Oggi, molto spesso, si sente parlare di “superficie di attacco informatico”: è fondamentale evidenziare l’importanza di questo concetto per capire come funzionano gli attacchi e dove le organizzazioni sono più esposte. Durante la pandemia la superficie d’attacco è cresciuta probabilmente di più e più velocemente che in qualsiasi momento del passato. E questo ha creato diversi problemi. Sfortunatamente, le organizzazioni non sono sempre in grado di definire la vera dimensione della loro superficie d’attacco – lasciando le loro risorse digitali e fisiche esposte agli attori delle minacce.
Fortunatamente, eseguendo alcune best practice, questi stessi difensori possono anche migliorare la loro visibilità della superficie di attacco, e con essa, ottenere una migliore comprensione di ciò che è necessario per ridurla e gestirla.
Cos’è la superficie di attacco aziendale?
A un livello di base, la superficie di attacco può essere definita come le risorse fisiche e digitali di un’organizzazione che potrebbero essere compromesse durante un attacco informatico. L’obiettivo finale degli attori delle minacce potrebbe essere qualsiasi cosa, dal distribuire ransomware e rubare i dati alla creazione di una botnet, scaricare ‘trojan bancari’ o installare malware di crypto-mining. La linea di fondo è: più grande è la superficie di attacco, più grande è l’obiettivo a cui i cattivi devono mirare.
Diamo un’occhiata alle due principali categorie di superficie d’attacco in modo più dettagliato:
La superficie di attacco digitale
Questo descrive tutto l’hardware collegato alla rete di un’organizzazione, il software e i relativi componenti. Questi includono:
Applicazioni: le vulnerabilità nelle applicazioni sono comuni e possono offrire agli aggressori un utile punto d’ingresso nei sistemi IT critici e nei dati.
Codice: esiste un rischio importante che si ricollega al fatto che la maggior parte del codice viene compilato da componenti di terze parti, che possono contenere malware o vulnerabilità.
Porte: coloro che attaccano fanno sempre più spesso la scansione delle porte aperte per trovare se qualche servizio è presente su una porta specifica (ad esempio, la porta TCP 3389 per RDP). Se questi servizi sono mal configurati o contengono bug, questi possono essere sfruttati.
Server: questi potrebbero essere attaccati tramite exploit di vulnerabilità o attacchi DDoS.
Siti web: rappresenta un’altra parte della superficie di attacco digitale che viene interessata da molteplici vettori di attacco, compresi i difetti del codice e la cattiva configurazione. Una compromissione riuscita può portare al web defacement, o all’impianto di codice maligno per attacchi drive-by e di altro tipo (ad esempio, formjacking).
Certificati: le organizzazioni spesso li lasciano scadere, permettendo agli aggressori di approfittarne.
Questo è lontano dall’essere un elenco esaustivo. Per evidenziare la scala pura della superficie di attacco digitale, si consideri questa ricerca del 2020 sulle aziende della lista FTSE 30, la quale ha trovato:
- 324 certificati scaduti
- 25 certificati che utilizzano l’obsoleto algoritmo di hashing SHA-1
- 743 possibili siti di test esposti a Internet
- 385 moduli insicuri di cui 28 utilizzati per l’autenticazione
- 46 framework web con vulnerabilità note
- 80 istanze PHP 5.x
- 664 versioni di server web con vulnerabilità note
La superficie di attacco fisico
Questo comprende tutti i dispositivi endpoint a cui un aggressore potrebbe accedere “fisicamente”, come ad esempio:
- Computer desktop
- Dischi rigidi
- Computer portatili
- Telefoni/dispositivi mobili
- Chiavi USB
È anche il caso di dire che i vostri dipendenti sono una parte importante della superficie di attacco fisico dell’organizzazione, in quanto possono essere manipolati tramite tecniche di social engineering (phishing e le sue varianti) nel corso di un attacco informatico. Sono anche responsabili dello shadow IT, l’uso non autorizzato di applicazioni e dispositivi da parte dei dipendenti per aggirare i controlli di sicurezza aziendali. Usando questi strumenti non approvati – e spesso non adeguatamente protetti – per lavorare, potrebbero esporre l’organizzazione a ulteriori minacce.
La superficie di attacco sta diventando sempre più grande?
Le organizzazioni hanno costruito le loro risorse IT digitali per molti anni. Ma l’avvento della pandemia ha visto investimenti su larga scala, per supportare il lavoro remoto e mantenere le operazioni aziendali in un momento di estrema incertezza del mercato. Ha ampliato la superficie di attacco in diversi modi:
- Endpoint per il lavoro a distanza (ad esempio, computer portatili, desktop)
- Applicazioni e infrastrutture cloud
- Dispositivi IoT e 5G
- Uso di codice di terze parti e DevOps
- Infrastruttura di lavoro remoto (VPN, RDP ecc.)
Non si può tornare indietro. Secondo gli esperti, molte aziende sono state spinte oltre un punto di svolta digitale che cambierà le loro operazioni per sempre. Questa è potenzialmente una cattiva notizia per le superfici di attacco, in quanto potrebbe dar luogo a:
- Attacchi di phishing che sfruttano una mancanza di consapevolezza della sicurezza nei dipendenti
- Malware e vulnerabilità sfruttate su server, applicazioni e altri sistemi
- Password rubate o oggetto di un attacco brute force, usate per accessi non autorizzati
- Sfruttamento di configurazioni errate (ad esempio, negli account cloud)
- Certificati web rubati
Come mitigare i rischi della superficie di attacco
La superficie di attacco è di fondamentale importanza per la definizione delle best practice in tema di cybersecurity, perché comprendere le sue dimensioni e prendere provvedimenti per ridurla o gestirla è il primo passo verso una protezione proattiva. Ecco alcuni suggerimenti:
- In primo luogo, capire le dimensioni della superficie di attacco con audit delle risorse e dell’inventario, penetration test, scansione delle vulnerabilità e altro
- Ridurre la dimensione della superficie di attacco e il rischio informatico associato dove è possibile tramite:
- · Consolidamento degli endpoint, eliminando l’hardware legacy
- · Aggiornamento del software e dei sistemi operativi
- · Segmentazione delle reti
- · Seguendo le best practice di DevSecOps
- · Gestione continua della vulnerabilità
- · Mitigazione del rischio della catena di approvvigionamento
- · Misure di sicurezza dei dati (cioè, crittografia forte)
- · Forte gestione dell’identità e dell’accesso
- · Approccio Zero Trust
- · Registrazione e monitoraggio continuo dei sistemi
- · Programmi di formazione della consapevolezza degli utenti
L’ambiente IT aziendale è in un costante evoluzione, grazie all’uso diffuso di VM, container e microservizi, al continuo turnover di dipendenti e all’implementazione di nuovi hardware e software. Ciò significa che qualsiasi tentativo di gestire e comprendere la superficie di attacco deve essere intrapreso con strumenti agili e intelligenti che lavorano con dati in tempo reale. Come sempre, “visibilità e controllo” dovrebbero essere le vostre parole d’ordine per mantenere al sicuro il vostro sistema aziendale.