A differenza di altre discipline di cybersecurity, l'ASM è condotta interamente dal punto di vista dell'hacker, anziché dal punto di vista del difensore. Identifica gli obiettivi e valuta i rischi in base alle opportunità che offrono a un utente malintenzionato.
L'ASM si basa su molti degli stessi metodi e risorse utilizzati dagli hacker. Numerose attività e tecnologie ASM sono ideate ed eseguite da "hacker etici" che hanno familiarità con i comportamenti dei criminali informatici e sono abili nel replicarne le azioni.
La gestione della superficie di attacco esterna (EASM), una tecnologia ASM relativamente nuova, viene talvolta utilizzata in modo intercambiabile con ASM. Tuttavia, l'EASM si concentra specificamente sulle vulnerabilità e sui rischi presentati dagli asset IT esterni o con accesso a Internet di un'organizzazione, a volte indicati come la superficie di attacco digitale di un'organizzazione.
ASM affronta anche le vulnerabilità nelle superfici di attacco di ingegneria fisica e sociale di un'organizzazione, come insider malevoli o formazione inadeguata degli utenti finali nei confronti delle truffe di phishing.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
La maggiore adozione del cloud, la trasformazione digitale e l'espansione del lavoro da remoto negli ultimi anni di un'azienda media hanno reso l'impronta digitale e la superficie di attacco più ampie, più distribuite e più dinamiche, con nuovi asset che si connettono quotidianamente alla rete dell'azienda.
I tradizionali processi di rilevamento degli asset, valutazione del rischio e gestione delle vulnerabilità, sviluppati quando le reti aziendali erano più stabili e centralizzate, non riescono a tenere il passo con la velocità con cui emergono nuove vulnerabilità e vettori di attacco nelle reti attuali. I test di penetrazione, ad esempio, possono verificare le vulnerabilità sospette in asset noti, ma non possono aiutare i team addetti alla sicurezza a individuare nuovi rischi informatici e vulnerabilità che emergono quotidianamente.
Ma il costante workflow di ASM e la prospettiva degli hacker consentono ai team addetti alla sicurezza e ai centri operativi per la sicurezza (SOC) di stabilire un livello di sicurezza proattivo di fronte a una superficie di attacco in costante morphing. Le soluzioni ASM forniscono visibilità in tempo reale sulle vulnerabilità e sui vettori di attacco man mano che emergono.
Possono attingere alle informazioni provenienti dagli strumenti e dai processi tradizionali di valutazione del rischio e di gestione delle vulnerabilità per un contesto più ampio durante l'analisi e la definizione delle priorità delle vulnerabilità. Possono inoltre integrarsi con le tecnologie di rilevamento e risposta alle minacce, tra cui la gestione delle informazioni e degli eventi di sicurezza (SIEM), il rilevamento e risposta degli endpoint (EDR) o il rilevamento e la risposta estesa (XDR) per migliorare la mitigazione delle minacce e accelerare la risposta alle minacce a livello aziendale.
L'ASM è costituito da quattro processi principali: scoperta, classificazione e definizione delle priorità, correzione e monitoraggio degli asset. Anche in questo caso, poiché le dimensioni e la forma della superficie di attacco digitale cambiano costantemente, i processi vengono eseguiti continuamente e le soluzioni ASM automatizzano questi processi quando possibile. L'obiettivo è preparare i team addetti alla sicurezza con un inventario completo e aggiornato degli asset esposti e accelerare la risposta alle vulnerabilità e alle minacce che presentano il rischio maggiore per l'organizzazione.
Rilevamento degli asset
Il rilevamento degli asset consente di scansionare e individuare automaticamente e costantemente hardware, software e asset cloud connessi a Internet che potrebbero avere funzione di punti di ingresso per hacker o criminali informatici che tentano di attaccare un'organizzazione. Questi asset possono includere:
Classificazione, analisi e priorità
Una volta individuati, gli asset vengono classificati, analizzati per individuare le vulnerabilità e vengono assegnate le priorità in base alla loro "attaccabilità", fondamentalmente una misura oggettiva della probabilità che tali asset vengano presi di mira da hacker.
Gli asset vengono inventariati in base all'identità, all'indirizzo IP, alla proprietà e alle connessioni con gli altri asset dell'infrastruttura IT. Vengono analizzati alla ricerca di eventuali esposizioni, le cause di tali esposizioni (ad esempio configurazioni errate, errori di codifica, patch mancanti) e i tipi di attacchi che gli hacker potrebbero portare avanti attraverso queste esposizioni (ad esempio, rubare dati sensibili, diffondere ransomware o altri malware).
Successivamente, alle vulnerabilità vengono assegnate priorità per la correzione. L'assegnazione delle priorità è un esercizio di valutazione del rischio: in genere, a ogni vulnerabilità viene assegnata una valutazione di sicurezza o un punteggio di rischio in base a
Correzione
In genere, le vulnerabilità vengono risolte in ordine di priorità. Questo può comportare:
La correzione può anche comportare misure trasversali più ampie per affrontare le vulnerabilità, come l'implementazione di un accesso con privilegi minimi o l'autenticazione a più fattori (MFA).
Monitoraggio
Poiché i rischi per la sicurezza nella superficie di attacco dell'organizzazione cambiano ogni volta che vengono distribuiti nuovi asset o se gli asset esistenti vengono distribuiti in un modo nuovo, sia gli asset inventariati della rete sia la rete stessa vengono costantemente monitorati e analizzati alla ricerca di eventuali vulnerabilità. Il monitoraggio costante consente all'ASM di rilevare e valutare nuove vulnerabilità e vettori di attacco in tempo reale e di avvisare i team addetti alla sicurezza di eventuali nuove vulnerabilità che richiedono attenzione immediata.
Adotta un programma di gestione delle vulnerabilità che individui, assegni priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.
La superficie di attacco di un'organizzazione è l'insieme delle sue vulnerabilità di sicurezza informatica.
Le minacce interne si verificano quando gli asset di un'azienda vengono compromessi, deliberatamente o accidentalmente, dagli utenti che sono autorizzati ad accedervi.
Un approccio zero-trust richiede che tutti gli utenti, sia all'esterno sia già all'interno della rete, siano autenticati, autorizzati e costantemente convalidati per ottenere e mantenere l'accesso alle applicazioni e ai dati.
Il malware è un codice software scritto per danneggiare o distruggere computer o reti, o per fornire accesso non autorizzato a computer, reti o dati.
Una guida per proteggere l'ambiente e i workload del cloud computing.
La sicurezza dei dati è la pratica che consiste nel proteggere le informazioni digitali dal furto, dalla corruzione o dall'accesso non autorizzato durante il loro ciclo di vita.