Home

topics

Cos'è la gestione della superficie di attacco?

Che cos'è la gestione della superficie di attacco?
Esplora la soluzione di gestione delle superfici di attacco di IBM Abbonati per ricevere aggiornamenti in materia di sicurezza
Illustrazione con collage di pittogrammi di cloud, mobile, impronta digitale e segno di spunta.
Che cos'è la gestione della superficie di attacco?

La gestione della superficie di attacco (ASM) è la scoperta, l'analisi, l'assegnazione in base alle priorità, la correzione e il monitoraggio costanti delle vulnerabilità di cybersecurity e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione.

A differenza di altre discipline di cybersecurity, l'ASM è condotta interamente dal punto di vista dell'hacker, anziché dal punto di vista del difensore. Identifica gli obiettivi e valuta i rischi in base alle opportunità che offrono a un utente malintenzionato.

L'ASM si basa su molti degli stessi metodi e risorse utilizzati dagli hacker. Numerose attività e tecnologie ASM sono ideate ed eseguite da "hacker etici" che hanno familiarità con i comportamenti dei criminali informatici e sono abili nel replicarne le azioni.

La gestione della superficie di attacco esterna (EASM), una tecnologia ASM relativamente nuova, viene talvolta utilizzata in modo intercambiabile con ASM. Tuttavia, l'EASM si concentra specificamente sulle vulnerabilità e sui rischi presentati dagli asset IT esterni o con accesso a Internet di un'organizzazione, a volte indicati come la superficie di attacco digitale di un'organizzazione.

ASM affronta anche le vulnerabilità nelle superfici di attacco di ingegneria fisica e sociale di un'organizzazione, come insider malevoli o formazione inadeguata degli utenti finali nei confronti delle truffe di phishing.

Cost of a Data Breach

Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.

Contenuti correlati Registrati per l'X-Force Threat Intelligence Index
Perché le organizzazioni si rivolgono alla gestione della superficie di attacco

La maggiore adozione del cloud, la trasformazione digitale e l'espansione del lavoro da remoto negli ultimi anni di un'azienda media hanno reso l'impronta digitale e la superficie di attacco più ampie, più distribuite e più dinamiche, con nuovi asset che si connettono quotidianamente alla rete dell'azienda.

I tradizionali processi di rilevamento degli asset, valutazione del rischio e gestione delle vulnerabilità, sviluppati quando le reti aziendali erano più stabili e centralizzate, non riescono a tenere il passo con la velocità con cui emergono nuove vulnerabilità e vettori di attacco nelle reti attuali. I test di penetrazione, ad esempio, possono verificare le vulnerabilità sospette in asset noti, ma non possono aiutare i team addetti alla sicurezza a individuare nuovi rischi informatici e vulnerabilità che emergono quotidianamente.

Ma il costante workflow di ASM e la prospettiva degli hacker consentono ai team addetti alla sicurezza e ai centri operativi per la sicurezza (SOC) di stabilire un livello di sicurezza proattivo di fronte a una superficie di attacco in costante morphing. Le soluzioni ASM forniscono visibilità in tempo reale sulle vulnerabilità e sui vettori di attacco man mano che emergono.

Possono attingere alle informazioni provenienti dagli strumenti e dai processi tradizionali di valutazione del rischio e di gestione delle vulnerabilità per un contesto più ampio durante l'analisi e la definizione delle priorità delle vulnerabilità. Possono inoltre integrarsi con le tecnologie di rilevamento e risposta alle minacce, tra cui la gestione delle informazioni e degli eventi di sicurezza (SIEM), il rilevamento e risposta degli endpoint (EDR) o il rilevamento e la risposta estesa (XDR) per migliorare la mitigazione delle minacce e accelerare la risposta alle minacce a livello aziendale.

Come funziona l'ASM

L'ASM è costituito da quattro processi principali: scoperta, classificazione e definizione delle priorità, correzione e monitoraggio degli asset. Anche in questo caso, poiché le dimensioni e la forma della superficie di attacco digitale cambiano costantemente, i processi vengono eseguiti continuamente e le soluzioni ASM automatizzano questi processi quando possibile. L'obiettivo è preparare i team addetti alla sicurezza con un inventario completo e aggiornato degli asset esposti e accelerare la risposta alle vulnerabilità e alle minacce che presentano il rischio maggiore per l'organizzazione.

Rilevamento degli asset

Il rilevamento degli asset consente di scansionare e individuare automaticamente e costantemente hardware, software e asset cloud connessi a Internet che potrebbero avere funzione di punti di ingresso per hacker o criminali informatici che tentano di attaccare un'organizzazione. Questi asset possono includere:

  • Asset noti: tutte le infrastrutture e le risorse IT di cui l'organizzazione è a conoscenza e che gestisce attivamente come router, server, dispositivi aziendali o di proprietà privata (PC, laptop, dispositivi mobili), dispositivi IoT, directory utente, applicazioni distribuite on-premise e nel cloud, siti Web e database proprietari.

  • Asset sconosciuti: attività "non inventariate" che utilizzano le risorse di rete senza che il team IT o addetto alla sicurezza ne sia a conoscenza. Lo shadow IT, hardware o software distribuito sulla rete senza approvazione e/o supervisione amministrativa ufficiale, è il tipo più comune di asset sconosciuto. Esempi di shadow IT includono siti Web personali, applicazioni cloud e dispositivi mobili non gestiti che utilizzano la rete dell'organizzazione. L'informatica orfana, ovvero vecchi software, siti web e dispositivi non più in uso che non sono stati ritirati correttamente, è un altro tipo comune di asset sconosciuto.

  • Asset di fornitori o terze parti - asset che l'organizzazione non possiede, ma che fanno parte dell'infrastruttura IT o della supply chain digitale dell'organizzazione. Questi includono applicazioni software-as-a-service (SaaS), API, a asset di cloud pubblico o servizi di terze parti utilizzati all'interno del sito Web dell'organizzazione.

  • Asset di filiali: qualsiasi asset noto, sconosciuto o di terze parti che appartiene alle reti di filiali di un'organizzazione. A seguito di una fusione o acquisizione, questi asset potrebbero non venire immediatamente all'attenzione dei team IT e addetto alla sicurezza dell'organizzazione madre.

  • Asset dannosi o non autorizzati:asset che gli autori delle minacce creano o rubano per prendere di mira l'azienda. Questo può includere un sito Web di phishing che si spaccia per il marchio di un'azienda o dati sensibili rubati come parte di una violazione dei dati condivisi sul dark web.

Classificazione, analisi e priorità

Una volta individuati, gli asset vengono classificati, analizzati per individuare le vulnerabilità e vengono assegnate le priorità in base alla loro "attaccabilità", fondamentalmente una misura oggettiva della probabilità che tali asset vengano presi di mira da hacker.

Gli asset vengono inventariati in base all'identità, all'indirizzo IP, alla proprietà e alle connessioni con gli altri asset dell'infrastruttura IT. Vengono analizzati alla ricerca di eventuali esposizioni, le cause di tali esposizioni (ad esempio configurazioni errate, errori di codifica, patch mancanti) e i tipi di attacchi che gli hacker potrebbero portare avanti attraverso queste esposizioni (ad esempio, rubare dati sensibili, diffondere ransomware o altri malware).

Successivamente, alle vulnerabilità vengono assegnate priorità per la correzione. L'assegnazione delle priorità è un esercizio di valutazione del rischio: in genere, a ogni vulnerabilità viene assegnata una valutazione di sicurezza o un punteggio di rischio in base a

  • Informazioni raccolte durante la classificazione e l'analisi.

  • Dati provenienti da feed di threat intelligence (proprietari e open source), servizi di valutazione della sicurezza, dal dark web e da altre fonti su quanto siano visibili le vulnerabilità per gli hacker, quanto siano facili da sfruttare, come sono state sfruttate, ecc.

  • Risultati delle attività di gestione delle vulnerabilità e di valutazione del rischio di sicurezza dell'organizzazione. Una di queste attività, chiamata red teaming, è fondamentalmente un test di penetrazione dal punto di vista dell'hacker (e spesso condotto da hacker etici interni o di terze parti). Invece di testare le vulnerabilità note o sospette, i red teamer testano tutti gli asset che un hacker potrebbe tentare di sfruttare.

Correzione

In genere, le vulnerabilità vengono risolte in ordine di priorità. Questo può comportare:

  • Applicare controlli di sicurezza appropriati all'asset in questione, come ad esempio applicare patch del software o del sistema operativo, eseguire il debug del codice dell'applicazione, implementare una crittografia dei dati più forte.

  • Mettere sotto controllo asset precedentemente sconosciuti, stabilire standard di sicurezza per l'IT non gestito, ritirare in modo sicuro l'IT orfano, eliminare gli asset non autorizzati, integrare gli asset di filiali nella strategia, nelle politiche e nei workflow dell'organizzazione in materia di cybersecurity.

La correzione può anche comportare misure trasversali più ampie per affrontare le vulnerabilità, come l'implementazione di un accesso con privilegi minimi o l'autenticazione a più fattori (MFA).

Monitoraggio

Poiché i rischi per la sicurezza nella superficie di attacco dell'organizzazione cambiano ogni volta che vengono distribuiti nuovi asset o se gli asset esistenti vengono distribuiti in un modo nuovo, sia gli asset inventariati della rete sia la rete stessa vengono costantemente monitorati e analizzati alla ricerca di eventuali vulnerabilità. Il monitoraggio costante consente all'ASM di rilevare e valutare nuove vulnerabilità e vettori di attacco in tempo reale e di avvisare i team addetti alla sicurezza di eventuali nuove vulnerabilità che richiedono attenzione immediata.

Soluzioni correlate
Servizi di gestione delle vulnerabilità

Adotta un programma di gestione delle vulnerabilità che individui, assegni priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.

Scopri i servizi di gestione delle vulnerabilità
Risorse Che cos'è una superficie di attacco?

La superficie di attacco di un'organizzazione è l'insieme delle sue vulnerabilità di sicurezza informatica.

Cosa sono le minacce interne?

Le minacce interne si verificano quando gli asset di un'azienda vengono compromessi, deliberatamente o accidentalmente, dagli utenti che sono autorizzati ad accedervi.

Cos'è l'approccio Zero Trust?

Un approccio zero-trust richiede che tutti gli utenti, sia all'esterno sia già all'interno della rete, siano autenticati, autorizzati e costantemente convalidati per ottenere e mantenere l'accesso alle applicazioni e ai dati.

Cos'è un malware?

Il malware è un codice software scritto per danneggiare o distruggere computer o reti, o per fornire accesso non autorizzato a computer, reti o dati.

Cos'è la sicurezza del cloud?

Una guida per proteggere l'ambiente e i workload del cloud computing.

Cos'è la sicurezza dei dati?

La sicurezza dei dati è la pratica che consiste nel proteggere le informazioni digitali dal furto, dalla corruzione o dall'accesso non autorizzato durante il loro ciclo di vita.

Fai il passo successivo

I servizi di cybersecurity di IBM offrono servizi di consulenza, integrazione e gestione della sicurezza per sviluppare capacità offensive e difensive. Combiniamo un team globale di esperti con la tecnologia proprietaria e dei partner per creare insieme programmi di sicurezza su misura in grado di gestire i rischi.

Scopri i servizi di sicurezza informatica Iscriviti alla newsletter Think