Valutazione della superficie di attacco: una guida introduttiva

Con l'evoluzione e l'espansione dell'impronta digitale di qualsiasi organizzazione attraverso l'hosting di soluzioni di lavoro remoto, servizi basati su cloud o sistemi interconnessi, aumentano anche i punti di ingresso per potenziali attacchi. Il numero crescente di potenziali punti di accesso crea una superficie di attacco, che è la somma complessiva di tutti i possibili punti in cui un utente non autorizzato può entrare in un ambiente per ottenere l'accesso ai dati o estrarre dati da un ambiente.

Per le organizzazioni che desiderano proteggere le proprie risorse digitali, la valutazione della superficie di attacco (ASA) è una pratica essenziale. I team di sicurezza possono contribuire a ridurre il tempo medio necessario per individuare un attacco acquisendo una solida conoscenza della superficie di attacco e una visibilità completa di ogni suo singolo aspetto, compreso quello relativo alla gestione delle vulnerabilità . Ciò consente alle organizzazioni di passare da una risposta reattiva alla prevenzione attraverso la definizione strategica delle priorità di sicurezza e l'allocazione delle risorse.

In questo blog discuteremo della valutazione della superficie di attacco, della sua importanza, dei suoi vantaggi e delle sue sfide. Esploreremo anche i processi che possono aiutare un'organizzazione a difendere le proprie risorse IT da un panorama di minacce sempre più sofisticato.

Che cos'è la valutazione della superficie di attacco?

La valutazione della superficie di attacco è un approccio metodico per individuare, identificare e analizzare tutti i punti (quelli visibili pubblicamente) dell'infrastruttura IT di un'organizzazione (compresi hardware, software e soluzioni digitali) in cui un potenziale autore di minacce può ottenere l'accesso all'organizzazione per motivi dannosi. Ciò include l'enumerazione di tutti i punti di accesso a un determinato sistema, come porte di rete, interfacce applicative, portali utente, API e punti di accesso fisici. Il risultato finale è una visione composita dei punti in cui un'organizzazione può essere suscettibile agli attacchi.

Una valutazione della superficie di attacco è una valutazione delle componenti tecniche e non tecniche dell'ambiente. Ciò comprende dispositivi hardware, applicazioni software, servizi di rete, protocolli e account utente. La parte non tecnica riguarda l'aspetto umano, i processi organizzativi e la sicurezza fisica. Insieme, forniscono un quadro completo della posizione di sicurezza di un'organizzazione e identificano le aree target per la correzione.

Perché condurre valutazioni della superficie di attacco?

Le organizzazioni non possono proteggere ciò di cui non sono a conoscenza. Le violazioni della sicurezza si verificano su sistemi abbandonati, come risorse sconosciute, o utilizzando punti di accesso fuori dal campo di applicazione che i team di sicurezza non avevano mai pensato di includere nei loro piani di protezione.

Una volta che le organizzazioni sanno come un aggressore può entrare, possono identificare i punti deboli, che si tratti di software obsoleto, patch mancanti, meccanismi di autenticazione inefficaci o interfacce non ben difese. Ciò offre ai team di sicurezza la possibilità di correggere queste vulnerabilità prima che un aggressore possa sfruttarle.

La maggior parte delle organizzazioni lavora in un ciclo senza fine quando risponde agli avvisi e agli incidenti di sicurezza. I team sono esausti e le organizzazioni sono esposte. Questo modello viene modificato dalle valutazioni della superficie di attacco, poiché i team possono scoprire e risolvere le vulnerabilità prima che vengano sfruttate.

Metodologie di valutazione comuni per ASA

I team di sicurezza utilizzano diverse metodologie per valutare e gestire efficacemente la loro superficie di attacco. L'approccio scelto da un'organizzazione dipende solitamente dalle sue esigenze di sicurezza, dalle risorse disponibili e dalla complessità dell'ambiente digitale.

Tecniche di rilevamento automatizzate

Le tecniche di rilevamento automatico sono la spina dorsale della maggior parte dei programmi di valutazione della superficie di attacco. Questi strumenti utilizzano la scansione di reti, sistemi e applicazioni per rilevare sia le risorse che le vulnerabilità con il minimo sforzo umano. Gli scanner di porte mappano i servizi di rete aperti, gli strumenti di enumerazione dei sottodomini individuano le proprietà web inattive e gli analizzatori di configurazione cercano configurazioni non sicure.

Processi di verifica manuale

L'automazione offre ampiezza, mentre i processi di verifica manuale offrono profondità alle valutazioni della superficie di attacco. Ciò comporta la revisione manuale dei sistemi critici, il test dei controlli di accesso e la valutazione dell'architettura di sicurezza per identificare i problemi che uno strumento automatizzato non sarebbe in grado di rilevare, come i difetti logici dei processi aziendali, le tecniche di bypass dell'autenticazione e la revisione delle autorizzazioni di accesso da parte di professionisti della sicurezza.

Valutazione continua vs. valutazione puntuale

Quando progettano i propri programmi di sicurezza, le organizzazioni devono scegliere tra il monitoraggio continuo e le valutazioni puntuali. Le valutazioni di sicurezza istantanee, note come valutazioni puntuali, vengono spesso condotte su base trimestrale o annuale. Queste valutazioni tendono ad essere analisi approfondite, ma potrebbero trascurare le vulnerabilità più recenti presenti durante i cicli di valutazione. Al contrario, il monitoraggio continuo verifica costantemente la presenza di nuove risorse, modifiche alla configurazione o vulnerabilità.

Strutture di prioritizzazione basate sul rischio

Le strutture di prioritizzazione basate sul rischio consentono ai team di sicurezza di dare la priorità agli elementi più critici. Queste strutture tengono conto del potenziale impatto delle violazioni, della probabilità di sfruttabilità e del valore aziendale delle risorse interessate. Un approccio basato sul rischio consente ai team di sicurezza di affrontare prima le vulnerabilità più gravi, piuttosto che solo quelle più numerose o divulgate più di recente.

Applicazioni di sicurezza offensiva

Questo approccio di sicurezza offensiva alla valutazione della superficie di attacco offre l'opportunità di comprendere meglio i percorsi di attacco effettivi. Questo approccio consiste nel pensare come un aggressore, testando i sistemi come farebbe un aggressore. Ciò include la mappatura dei percorsi di attacco, la mappatura delle catene di vulnerabilità che portano a una violazione grave e l'emulazione degli avversari, in cui i team emulano la tecnologia utilizzata da particolari gruppi di minaccia.

Come eseguire la valutazione della superficie di attacco?

Una valutazione efficiente della superficie di attacco deve essere sistematica e combinare strumenti tecnici e capacità logiche strategiche. Di seguito è riportato il processo che descrive i passaggi fondamentali che le organizzazioni devono seguire per valutare il proprio livello di sicurezza e individuare i propri punti deboli.

Definizione iniziale dell'ambito e degli obiettivi

Tutte le valutazioni efficaci della superficie di attacco devono avere alcuni obiettivi e un ambito di applicazione. In questa fase, i team di sicurezza specificano quali sistemi saranno esaminati, quali tipi di falle di sicurezza stanno cercando e cosa costituisce una valutazione di successo. Questa fase di pianificazione definirà se la valutazione riguarda risorse critiche specifiche, sistemi di nuova implementazione o l'intera organizzazione.

Fase di enumerazione e individuazione delle risorse

L'identificazione e la registrazione di ogni sistema, applicazione e servizio che costituisce la presenza digitale dell'azienda costituisce il fulcro di questa fase. Il processo di individuazione inizia con metodi passivi e attivi. Questi metodi passivi possono includere la lettura di tutta la documentazione esistente, l'analisi dei diagrammi di rete, i controlli dei record DNS e la ricerca nelle banche dati pubbliche delle risorse percepite dell'organizzazione.

Mappatura dei vettori di attacco esterni

Dopo aver identificato le risorse, i team di sicurezza concentrano la loro attenzione sul modo in cui i criminali informatici potrebbero ottenere l'accesso a questi sistemi dall'esterno. Questa fase analizza i diversi percorsi che un aggressore può seguire per ottenere l'accesso iniziale. La mappatura dei vettori di attacco esterni è il processo di creazione di una mappatura dettagliata di tutti i punti di connessione al mondo esterno dai sistemi interni. Ciò comprende tutti i servizi esposti su Internet, gli endpoint VPN, i gateway di posta elettronica e le connessioni di terze parti.

Identificazione dei servizi e delle applicazioni esposti a Internet

Qualsiasi sistema che abbia una connessione diretta o indiretta (configurata tramite un tunnel VPN, ecc.) a Internet è il bersaglio numero uno per sua natura e richiede un'attenzione particolare durante la valutazione. In questa fase, tutti i servizi a cui è possibile accedere direttamente tramite Internet pubblico devono essere esaminati accuratamente. I team scansionano tutti gli intervalli IP e i domini pubblicati alla ricerca di porte aperte e servizi in esecuzione.

Valutazione dei sistemi di autenticazione e controllo degli accessi

Il fallimento dei controlli di accesso che impediscono l'accesso agli utenti non autorizzati consentirà l'accesso a qualsiasi utente, anche su sistemi ben protetti. Questa parte serve a determinare in che modo gli utenti convalidano la propria identità e quali utenti hanno accesso alle risorse. La valutazione dell'autenticazione include la verifica delle politiche relative alle password, l'autenticazione a due fattori, la gestione delle sessioni e l'archiviazione delle credenziali.

Documentazione dei risultati e creazione di profili di rischio

L'ultimo passo consiste nel convertire i risultati tecnici in informazioni di sicurezza utilizzabili, documentando le vulnerabilità e valutandone l'impatto sull'azienda. La pianificazione delle misure correttive e il miglioramento complessivo della sicurezza si baseranno su questa documentazione. I team redigono una descrizione tecnica di ciascuna vulnerabilità, ne delineano il potenziale impatto e spiegano con quale facilità potrebbe essere sfruttata.

Vantaggi della valutazione della superficie di attacco

Le valutazioni della superficie di attacco forniscono alle organizzazioni un valore significativo oltre all'identificazione delle vulnerabilità. Il quadro sistematico per l'analisi della sicurezza offre diversi vantaggi che contribuiscono alla resilienza e all'efficienza operativa della sicurezza aziendale.

Maggiore visibilità

La valutazione regolare della superficie di attacco migliora la visibilità in ambienti complessi. Man mano che le organizzazioni si evolvono, diventa sempre più difficile per loro avere e mantenere una comprensione accurata delle risorse IT di cui dispongono. Shadow IT, sistemi legacy e applicazioni non autorizzate creano punti ciechi in cui i rischi per la sicurezza possono passare inosservati. I team di sicurezza possono quindi vedere e proteggere l'intero ambiente.

Ridurre i costi di risposta agli incidenti

Il rilevamento tempestivo delle vulnerabilità riduce notevolmente i costi di risposta agli incidenti grazie alla valutazione delle superfici di attacco. Più a lungo gli hacker rimangono inosservati, più costosi diventano gli incidenti di sicurezza. Identificando le vulnerabilità in modo proattivo attraverso una valutazione delle vulnerabilità, è possibile individuarle prima che lo faccia un aggressore, consentendo di porvi rimedio prima che la risposta alla violazione, la notifica ai clienti, il ripristino del sistema e le sanzioni normative diventino un problema.

Allocazione strategica delle risorse

Queste valutazioni aiutano anche le organizzazioni a concentrare la spesa per la sicurezza dove necessario, consentendo un'allocazione più strategica delle risorse. Oggigiorno, i team di sicurezza sono sottoposti a pressioni per proteggere più sistemi che mai e farlo con risorse limitate. Le informazioni fornite nelle valutazioni della superficie di attacco sono fondamentali per i responsabili delle decisioni, poiché identificano esattamente quali sistemi sono a rischio più elevato e quali vulnerabilità comportano il danno potenziale maggiore se sfruttate.

Facilità di espansione aziendale

L'analisi della sicurezza pre-implementazione migliora la sicurezza dell'espansione aziendale. Quando le organizzazioni innovano nuovi prodotti, si espandono in nuovi mercati o introducono nuove tecnologie, forniscono anche nuovi vettori di attacco. Prima di queste espansioni, la conduzione di valutazioni della superficie di attacco affronta le minacce alla sicurezza con un approccio proattivo, poiché queste minacce tendono ad essere più facili e convenienti da risolvere nelle prime fasi del processo.

Sfide nella valutazione della superficie di attacco

I risultati della valutazione della superficie di attacco sono indubbiamente preziosi per i team di sicurezza, ma esistono anche una serie di sfide particolarmente impegnative associate all'implementazione e alla manutenzione di un programma di valutazione della superficie di attacco. Quando le organizzazioni riconoscono queste sfide, possono creare considerazioni migliori per le valutazioni e ridefinire gli obiettivi.

Ambienti IT dinamici e in evoluzione

Per i team di sicurezza è difficile stare al passo con i continui cambiamenti, in particolare nelle organizzazioni con team di sviluppo attivi e rilasci frequenti. Esiste un divario tra la natura fluida delle infrastrutture moderne e gli strumenti/processi progettati per osservarle. Le nuove implementazioni introducono ulteriori potenziali vettori di attacco e i sistemi dismessi spesso lasciano risorse abbandonate ancora accessibili.

Complessità delle infrastrutture cloud e containerizzate

Gli strumenti di valutazione creati per le infrastrutture on-premise tradizionali tendono ad avere scarsa visibilità sui rischi legati al cloud, come bucket di archiviazione configurati in modo errato, autorizzazioni IAM eccessive o funzioni serverless non sicure. Le applicazioni containerizzate aggiungono un ulteriore livello di complessità con i loro sistemi di orchestrazione ambientale multilivello e gli aspetti di sicurezza del registro.

Mantenere un inventario accurato delle risorse

Gli strumenti di rilevamento delle risorse spesso trascurano alcuni sistemi o non forniscono informazioni complete su di essi. Le risorse IT ombra implementate all'insaputa del team di sicurezza diventano punti ciechi della copertura di sicurezza. I sistemi legacy sono raramente documentati, il che significa che la loro funzione e le loro relazioni non sono sempre evidenti.

Limiti delle risorse e definizione delle priorità

Esiste un problema legato agli strumenti, alle competenze e al tempo che determinano le sfide relative alle risorse. La maggior parte dei team non dispone delle competenze avanzate necessarie per valutare gli ambienti cloud, i dispositivi IoT o le applicazioni specializzate. Gli strumenti di valutazione hanno costi elevati, che possono superare il budget stanziato. Le unità aziendali spesso esercitano pressioni in termini di tempo, portando a valutazioni abbreviate che possono tralasciare vulnerabilità critiche.

Gestione dei falsi positivi

Per ottenere informazioni approfondite, i team di sicurezza devono esaminare e convalidare manualmente i risultati, operazione che, a seconda della portata della valutazione, può richiedere da alcune ore a diversi giorni. I frequenti falsi allarmi rendono gli analisti meno sensibili a essi e possono far loro trascurare le minacce reali nascoste tra essi. In assenza di processi per la selezione e la convalida dei risultati, i team vengono sommersi da una valanga di informazioni.

Best practice per la valutazione della superficie di attacco

Molte organizzazioni dovrebbero comprendere le best practice per una valutazione efficace della superficie di attacco, al fine di evitare errori comuni e ottenere il massimo valore in termini di sicurezza.

Creazione di un inventario completo delle risorse

Un inventario completo e accurato delle risorse è alla base di una gestione efficace della superficie di attacco. Per proteggere le risorse, le organizzazioni devono prima sapere di cosa dispongono. Le organizzazioni leader mantengono inventari delle risorse di tutto l'hardware, il software, le risorse cloud e i servizi digitali.

Implementazione del monitoraggio continuo

In tutta l'infrastruttura, implementare sensori per acquisire la telemetria di sicurezza che include dati sulle vulnerabilità e modifiche alla configurazione, nonché attività sospette. Verificare automaticamente che lo stato attuale corrisponda alle linee guida previste e segnalare eventuali deviazioni utilizzando strumenti di orchestrazione, insieme a una scansione continua delle vulnerabilità senza un programma fisso.

Contestualizzazione dei risultati con le informazioni sulle minacce

I team di sicurezza dovrebbero unirsi ai feed sulle minacce per ottenere dettagli sulle vulnerabilità attivamente sfruttate, sulle tecniche emergenti e sugli argomenti specifici del settore. Correlare le scoperte relative alla superficie di attacco dell'organizzazione con queste informazioni per vedere quali vulnerabilità sono più suscettibili di essere sfruttate nel prossimo futuro. Monitorare le campagne degli autori delle minacce che potrebbero prendere di mira il settore o le aziende con profili organizzativi simili per comprendere i probabili percorsi di attacco.

Priorità di risoluzione basata sul rischio

Creare una classifica dei problemi basata su un sistema di punteggio che tenga conto della gravità della vulnerabilità, della criticità delle risorse, della possibilità di sfruttamento e della sensibilità dei dati. Concentratevi sulle vulnerabilità facili da sfruttare e che consentono a un aggressore di accedere a sistemi o dati sensibili. Sviluppate varie tempistiche di correzione in base al valore aziendale a rischio, ad esempio assicurandovi che i problemi critici vengano risolti in pochi giorni e che gli artefatti a basso rischio vengano acquisiti nei normali cicli di manutenzione/patch.

Comunicazione e reporting agli stakeholder

Redigere report esecutivi che sintetizzino i risultati tecnici in termini di rischio aziendale, coprendo i potenziali impatti operativi, finanziari e reputazionali. Creare report tecnici specifici per l'IT che contengano le misure correttive da adottare insieme alle informazioni sui punti di controllo per confermarle.

Esempi reali di esposizione della superficie di attacco

La violazione di Equifax del 2017 è uno dei più grandi casi di esposizione della superficie di attacco con risultati devastanti. Gli aggressori hanno sfruttato una vulnerabilità non corretta in Apache Struts, un framework di applicazioni web, per violare i sistemi di Equifax. Sebbene questa vulnerabilità fosse già nota e fosse disponibile una patch, Equifax non l'ha applicata in tutto il proprio ambiente. È stata questa svista a consentire agli aggressori di accedere ai dati sensibili relativi al credito dei consumatori di circa 147 milioni di persone.

Nel 2019, la violazione di Capital One è avvenuta quando un ex dipendente di AWS ha sfruttato un WAF configurato in modo errato nell'ambiente AWS di Capital One. La configurazione errata ha consentito a un hacker di eseguire comandi sul servizio di metadati e recuperare le credenziali per accedere ai dati del bucket S3. L'attacco ha compromesso circa 100 milioni di americani e circa 6 milioni di canadesi. È un buon esempio di quanto sia ingannevolmente complicata la sicurezza dell'ambiente cloud e di quanto sia importante la gestione della configurazione del cloud.

Conclusione

Nel panorama delle minacce moderne e in continua evoluzione, le organizzazioni devono adottare varie strategie per proteggere le proprie risorse digitali, da qui la necessità di valutare la superficie di attacco. Effettuando un'identificazione, un'analisi e una correzione strutturate dei possibili punti di accesso, i team di sicurezza possono ridurre notevolmente il rischio di attacchi informatici. Valutazioni frequenti consentono di risolvere eventuali problemi prima che gli aggressori possano individuarli e sfruttarli. Questa misura proattiva migliora la sicurezza, ma aiuta anche il processo di conformità e l'allocazione delle risorse e contribuisce alla comprensione delle strategie di sicurezza.