Durante la pandemia la superficie d’attacco informatico è cresciuta di più e più velocemente che in qualsiasi momento del passato. Questo ha creato diversi problemi, primo fra tutti il rischio a cui vengono lasciate esposte le risorse digitali e fisiche aziendali, in quanto le organizzazioni non sono sempre in grado di definire la vera dimensione della loro superficie d’attacco. Fortunatamente, mettendo in pratica alcune best practice di sicurezza, è possibile migliorare la visibilità della superficie di attacco e, con essa, ottenere una migliore comprensione di ciò che è necessario per ridurla e gestirla.
La superficie di attacco aziendale
A un livello di base, la superficie d’attacco può essere definita come l’insieme delle risorse fisiche e digitali di un’organizzazione che potrebbero essere compromesse durante un attacco informatico. L’obiettivo finale degli attori delle minacce potrebbe essere di qualsiasi genere, dal distribuire ransomware e rubare i dati alla creazione di una botnet, scaricare ‘trojan bancari’ o installare malware di crypto-mining. La linea di fondo è: più grande è la superficie di attacco più grande è l’obiettivo a cui i malintenzionati mirano.
Vediamo le due principali categorie di superficie d’attacco informatico nel dettaglio.
La superficie di attacco digitale
Descrive tutto ciò che è collegato alla rete di un’organizzazione, il software e i relativi componenti. Include:
- Applicazioni: le vulnerabilità nelle applicazioni sono comuni e possono offrire agli aggressori un utile punto d’ingresso nei sistemi IT critici e nei dati.
- Codice: esiste un rischio importante che si ricollega al fatto che la maggior parte del codice viene compilato da componenti di terze parti, che possono contenere malware o vulnerabilità.
- Porte: coloro che attaccano fanno sempre più spesso la scansione delle porte aperte per trovare se qualche servizio è presente su una porta specifica (ad esempio, la porta TCP 3389 per RDP). Se questi servizi sono mal configurati o contengono bug, possono essere sfruttati.
- Server: potrebbero essere attaccati tramite exploit di vulnerabilità o attacchi DDoS.
- Siti web: rappresentano un’altra parte della superficie interessata da molteplici vettori di attacco, compresi i difetti del codice e la cattiva configurazione. Una compromissione riuscita può portare al web defacement o all’impianto di codice maligno per attacchi drive-by e di altro tipo (ad esempio, formjacking).
- Certificati: le organizzazioni spesso presentano certificati scaduti, permettendo agli aggressori di approfittarne.
E non si tratta di un elenco esaustivo. Per evidenziare la scala pura della superficie d’attacco digitale, si consideri questa ricerca del 2020 sulle aziende della lista FTSE 30, che ha rilevato: 324 certificati scaduti, 25 certificati che utilizzano l’obsoleto algoritmo di hashing SHA-1, 743 possibili siti di test esposti a Internet, 385 moduli insicuri di cui 28 utilizzati per l’autenticazione, 46 framework web con vulnerabilità note, 80 istanze PHP 5.x, 664 versioni di server web con vulnerabilità note.
La superficie di attacco fisico
Comprende tutti i dispositivi endpoint a cui un aggressore potrebbe accedere “fisicamente”, come ad esempio: computer desktop, dischi rigidi, computer portatili, telefoni/dispositivi mobili, chiavi USB.
È anche il caso di dire che i dipendenti sono una parte importante della superficie di attacco fisico dell’organizzazione, in quanto possono essere manipolati tramite tecniche di social engineering (phishing e le sue varianti) nel corso di un attacco informatico. Sono anche responsabili dello shadow IT, l’uso non autorizzato di applicazioni e dispositivi da parte dei dipendenti per aggirare i controlli di sicurezza aziendali. Usando questi strumenti non approvati – e spesso non adeguatamente protetti – potrebbero esporre l’organizzazione a ulteriori minacce.
La superficie di attacco sta diventando sempre più grande?
Le organizzazioni hanno costruito il loro patrimonio di risorse IT digitali per molti anni. Ma l’avvento della pandemia ha visto le aziende effettuare investimenti su larga scala, per supportare il lavoro remoto e garantire una business continuity, attraverso il mantenimento delle operazioni aziendali, in un momento di estrema incertezza del mercato. Questo ha determinato un ampliamento della superficie di attacco in diversi modi, attraverso l’inserimento nell’infrastruttura aziendale di: endpoint per il lavoro a distanza; applicazioni e infrastrutture cloud; dispositivi IoT e 5G; uso di codice di terze parti e DevOps; infrastruttura di lavoro remoto (VPN, RDP ecc.).
Ormai non si può più tornare indietro. Secondo gli esperti, molte aziende sono state spinte oltre un punto di svolta digitale che cambierà le loro operazioni per sempre. Questa è potenzialmente una cattiva notizia per le superfici di attacco, in quanto potrebbe dar luogo a: attacchi di phishing che sfruttano una mancanza di consapevolezza della sicurezza nei dipendenti; malware e vulnerabilità sfruttate su server, applicazioni e altri sistemi; password rubate o oggetto di attacchi brute force, usate per accessi non autorizzati; sfruttamento di configurazioni errate (ad esempio, negli account cloud); certificati web rubati. E molto altro. Esistono centinaia di vettori di attacco in gioco, alcuni dei quali sono molto popolari. ESET ha rilevato 71 miliardi di tentativi di compromissione tramite RDP mal configurato tra gennaio 2020 e giugno 2021.
Come mitigare i rischi della superficie di attacco
La superficie di attacco è di fondamentale importanza per la definizione delle best practice in tema di cybersecurity, perché comprendere le sue dimensioni e prendere provvedimenti per ridurla o gestirla è il primo passo verso una protezione proattiva. Ecco alcuni suggerimenti.
In primo luogo, capire le dimensioni della superficie di attacco con audit delle risorse e dell’inventario, penetration test, scansione delle vulnerabilità e altro; ridurre la dimensione della superficie di attacco e il rischio informatico associato dove è possibile tramite il consolidamento degli endpoint, eliminando l’hardware legacy; l’aggiornamento del software e dei sistemi operativi; la segmentazione delle reti; seguendo le best practice di DevSecOps; la gestione continua della vulnerabilità; la mitigazione del rischio della catena di approvvigionamento; le misure di sicurezza dei dati (cioè, crittografia forte); l’applicazione di policy di Access & Identity Management forte; un approccio Zero Trust; la registrazione e il monitoraggio continuo dei sistemi e i programmi di formazione per gli utenti.
L’ambiente IT aziendale è in un costante evoluzione, grazie all’uso diffuso di VM, container e microservizi, al continuo turnover di dipendenti e all’implementazione di nuovi hardware e software. Ciò significa che qualsiasi tentativo di gestire e comprendere la superficie di attacco deve essere intrapreso con strumenti agili e intelligenti che lavorano con dati in tempo reale. Come sempre, “visibilità e controllo” dovrebbero essere le parole d’ordine per mantenere al sicuro il proprio sistema aziendale.
di Samuele Zaniboni, Presales Engineer Manager di ESET Italia
