La gestione della superficie di attacco (Attack Surface Management, ASM) è il rilevamento, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità della sicurezza informatica e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione.
A differenza di altre discipline di sicurezza informatica, la gestione della superficie di attacco viene condotta interamente dalla prospettiva di un hacker, piuttosto che da quella di chi cerca di difendersi da eventuali attacchi. Identifica gli obiettivi e valuta i rischi in base alle opportunità che presentano a un aggressore malintenzionato. L'ASM si basa su molti degli stessi metodi e delle stesse risorse utilizzati dagli hacker e molte attività e tecnologie di ASM sono concepite da "hacker etici" che hanno dimestichezza con i comportamenti dei criminali informatici e sono in grado di riprodurne le azioni.
La gestione della superficie di attacco esterna (EASM, External Attack Surface Management), una tecnologia di ASM relativamente nuova, è a volte utilizzata in modo intercambiabile con l'ASM. L'EASM si concentra però specificamente sulle vulnerabilità e sui rischi presentati dagli asset IT esterni o che interagiscono con Internet di un'organizzazione (a volte indicati come superficie di attacco digitale dell'organizzazione). L'ASM si occupa pure delle vulnerabilità delle superfici di attacco di ingegneria sociale e fisica di un'organizzazione, quali i membri interni malintenzionati o una formazione contro le truffe di phishing inadeguata degli utenti finali.
L'adozione del cloud, la trasformazione digitale e l'espansione del lavoro in remoto - tutti accelerati dalla pandemia di COVID-19 - hanno reso la superficie di attacco e l'impronta digitale di un'azienda media più ampia, distribuita e dinamica, con nuovi asset che si connettono alla rete dell'azienda quotidianamente.
Secondo il report di Randori State of Attack Surface Management 2022 (link esterno a ibm.com), il 67 percento delle organizzazioni ha assistito negli ultimi 12 mesi a un'espansione della sua superficie di attacco e, nel corso dell'ultimo anno, il 69 percento è stato compromesso da un asset che interagisce con Internet sconosciuto o gestito in modo inadeguato. (Randori è una società sussidiaria di IBM Corp.) Gli analisti del settore presso Gartner (link esterno a ibm.com) hanno designato l'espansione della superficie di attacco come una priorità assoluta della gestione della sicurezza e dei rischi per i CISO (Chief Information Security Officer) nel 2022.
I tradizionali processi di rilevamento, valutazione dei rischi e gestione delle vulnerabilità degli asset, sviluppati quando le reti aziendali erano più stabili e centralizzate, non sono in grado di tenere il passo con la velocità alla quale nuove vulnerabilità e nuovi vettori di attacco si manifestano nelle reti odierne. I test di penetrazione, ad esempio, possono eseguire test che mirano a rilevare eventuali vulnerabilità sospette negli asset noti ma non possono aiutare i team di sicurezza a identificare i nuovi rischi informatici e le nuove vulnerabilità che emergono quotidianamente.
Tuttavia, il flusso di lavoro continuo e la prospettiva da hacker dell'ASM consentono ai team di sicurezza e ai SOC (security operations center) di stabilire un profilo di sicurezza proattivo a fronte di una superficie di attacco che cresce e cambia costantemente. Le soluzioni di ASM forniscono visibilità in tempo reale delle vulnerabilità e dei vettori di attacco man mano che compaiono. Possono attingere alle informazioni dai tradizionali strumenti di gestione del rischio e gestione delle vulnerabilità per un maggiore contesto quando analizzano e definiscono la priorità delle vulnerabilità. Possono anche integrarsi con le tecnologie di rilevamento e risposta alle minacce - compresi SIEM (security information and event management), EDR (endpoint detection and response) o XDR (extended detection and response) - per migliorare la mitigazione delle minacce e accelerare la risposta alle minacce in tutta l'azienda.
L'ASM si articola in quattro processi fondamentali: rilevamento, classificazione e definizione della priorità, correzione e monitoraggio degli asset. Poiché, ribadiamolo, le dimensioni e la forma della superficie di attacco digitale mutano costantemente, i processi vengono eseguiti in modo continuo e le soluzioni di ASM automatizzano questi processi ogni qual volta è possibile. L' obiettivo è quello di garantire che il team di sicurezza abbia sempre un inventario completo e aggiornato degli asset esposti e accelerare la risposta alle vulnerabilità e alle minacce che presentano il rischio più elevato per l'organizzazione.
Rilevamento degli asset
Il rilevamento degli asset esegue in modo automatico e continuo delle scansioni miranti a rilevare e identificare hardware, software e asset cloud che interagiscono con Internet che potrebbero servire da punti di ingresso per un hacker o un criminale informatico che prova ad attaccare un'organizzazione. Questi asset possono includere
Classificazione, analisi e definizione della priorità
Dopo essere stati identificati, gli asset vengono classificati, vengono analizzati per rilevare eventuali vulnerabilità e ne viene definita la priorità in base alla suscettibilità a essere attaccati, essenzialmente una misura obiettiva della probabilità che vengano presi di mira dagli hacker.
Gli asset vengono inventariati in base a identità, indirizzo IP, proprietà e connessioni agli altri asset nell'infrastruttura IT. Vengono analizzati per rilevare le eventuali esposizioni che potrebbero presentare, le cause di tali esposizioni (ad es. configurazioni non corrette, errori di codifica, patch mancanti) e i tipi di attacchi che gli hacker potrebbero intraprendere tramite tali esposizioni (ad es. rubare dati sensibili, diffondere ransomware o altro malware).
Viene quindi definita la priorità della correzione delle vulnerabilità. La definizione della priorità è un esercizio di valutazione del rischio: di norma, a ogni vulnerabilità viene data una valutazione della sicurezza o un punteggio di rischio sulla base
Correzione
Di norma, le vulnerabilità vengono corrette in ordine di priorità. Ciò può comportare:
La correzione può anche comportare misure più ampie e che coinvolgono diversi asset per occuparsi delle vulnerabilità, come l'implementazione dell'accesso con privilegio minimo o l'autenticazione a più fattori (MFA, multi-factor authentication).
Monitoraggio
Poiché i rischi di sicurezza nella superficie di attacco dell'organizzazione cambiano ogni volta che vengono implementati dei nuovi asset o che degli asset esistenti vengono implementati in nuovi modi, sia gli asset inventariati della rete che la rete stessa sono sottoposti in modo continuo a monitoraggio e scansione per rilevare eventuali vulnerabilità. Il monitoraggio continuo consente all'ASM di rilevare e valutare nuove vulnerabilità e nuovi vettori di attacco in tempo reale e di avvisare i team di sicurezza di qualsiasi nuova vulnerabilità che richiede un'immediata attenzione.
Gestisci l'espansione della tua presenza digitale e allineati agli obiettivi con un numero inferiore di falsi positivi per migliorare rapidamente la resilienza informatica della tua organizzazione.
Connetti i tuoi strumenti, automatizza il tuo SOC (security operations center) e libera tempo per le attività più importanti.
Adotta un programma di gestione delle vulnerabilità che sia in grado di individuare, definire le priorità e gestire la correzione delle falle che possono esporre i tuoi asset più critici
La superficie di attacco di un'organizzazione è la somma delle sue vulnerabilità di sicurezza informatica.
Le minacce interne si verificano quando gli utenti con un accesso autorizzato agli asset aziendali compromettono tali asset deliberatamente o accidentalmente.
Una strategia Zero Trust richiede a tutti gli utenti (sia quelli esterni sia quelli che si trovano già all'interno della rete) di eseguire l'autenticazione, ottenere l'autorizzazione ed essere convalidati continuamente in modo da ottenere e mantenere l'accesso alle applicazioni e ai dati
Il malware è un codice software scritto per danneggiare o distruggere computer o reti o per fornire un accesso non autorizzato a computer, reti o dati.
Una guida per proteggere i carichi di lavoro e l'ambiente di cloud computing.
La sicurezza dei dati consiste nel proteggere le informazioni digitali da furti e danneggiamenti o da accessi non autorizzati durante tutto il loro ciclo di vita.