autorizzati che sono impreparati o comunque vulnerabili a un attacco di ingegneria sociale.

Il phishing è il vettore di attacco di ingegneria sociale più noto e diffuso. In un attacco di phishing, i truffatori online inviano e-mail, messaggi vocali o di testo tentando di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software dannoso, trasferire denaro o beni alle persone sbagliate o compiere altre azioni dannose. I truffatori online creano con astuzia messaggi di phishing affinché sembrino provenire da un'organizzazione o da una persona credibile e attendibile: un noto rivenditore, un organismo governativo o, talvolta, persino una persona che il destinatario conosce personalmente.

Secondo il report di IBM Cost of a Data Breach 2021, l'ingegneria sociale è la seconda causa principale di una violazione dei dati.
Gestione della superficie di attacco

La gestione della superficie di attacco (ASM, Attack Surface Management) si riferisce a processi e tecnologie che adottano la strategia e la visione di un hacker alla superficie di attacco di un'organizzazione, rilevando e monitorando continuamente le risorse e le vulnerabilità che gli hacker osservano e tentano di sfruttare quando prendono di mira l'organizzazione. L'ASM implica generalmente:

Monitoraggio, inventario e rilevamento continuo di asset potenzialmente vulnerabili. Tutte le iniziative ASM iniziano con un inventario completo e costantemente aggiornato degli asset IT di un'organizzazione esposti a internet, compresi gli asset cloud e on-premise. Adottare una strategia da hacker garantisce il rilevamento non solo degli asset noti, ma anche dell'IT ombra (vedi sopra), delle applicazioni o dei dispositivi non più utilizzati ma che non sono stati eliminati o disattivati (IT orfano), delle risorse installate da hacker o malware (IT non autorizzato) e altro ancora; in sostanza qualsiasi asset che possa essere sfruttato da un hacker o da una minaccia informatica.

Una volta individuati, gli asset vengono monitorati costantemente, in tempo reale, per individuare eventuali modifiche che ne aumentino il rischio come potenziale vettore di attacco.

Analisi della superficie di attacco, valutazione dei rischi e definizione della priorità. Le tecnologie ASM classificano le risorse in base alle loro vulnerabilità e ai rischi per la sicurezza reali e ne definiscono la priorità per la risposta alle minacce o la risoluzione dei problemi.

Riduzione della superficie di attacco e risoluzione dei problemi. I team di sicurezza possono applicare i risultati dell'analisi della superficie di attacco e delle attività di red team per intraprendere una serie di azioni a breve termine per ridurre la superficie di attacco. Tra queste, l'applicazione di password più complesse, la disattivazione di applicazioni e dispositivi endpoint che non vengono più utilizzati, l'applicazione di patch per applicazioni e sistemi operativi, la formazione per consentire agli utenti di riconoscere le truffe di phishing, l'introduzione di controlli di accesso biometrico per l'ingresso in ufficio o la revisione delle politiche e dei controlli di sicurezza sul download di software e sui supporti rimovibili.

Le organizzazioni possono anche adottare misure di sicurezza più strutturali o a lungo termine per ridurre la superficie di attacco, sia come parte di un'iniziativa di gestione della superficie di attacco che indipendentemente da essa. Ad esempio, implementando l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori, è possibile ridurre o eliminare le potenziali vulnerabilità associate a password poco efficaci o a una prassi di utilizzo delle password non corretta.

Su scala più ampia, un approccio di sicurezza Zero Trust può ridurre in modo significativo la superficie di attacco di un'organizzazione. Un approccio Zero Trust richiede a tutti gli utenti (sia quelli esterni sia quelli che si trovano già all'interno della rete) di eseguire l'autenticazione, ottenere l'autorizzazione e la convalida continua in modo da acquisire e mantenere l'accesso alle applicazioni e ai dati. Le tecnologie e i princìpi Zero Trust - come la validazione continua, l'accesso con privilegio minimo, il monitoraggio continuo e la microsegmentazione della rete - possono ridurre o eliminare molti vettori di attacco e fornire dati preziosi per l'analisi continua della superficie di attacco.

Ulteriori informazioni sulla gestione della superficie di attacco
Soluzioni correlate
IBM Security Randori Recon

Gestisci l'espansione della tua impronta digitale e allineati con gli obiettivi con un numero inferiore di falsi positivi per migliorare rapidamente la resilienza informatica della tua organizzazione.

Esplora Randori Recon
IBM® Security QRadar XDR Connect

Connetti i tuoi strumenti, automatizza il tuo SOC (security operations center) e libera tempo per le cose più importanti.

Esplora QRadar XDR Connect
Servizi di gestione delle vulnerabilità

Adotta un programma di gestione delle vulnerabilità che sia in grado di individuare, definire la priorità e gestire la correzione delle falle che possono esporre i tuoi asset più critici

Esplora i servizi di gestione delle vulnerabilità
Risorse Cos'è l'ingegneria sociale?

L'ingegneria sociale compromette la sicurezza personale o aziendale utilizzando la manipolazione mentale piuttosto che l'hacking tecnico.

 Cos'è il malware?

Il malware è un codice software scritto per danneggiare o distruggere computer o reti oppure per fornire un accesso non autorizzato a computer, reti o dati.

 Cos'è Zero Trust?

Una strategia Zero Trust richiede a tutti gli utenti (sia quelli esterni sia quelli che si trovano già all'interno della rete) di eseguire l'autenticazione, ottenere l'autorizzazione e la convalida continua in modo da acquisire e mantenere l'accesso alle applicazioni e ai dati

 Cosa sono le minacce interne?

Le minacce interne si verificano quando gli utenti con un accesso autorizzato agli asset aziendali compromettono tali asset deliberatamente o accidentalmente.

 Cos'è la sicurezza del cloud?

Una guida per proteggere i carichi di lavoro e l'ambiente di cloud computing.

 Cos'è la sicurezza dei dati?

La sicurezza dei dati consiste nella pratica di proteggere le informazioni digitali da furti, danneggiamenti o accessi non autorizzati durante tutto il loro ciclo di vita.
Passa alla fase successiva

Le organizzazioni hanno svolto un buon lavoro nel trovare e correggere le vulnerabilità note sugli asset organizzativi gestiti. A causa però della rapida adozione di modelli di cloud ibrido e del supporto permanente per una forza lavoro in remoto, i team di sicurezza hanno ora molta più difficoltà a gestire l'espansione della superficie di attacco dell'azienda.IBM Security Randori Recon utilizza un processo di rilevamento continuo e accurato per scoprire l'IT ombra e ti allinea rapidamente agli obiettivi con rilevamenti correlati e fattuali basati sulla tentazione antagonista. I flussi di lavoro semplificati migliorano la tua resilienza complessiva attraverso integrazioni con il tuo ecosistema di sicurezza esistente.

Esplora Randori Recon