Modern Attack Surface: comprenderla, gestirla, proteggerla.
di Silvio Casagrande, Subject Matter Expert Vulnerability Management & Cyber Security.
Negli ultimi anni il mondo IT ha assistito ad una graduale espansione (o, a volte, migrazione) delle classiche infrastrutture on-premise verso sistemi sempre più ibridi e distribuiti.
In uno scenario dominato dalla rapida digitalizzazione dei modelli di business e delle modalità di lavoro, in cui l’uso del Cloud e la delocalizzazione delle risorse hanno subito una forte accelerazione incrementando in modo esponenziale i punti di contatto tra la propria infrastruttura IT e il mondo esterno, è aumentata considerevolmente la superficie di attacco su cui le organizzazioni cyber criminali possono operare e, di conseguenza, i rischi a cui un’organizzazione è esposta.
Come è cambiata la superficie di attacco?
La superficie di attacco può essere intesa come l’insieme di proprietà di sistema che hanno maggiore probabilità di essere punti di interesse per i cyber criminali, e include tutte le vulnerabilità che possono essere sfruttate per eseguire un attacco alla sicurezza di un’organizzazione.
Nel tempo, la composizione della superficie di attacco ha subito un’evoluzione. Le organizzazioni hanno registrato una crescita delle risorse informatiche, con conseguente aumento della complessità della sicurezza e della pressione, soprattutto per le aziende cloud. Nel 2022, gli analisti di Gartner hanno definito l’espansione della superficie di attacco la prima sfida in ambito di sicurezza: aumentato il numero di dispositivi digitali all’interno delle organizzazioni è incrementato progressivamente anche il numero di vulnerabilità e, quindi, di punti di accesso ai sistemi per le organizzazioni criminali. Oggi, per la maggior parte delle aziende moderne la superficie di attacco è massiccia e complessa da gestire, nonostante gli sforzi messi in atto dai responsabili di sicurezza: come riportato da Tenable, risulta che la maggioranza delle organizzazioni (73%) è preoccupata dei rischi che tale espansione della superficie porta con sé.
Originariamente, la superficie di attacco comprendeva risorse IT locali “tradizionali” (server, workstation e dispositivi di rete) in contesti relativamente controllati. A questi oggi si aggiungono nuovi elementi dinamici e spesso imprevedibili:
- dispositivi mobili, che possono apparire occasionalmente sulla rete, come laptop, smartphone e tablet
- dispositivi Internet of Things (IoT)
- dispositivi e infrastrutture di tecnologia operativa (OT)
- contenitori e virtual machines, che possono essere generati in modo automatico e moltiplicarsi molto rapidamente
- sottodomini, che non sempre vengono mappati o registrati e di cui talvolta si ignora l’esistenza,
- ambienti in cloud, in cui le informazioni sono veicolate in sistemi sempre più complessi e distribuiti geograficamente.
Per quanto concerne il Cloud, inoltre, la gestione e il provisioning dell’infrastruttura tramite codice anziché tramite processi manuali (Infrastructure as Code, IaC) alleggerisce il carico sugli sviluppatori, che non devono più svolgere manualmente le attività di provisioning e gestione di server, sistemi operativi, storage e altri componenti dell’infrastruttura ogni volta che sviluppano o distribuiscono un’applicazione. Un asset in cloud può essere generato e connesso ad internet nel giro di pochi secondi, e il rischio non averne visibilità dimenticando di includerlo nel perimetro di monitoraggio o di dimenticare di modificarne le impostazioni di default è sempre più concreto e frequente.
Proteggere la propria superficie di attacco
La gestione della propria superficie di attacco (Attack Surface Management, ASM) implica una serie di azioni volte al controllo, individuazione e risoluzione di tutte le minacce informatiche, attuali e potenziali che insistono su di essa.
Per ridurre il rischio di attacchi informatici il primo passo è sicuramente comprendere la composizione della propria superfice di attacco. Avere consapevolezza delle sue caratteristiche è importante per riuscire ad individuare con successo i fattori di rischio e, successivamente, stabilire la relativa priorità di intervento.
La maggioranza degli attacchi è prevenibile, ma i processi di gestione della superficie di attacco devono cambiare per far fronte a queste nuove sfide: il “classico” vulnerability management infrastrutturale deve evolversi in un sistema di exposure management sempre più basato sul rischio effettivo piuttosto che sulle sole metriche tradizionali (es. CVSS) e in grado di includere anche asset di tipo applicativo quali Web Applications, Containers e configurazioni di ambienti Cloud.
È per rispondere a queste necessità che vengono ideati e offerti sul mercato strumenti sempre più accurati e mirati per ottenere visibilità in modo sicuro e puntuale dei fattori di rischio presenti sull’intera superficie di attacco. Questi tools, benché specializzati ed efficaci se presi singolarmente, rischiano di complicare il processo di gestione: complessivamente generano infatti per ogni asset una grande mole di dati, disomogenei e provenienti da fonti diverse, che grava sui team di sicurezza rendendo difficile elaborare e analizzare le informazioni in maniera immediata. Anche le organizzazioni più attente alla propria cyber security posture spesso dispongono di strumenti che generano report eterogenei e producono informazioni frammentate su discovery, vulnerabilità e misconfiguration spesso impossibili da correlare.
Strumenti di rilevamento e valutazione verticali su ogni tipo di asset consentono di comprendere con maggiore dettaglio l’intera superficie di attacco, ma l’utilizzo di uno strumento di gestione delle vulnerabilità in grado di acquisire e sintetizzare gli input da ciascuno di questi strumenti in una vista unificata può davvero fare la differenza nella definizione corretta delle priorità e delle azioni di remediation.
Nella consapevolezza di questo scenario, Alfa Group è in grado di offrire soluzioni, supporto e consulenza nei diversi contesti che ad oggi compongono la complicata superficie di attacco di un’organizzazione. Attraverso un team di esperti di settore e con una partnership consolidata e di altissimo livello con Tenable, il maggiore player a livello mondiale nel settore della Cyber Exposure Management, siamo in grado di offrire un supporto a 360° su strumenti specializzati e innovativi per la gestione della External Attack Surface (Tenable.asm), sia dal punto di vista operativo che da quello dell’integrazione con altre tecnologie.
La piattaforma Tenable per l’Attack Surface Management, grazie ad una mappatura continua dell’intera rete Internet (oltre 5 miliardi di assets da oltre 500 fonti di dati arricchiti con oltre 200 campi di metadati), è in grado di individuare tutte le risorse correlate ad una serie di domini di interesse ed offrire al tempo stesso gli strumenti e le metriche per valutare la postura di sicurezza della superficie di attacco dell’organizzazione e le potenziali vie di accesso ai relativi sistemi.
Ad integrarsi perfettamente con questa tecnologia è RHD VM, la soluzione sviluppata da Alfa Group specificamente per indirizzare l’intero ciclo di vita delle Vulnerabilità infrastrutturali e applicative, dalla rilevazione al processo di risoluzione.
RHD VM, grazie alla sua estrema flessibilità e scalabilità, affronta con un approccio olistico il problema della frammentazione delle informazioni, garantendo una soluzione tanto unificata quanto trasversale. La piattaforma RHD VM è infatti in grado di integrarsi nativamente a tutte le principali tecnologie di vulnerability management presenti sul mercato e all’intera suite di prodotti Tenable (che la riconosce nel suo Cyber Exposure Technology Ecosystem). Tramite connettori custom può infatti raccogliere dati da endpoints API di terze parti, piattaforme di data analytics o database esterni di qualsiasi natura. Correlando le informazioni provenienti dalle diverse fonti a disposizione, RHD VM riesce a dare una più ampia visione della superficie d’attacco a cui l’organizzazione è esposta, agevolando l’individuazione e contestualizzazione delle vulnerabilità più critiche, l’analisi del rischio e la pianificazione, in base alla priorità delle azioni correttive e dei processi di mitigazione e risoluzione . RHD VM permette di presentare e comunicare in modo efficace la reale esposizione al rischio di una organizzazione disponendo di una vasta gamma di dashboard e report altamente personalizzabili.