4 tipi di superficie di attacco nella sicurezza informatica

Dalle credenziali rubate agli endpoint cloud non protetti, ogni risorsa all'interno dell'ambiente IT può essere un punto di accesso per gli aggressori. Nell'anno fiscale 2023, il governo degli Stati Uniti è stato oggetto di 6.198 attacchi di phishing e oltre 12 mila casi di uso improprio da parte di utenti legittimi. Da questi esempi, possiamo concludere che anche le istituzioni considerate molto credibili e affidabili non sono al sicuro dalle infiltrazioni. Inoltre, ci sono diverse organizzazioni che non hanno alcuna conoscenza o hanno una conoscenza limitata dei tipi di superficie di attacco. Pertanto, rimangono ignare della superficie di attacco, non riescono a proteggere risorse importanti e a ridurre al minimo le minacce informatiche.

Per aiutare le organizzazioni a comprendere meglio, in questo articolo spiegheremo la definizione di superficie di attacco e perché dovrebbe essere ridotta. Nella sezione successiva descriveremo i quattro ambiti dell'ingegneria digitale, fisica, umana e sociale e forniremo una panoramica dei problemi tipici che possono verificarsi. Forniremo anche esempi reali di superficie di attacco, tra cui violazioni di big data e minacce di nuova concezione.

Che cos'è la superficie di attacco?

Una superficie di attacco nella sicurezza informatica può anche essere descritta come i diversi vettori attraverso i quali un aggressore può tentare di violare un sistema o ottenere accesso non autorizzato o rubare dati da esso. Ciò potrebbe coinvolgere non solo server e repository di codice, ma anche endpoint dei dipendenti, container cloud o persino shadow IT. In un sondaggio condotto nel 2023, più della metà degli intervistati ha affermato che la sicurezza dei dati era la loro principale preoccupazione in materia di sicurezza informatica, da cui la necessità di identificare ogni possibile vulnerabilità.

In un mondo in cui le connessioni sono frequenti e veloci, trascurare qualsiasi percorso parziale può portare a minacce critiche, che vanno dalla compromissione delle credenziali ai movimenti laterali nell'architettura dei microservizi. Pertanto, l'identificazione della superficie di attacco complessiva, che comprende tutto, dal livello hardware a quello utente, è il punto di partenza essenziale per la sicurezza. Ecco perché solo elencando questi possibili punti di infiltrazione i team di sicurezza possono sigillarli o isolarli per ridurre le potenziali minacce.

Tipi di superfici di attacco

Sebbene le organizzazioni possano raggruppare le vulnerabilità di sicurezza sotto un unico ombrello, i tipi di vettori di attacco sono molto diversi tra loro. Ciascuna delle quattro categorie, digitale, fisica, umana e ingegneria sociale, ha i propri vettori di penetrazione unici e richiede misure di protezione specifiche.

Una volta suddivisi, diventa più facile per i team capire quali difese devono implementare. Qui identifichiamo ciascun dominio e i suoi elementi, le modalità di trasmissione e le strategie per evitarlo.

1. Superficie di attacco digitale

Nell'era delle API, dei carichi di lavoro containerizzati e dell'espansione in più cloud, la componente digitale è una parte significativa della superficie di attacco. Servizi web non mantenuti, framework vulnerabili o endpoint di sviluppo rimanenti possono creare punti di accesso diretti alle applicazioni. Attraverso l'identificazione costante e la creazione di una rappresentazione dettagliata dei bordi della rete e la scansione costante delle minacce, i team di sicurezza possono stare al passo con un ambiente digitale sempre più complesso.

Componenti

Si tratta di diversi punti di accesso software e di rete dei componenti digitali. Più servizi e funzionalità cloud sono connessi, maggiore è la superficie digitale. Elencare ogni risorsa (domini, sottodomini, API o microservizi) aiuta a evitare punti ciechi che possono essere presi di mira dagli aggressori.

1. Applicazioni web: Le applicazioni web comportano interazioni con gli utenti e possono includere l'autenticazione e persino database. Pertanto, vulnerabilità come SQL injection o cross-site scripting possono consentire a un utente malintenzionato di modificare i dati o trasferirli a persone non autorizzate. Questi punti di infiltrazione possono essere mitigati mediante scansioni regolari e l'integrazione di un SDLC sicuro nei processi di un'organizzazione.
2. API: I microservizi utilizzano le API per comunicare tra loro e con applicazioni esterne. Se gli endpoint non sono autenticati o i token utilizzati sono obsoleti, gli aggressori possono muoversi facilmente. Per evitare che vengano compromessi, è possibile utilizzare la sicurezza basata su token, la limitazione della velocità e il controllo della versione.
3. Servizi cloud e IoT: Bucket di archiviazione inadeguati sulle piattaforme cloud o dispositivi IoT non sicuri senza aggiornamenti del firmware introducono nuovi vettori di attacco. I criminali informatici sfruttano le porte aperte o la trasmissione di dati non crittografati. Questi rischi vengono ridotti al minimo attraverso controlli di configurazione di routine, l'applicazione della sicurezza del livello di trasporto e gli aggiornamenti del firmware.

Vettori di attacco comuni

Alcuni aggressori prendono di mira i siti web cercando framework web vulnerabili, sottodomini aperti ai test o API non sicure. L'iniezione di codice è ancora un metodo di attacco comune, poiché consente ai criminali di modificare le query del database o i comandi del server. Nel caso dell'IoT, ad esempio, il dirottamento dei dispositivi o persino l'intercettazione dei dati possono essere causati da una crittografia debole. D'altra parte, le configurazioni errate del cloud portano all'esposizione dei dati se le impostazioni di autorizzazione non sono sufficientemente restrittive.

Strategie di mitigazione

La scansione del codice, l'utilizzo di linee guida per la sicurezza del codice e l'aggiornamento delle vulnerabilità aiutano a gestire i difetti comuni del software. Il movimento laterale è limitato dalle architetture zero-trust, che isolano i microservizi e convalidano ogni richiesta. La sicurezza è un aspetto importante del cloud computing e, per ottenerla, è fondamentale rafforzare i ruoli IAM e crittografare i dati in transito. Tuttavia, scansioni regolari dell'ambiente aiutano a evitare che gli ambienti IoT o di sviluppo temporanei vengano trascurati.

2. Superficie di attacco fisica

Sebbene l'inclusione digitale sia più suscettibile di attirare l'attenzione dei media, l'hardware fisico e i dispositivi in loco rimangono punti di accesso condivisi essenziali. Le apparecchiature smarrite o rubate possono compromettere i dati o le informazioni di accesso alla rete, che possono superare anche i firewall più sofisticati. Conoscere il proprio ambiente fisico è fondamentale per proteggersi da quello che viene spesso definito accesso "backdoor", che non rispetta la sicurezza informatica.

Componenti

Questi riguardano beni fisici, ovvero PC, server o telefoni, e le strutture che li ospitano. Le misure di sicurezza fisica garantiscono un accesso limitato ai data center, agli uffici aziendali e all'hardware che contiene informazioni sensibili. In questo modo, elencando ogni dispositivo o luogo, si riduce al minimo la probabilità di manomissione dei dispositivi in loco.

1. Endpoint: Le password o i cookie possono essere memorizzati in laptop, desktop o altri dispositivi mobili. Il furto può compromettere direttamente i dati quando un endpoint non dispone di crittografia del disco o quando ha password deboli. L'applicazione della crittografia e il blocco dei dispositivi rimangono strategie di base che aiutano a prevenire la penetrazione fisica.
2. Server: I rack in loco o i server in co-locazione contengono informazioni importanti e servizi cruciali. La mancanza di registri delle telecamere o l'accesso libero possono consentire all'intruso di installare un keylogger o persino di rimuovere le unità. Le misure di sicurezza fisica includono serrature adeguate, accesso con tessera identificativa e sorveglianza 24 ore su 24 per prevenire qualsiasi manomissione.
3. Dispositivi smarriti/rubati: L'hardware smarrito è una via di infiltrazione significativa, che si tratti di un telefono personale con e-mail aziendali o di un'unità USB con backup. Possono leggere i file locali o rubare i token utilizzati per l'accesso. Utilizzando funzionalità di cancellazione remota e codici di accesso complessi per ogni dispositivo, questa parte della superficie di attacco complessiva viene ridotta al minimo.

Vettori di attacco comuni

L'hardware aziendale è un aspetto essenziale di qualsiasi organizzazione e i criminali ricorrono alla forza o alle effrazioni per rubare l'hardware aziendale. Possono cercare unità o documenti scartati nei cestini della spazzatura. In alcuni casi, i dipendenti causano intenzionalmente il malfunzionamento di un rack scollegando i cavi o installando hardware dannoso. Anche lasciare i laptop in auto o sbloccati nei bar aumenta il dominio della minaccia fisica.

Strategie di mitigazione

La protezione con password, la crittografia completa del disco, le password BIOS/UEFI e i blocchi dei dispositivi rendono inoltre difficile estrarre informazioni dai dispositivi rubati. Un altro modo per ridurre al minimo l'utilizzo delle periferiche è disabilitare le porte o le funzionalità USB che non sono essenziali. Adequate misure di sicurezza fisica, come la scansione dei documenti di identità o l'uso di serrature biometriche per consentire l'accesso al data center, riducono al minimo il rischio di sabotaggio. Ulteriori misure includono la verifica regolare delle scorte e il corretto monitoraggio delle risorse per individuare oggetti smarriti o rubati che vengono prontamente disabilitati.

3. Superficie di attacco umana

Poiché la tecnologia è solitamente il punto focale della difesa di un'azienda, la maggior parte delle perdite di dati più gravi è dovuta a errori umani. Anche se può trattarsi di un dipendente ingenuo che cade vittima di link di phishing o di un dipendente con intenzioni malevole che divulga informazioni aziendali, gli esseri umani continuano a far parte della superficie di attacco. Per garantire che nessuno commetta errori e apra una breccia agli aggressori, è essenziale comprendere come ciò possa accadere a dipendenti, appaltatori o partner.

Componenti

Per quanto riguarda i rischi umani, essi possono essere definiti dai comportamenti degli utenti, dalla mancanza di informazioni e dagli incentivi. La mancanza di una buona gestione delle password, una formazione insufficiente o un attacco interno possono compromettere anche i sistemi di sicurezza più robusti. È essenziale che le organizzazioni valutino la capacità di ciascun utente di supportare o compromettere le difese.

1. Minacce interne: Il personale può sabotare intenzionalmente l'azienda divulgando credenziali o inserendo backdoor. È sempre possibile che anche i lavoratori più ben intenzionati creino sistemi IT ombra o archivino informazioni in modo non sicuro. La riduzione dei privilegi e la verifica dei registri consentono inoltre di prevenire o identificare gli abusi interni in una fase precoce.
2. Phishing: I criminali informatici inviano e-mail o messaggi che sembrano provenire da entità ufficiali per indurre le vittime a fornire le credenziali di accesso o a scaricare malware. Questi attacchi possono essere ridotti al minimo grazie a una formazione frequente del personale. In combinazione con i filtri antispam e la scansione costante dei link, è possibile ridurre significativamente le possibilità di infiltrazione.
3. Password deboli: Le password brevi o facilmente intuibili continuano a essere un punto di accesso molto utilizzato. Ciò significa che se un dipendente utilizza le stesse passphrase in diversi sistemi, hackerando uno di essi l'hacker avrà accesso a tutti gli altri. Per questo motivo è opportuno incoraggiare l'uso di gestori di password, creare password complesse e rendere obbligatoria la reimpostazione delle password per ridurre al minimo la minaccia di attacchi di forza bruta.

Vettori di attacco comuni

I criminali inviano e-mail di spear-phishing alle persone in base alla loro mansione lavorativa. Potrebbero anche provare a utilizzare credenziali rubate in attacchi precedenti, se i dipendenti le hanno riutilizzate. Le minacce esterne sono quelle che provengono dall'esterno dell'organizzazione, mentre le minacce interne sfruttano l'accesso diretto o i privilegi non monitorati per copiare i dati senza alcuna interferenza. In assenza di un'adeguata analisi del comportamento degli utenti o di un'autenticazione a più fattori, l'ambiente rimane esposto a tali vettori di attacco incentrati sull'uomo.

Strategie di mitigazione

I test di consapevolezza della sicurezza, come i frequenti attacchi di phishing simulati, aiutano a misurare la consapevolezza del personale e a identificare le esigenze di formazione. L'uso dell'autenticazione a più fattori riduce significativamente l'impatto di una password violata. Tali metodi includono il monitoraggio dei trasferimenti di dati di grandi dimensioni o dei tempi di accesso, che sono indicativi di attività sospette da parte di un utente. L'implementazione del principio del "privilegio minimo" significa che i membri del personale hanno accesso solo al livello di diritti necessario.

4. Superficie di attacco dell'ingegneria sociale

Strettamente connesso ai vizi umani, il livello di ingegneria sociale mira a manipolare le persone, ad esempio attraverso il pretexting o il baiting. Questo ambito illustra come le strategie e le tecniche psicologiche siano in grado di aggirare le rigide contromisure tecniche. Attraverso la manipolazione, ad esempio sfruttando la fiducia o questioni urgenti, i criminali costringono i dipendenti a fornire accesso o informazioni non autorizzati.

Componenti

I componenti dell'ingegneria sociale includono elementi psicologici di controllo che riguardano la manipolazione che prende di mira le vulnerabilità affettive o cognitive. I truffatori sono molto selettivi riguardo ai dati di background che ottengono sul personale o sui processi per rendere plausibili le loro storie. Di conseguenza, anche le scansioni di rete più sofisticate non sono molto efficaci nel trattare il fattore della credulità umana.

1. Manipolazione: I truffatori si prendono il tempo necessario per creare un'immagine di credibilità o un senso di urgenza, come quando fingono di essere dell'ufficio risorse umane dell'azienda e chiedono di cambiare la password. Si affidano a messaggi che inducono il personale ad agire senza mettere in discussione la veridicità dell'affermazione. Un modo per prevenire il furto di identità è incoraggiare lo scetticismo tra il personale, in modo che possa identificare facilmente tali trucchi.
2. Pretexting: Nel pretexting, i criminali inventano ogni sorta di storia di copertura, come quella di essere uno sviluppatore partner che richiede le credenziali del database. Potrebbero ottenere le vostre informazioni personali dal vostro profilo LinkedIn o da altre informazioni disponibili pubblicamente per sembrare autentici. Questi tentativi possono essere contrastati efficacemente con un protocollo di verifica rigoroso, come la possibilità di chiamare un numero interno noto.
3. Baiting: Un esempio di baiting è quello di lasciare in un corridoio dell'ufficio delle chiavette USB infette con l'etichetta "Bonus_Reports". Funziona sfruttando la curiosità che spinge il personale a collegarle. Regole formali che vietano il collegamento di dispositivi sconosciuti possono limitare notevolmente il numero di approcci di questo tipo.

Vettori di attacco comuni

Le e-mail di phishing contenenti link con codice dannoso per un approccio più convincente o le telefonate di truffatori che si fingono specialisti dell'assistenza IT sono ancora molto diffuse. I criminali informatici creano anche messaggi che vengono inviati al personale chiedendo loro di reinserire le informazioni del proprio account. Successivamente, i criminali procedono ulteriormente per ottenere il pieno controllo della rete delle vittime. L'inganno, compreso travestirsi da addetto alle consegne, consente all'intruso di aggirare le misure di sicurezza e ottenere pieno accesso all'edificio.

Strategie di mitigazione

La formazione continua del personale e l'aggiornamento delle politiche possono mantenere i lavoratori all'erta per potenziali problemi, come le chiamate esterne. Spiegate al personale che è fondamentale confermare tutte le richieste urgenti attraverso i canali ufficiali. Per l'accesso fisico, utilizzate controlli di identità o un registro visitatori rigoroso. La combinazione di esercitazioni ripetute continuamente, procedure di escalation familiari e una mentalità orientata alla sicurezza mitiga le intrusioni di social engineering.

Esempi di superfici di attacco nel mondo reale

Anche le organizzazioni che dispongono di strutture solide non sono immuni da attacchi quali endpoint esposti o credenziali rubate. I cinque esempi seguenti dimostrano come la mancanza di attenzione a un aspetto possa portare a violazioni di dati su larga scala:

Ogni esempio sottolinea che le minacce conosciute sono in continua evoluzione e devono essere monitorate indipendentemente dalle dimensioni dell'organizzazione.

1. Chivo Wallet di El Salvador (2024): Il portafoglio nazionale di criptovaluta di El Salvador cryptocurrency wallet, Chivo, è stato hackerato nell'aprile dello scorso anno e gli aggressori hanno rubato 144 GB di dati personali e condiviso il codice sorgente. Questo è un buon esempio di come endpoint digitali non protetti o repository di codice aperti possano costituire una porta d'accesso a un'organizzazione. Misure di sicurezza poco rigorose, come la mancata implementazione di controlli di accesso rigorosi o l'esecuzione di test di penetrazione regolari, hanno esposto il governo a maggiori rischi invece di ridurli. La prevenzione in futuro includerebbe l'implementazione rigorosa di DevSecOps, la segregazione dell'ambiente basata su token e revisioni multiple del codice.
2. PlayDapp (2024): L'anno scorso, una società di giochi blockchain, PlayDapp, è stata vittima di un attacco che ha compromesso il suo ambiente e ha permesso agli hacker di creare 1,79 miliardi di token PLA per un valore di 290 milioni di dollari. La cattiva gestione di una chiave crittografica ha portato a una violazione da parte degli aggressori. Non è ancora chiaro come la ripetuta falsificazione dei token avrebbe potuto essere impedita da framework multi-firma o dall'archiviazione delle chiavi su hardware. Come esempio di vettore di attacco, si sottolinea il fatto che un singolo elemento crittografico compromesso può portare al fallimento dell'intera piattaforma.
3. Government Accountability Office (GAO) (2024): Nell'anno precedente, 6.600 persone collegate al GAO sono state colpite da una violazione che ha preso di mira Atlassian Confluence nell'ambiente di un appaltatore. Questo angolo di infiltrazione dimostra come i difetti del software di terze parti aumentino la superficie di attacco complessiva che un'agenzia non può controllare direttamente. È inoltre importante applicare le patch il prima possibile e garantire che le terze parti siano valutate adeguatamente. Per prevenire movimenti laterali, anche gli enti federali devono mantenere un registro dettagliato delle impostazioni del software dei partner.
4. Vulnerabilità di esecuzione di codice remoto di FortiManager (2024): Vulnerabilità di esecuzione di codice remoto di FortiManagerVulnerabilità di esecuzione di codice remoto (CVE-2024-47575) e molte altre nei firewall Palo Alto Networks hanno colpito organizzazioni in tutto il mondo. Gli aggressori hanno sfruttato queste vulnerabilità prima che fossero disponibili o note le patch, dimostrando che le minacce transitorie possono compromettere l'intera soluzione di sicurezza perimetrale. È sempre fondamentale applicare rapidamente le patch o disporre di un meccanismo di rilevamento più sofisticato che colleghi un tipo di endpoint digitale a un altro. La sinergia tra avvisi in tempo reale e DevSecOps agile favorisce finestre di infiltrazione minime.
5. Snowflake (2024): Snowflake, uno dei principali servizi di elaborazione dati basati su cloud, ha subito una violazione che ha coinvolto circa 165 grandi clienti come AT&T e Ticketmaster. Il gruppo di hacker ha utilizzato le credenziali rubate ai dipendenti per lanciare attacchi e poi le ha messe in vendita in un forum dedicato al crimine informatico. Ciò dimostra quanto un uso efficace dell'autenticazione a più fattori avrebbe potuto impedire l'escalation laterale. Come uno degli esempi di superficie di attacco, ciò dimostra che anche le soluzioni cloud che hanno ottenuto una significativa diffusione possono essere vulnerabili a errori di identità di base.

Come ridurre e proteggere la superficie di attacco?

È ormai chiaro che ciascuno dei quattro tipi di superfici di attacco comuni presenta diverse opportunità di violazione. Tuttavia, un tale approccio alla gestione del rischio può ridurre notevolmente l'esposizione complessiva al rischio o la superficie che un aggressore può sfruttare.

Nella sezione seguente, descriviamo cinque approcci che integrano scansione, politiche e supervisione costante per una protezione efficace:

1. Gestire ogni risorsa sulla mappa e monitorarla continuamente: Iniziare elencando ogni sottodominio, istanza cloud o dispositivo che entra in contatto con il proprio ambiente, anche se in modo marginale. Gli strumenti di monitoraggio giornaliero o settimanale possono identificare nuovi endpoint effimeri che compaiono su base giornaliera o settimanale. L'integrazione dell'intelligence delle risorse con SIEM o soluzioni EDR come SentinelOne Singularity rivela nuove espansioni o vulnerabilità appena scoperte. Mantenere l'inventario aggiornato elimina gli angoli di attacco da fonti nascoste o con sistemi obsoleti.
2. Adotta la microsegmentazione zero-trust: Invece di consentire a un aggressore di ottenere il controllo completo di un'intera sottorete, isola i microservizi o gli utenti in modo tale che, anche se compromessi, non possano muoversi liberamente. Anche il traffico interno necessita di una nuova autenticazione, controlli dei token o qualche tipo di restrizione che impedisca agli utenti di muoversi lateralmente. Applica un forte controllo degli accessi basato sui ruoli su container, funzioni o server se ospitati in loco. Questa integrazione garantisce che una violazione in un angolo non comprometta l'intera struttura.
3. Controllo rigoroso degli accessi e gestione delle credenziali: Implementare l'autenticazione a più fattori per tutti gli account che dispongono di accesso amministrativo e cookie di sessione con una durata breve. Non consentire agli utenti di riutilizzare le password e registrare i tentativi di accesso per rilevare eventuali minacce alla sicurezza. Per le integrazioni di terze parti, il programma dovrebbe disporre di un proprio set di credenziali o chiavi API per monitorarne l'utilizzo. Proteggere ogni elemento con un'autenticazione forte riduce significativamente i potenziali punti di accesso per coloro che hanno ottenuto o indovinato le credenziali.
4. Audit di sicurezza e cicli di patch: Come minimo, si consiglia di eseguire analisi statiche del codice e test di penetrazione dinamici almeno trimestralmente o mensilmente. Integrare gli strumenti di gestione delle patch con una politica interna che richieda l'applicazione di eventuali patch non appena sono rilevanti. Questa sinergia consente di affrontare immediatamente le vulnerabilità note. L'applicazione ritardata delle patch è una delle principali fonti di minaccia per i criminali che vogliono infiltrarsi nel sistema.
5. Promuovere una cultura della sicurezza e una formazione continua: La formazione online, che include phishing, ingegneria sociale e utilizzo dei dispositivi, ricorda costantemente al personale come può avvenire l'infiltrazione. Promuovere una cultura del "segnalare prima" se i dipendenti ritengono di aver ricevuto un'e-mail sospetta o se stanno cercando di aggirare le politiche sui dispositivi. Questo approccio garantisce che ogni utente sia un ulteriore livello di protezione e non un punto di vulnerabilità. A lungo termine, ciò si traduce in una forza lavoro attenta che riduce al minimo la possibilità di strategie di hacking manipolative di successo.

Conclusione

Garantire l'eliminazione dei molteplici vettori di attacco negli endpoint digitali, nell'hardware fisico e negli errori commessi dagli utenti non è mai stato così importante. Esempi reali come il furto di portafogli governativi e gli attacchi zero-day dimostrano che qualsiasi anello debole può portare a fughe di dati di massa o ransomware. Per prevenire tali attacchi, le organizzazioni devono adottare un approccio stratificato che identifichi tutti gli endpoint, applichi rapidamente le correzioni alle vulnerabilità note e istruisca i dipendenti contro il social engineering.

Quando queste best practice sono combinate con misure di sicurezza di alto livello, si crea una struttura organizzativa dotata di un buon livello di sicurezza. La scansione continua, la microsegmentazione e la vigilanza degli utenti lavorano in sinergia per ridurre gli angoli di infiltrazione attraverso ogni tipo di superficie di attacco.

"

FAQs