Una “superficie di attacco” è l’intera area di un’organizzazione o di un sistema, suscettibile alla criminalità informatica. Rappresenta quindi l’insieme di tutti i possibili punti di ingresso, o vettori di attacco, che possono potenzialmente consentire agli attori malevoli di violare un sistema, un’applicazione, un dispositivo o un’intera rete. Una volta all’interno della rete, è possibile causare danni manipolando o scaricando dati all’esterno. Maggiore è la superficie di attacco e più difficile risulta l’azione di protezione a causa della maggiore esposizione a minacce multiple.
La riduzione e gestione della superficie di attacco (Attack Suface Reduction – ASR) è la pratica di introdurre mitigazioni alle minacce diminuendo l’estensione dei punti bersaglio. Implica la valutazione continua della superficie di attacco sulla base della consapevolezza che la superficie cambia costantemente e richiede una visibilità costante, l’introduzione di misure per ridurla e proteggerla dalle minacce e attenzione nell’inserimento di nuove tecnologie.
Periodicamente, le misure devono essere rivalutate per una gestione sempre aggiornata dei rischi e il loro appropriato trattamento.
Indice degli argomenti
La superficie di attacco aziendale
La superfice di attacco è costituita da tutti gli elementi che potrebbero essere sfruttati da un utente malintenzionato per causare un incidente di sicurezza ed è spesso classificata in due tipologie: una superficie di attacco fisica e una digitale. Andrea Cecili, Offensive Senior Security Consultant di Cyber Partners S.p.A. ci illustra la differenza tra le due: “Generalmente, si identifica come superfice di attacco fisica l’insieme di assets “fisici,” ovvero tutti quei dispositivi dove un’agente di minaccia può ottenere fisicamente l’accesso come, ad esempio, cellulare aziendale smarrito o un computer a disposizione per i clienti all’interno di un’attività commerciale, mentre si identifica come superfice di attacco digitale l’insieme di assets per l’appunto “digitali”, ovvero tutti quei dispositivi digitali riconducibili direttamente o indirettamente all’azienda, come siti internet, servers, indirizzi emails, dispositivi IOT, repositories di codice e software di terze parti utilizzato”.
Con il termine “superficie di attacco esterna” si indica, invece, sempre in linea generale, l’insieme di assets digitali che l’azienda espone sulla rete internet, come ad esempio applicazioni web pubblicamente esposte.
Spesso, durante la fase iniziale di un attacco informatico, gli “agenti di minaccia” cercano di creare una mappatura della superfice di attacco esterna, allo scopo di ottenere maggiori informazioni sul target e trovare qualche punto debole che consenta di penetrare ulteriormente all’interno dell’organizzazione.
Per creare una mappatura della superfice di attacco esterna, sono utilizzate diverse metodologie e strumenti: interrogazione di fonti pubbliche e private di dati, alla ricerca di domini e sottodomini di proprietà dell’azienda o riconducibili ad essa, indirizzi IPs, emails dei dipendenti, servizi in cloud, credenziali dei dipendenti finite in dataleaks, solo per citare alcuni esempi.
I malintenzionati digitali posso spingersi fino al punto di creare una mappatura iniziale della superfice di attacco utilizzando strumenti “passivi”, ovvero senza che l’agente di minaccia invii una richiesta diretta all’organizzazione, ma avvalendosi di banche dati di terze parti come Shodan (motore di ricerca dedicato ai dispositivi collegati a internet n.d.r.).
Volendo esemplificare uno scenario avvenuto durante una simulazione di attacco reale si immagini all’azienda fittizia chiamata ACME SRL che possiede un’applicazione web che aggiorna periodicamente e su cui effettua regolari penetration test e che protegge mediante un Web Application Firewall (WAF) ben configurato. Questa situazione potrebbe sembrare appropriata per minimizzare il rischio di una violazione informatica.
Tuttavia, se un utente malintenzionato si rendesse conto dell’esistenza di un vecchio sottodominio, “beta.acmesrl.it”, che punta ad una vecchia applicazione con diverse vulnerabilità, potrebbe in poco tempo eseguire un codice arbitrario e procedere nel suo attacco sul server esfiltrandone le informazioni.
Intervenire per ridurre la superficie di attacco
Le buone prassi di sicurezza insegnano che “non è possibile proteggere ciò che non si conosce”, dunque un primo passo per ridurre la superficie di attacco è prendere coscienza della sua estensione e delle sue caratteristiche. Secondo una ricerca condivisa da Tenable, infatti, le aziende conoscono solo il 62% della loro superfice esterna di attacco. “È opportuno costruire, o eventualmente rivedere, un inventario che sia coerente e completo ma soprattutto sia aggiornato quotidianamente con tutti gli asset esposti nel web (surface o deepweb) direttamente o indirettamente connesso all’azienda: domini e sottodomini, tecnologie utilizzate e loro ubicazioni, server, indirizzi IP, dati aziendali (ad esempio credenziali usate dai dipendenti finite in data leaks), servizi in cloud associati all’azienda, archivi o repository di codice”. Questa la visione strategica di Andrea Cecili.
Completata questa fase di mappatura della superfice di attacco esterna, è possibile stilare un piano di “gestione e riduzione” che normalmente prevede: la rimozione degli asset non più necessari come ad esempio vecchi siti internet non più utilizzati; la categorizzazione degli asset in base ad alcuni criteri prestabiliti (ad esempio in base alle tecnologie che utilizzano); l’attuazione di attività di patching per gli asset che lo necessitano e di test di sicurezza periodici, sia con strumenti automatici, sia con analisi manuali sugli asset scoperti, per identificare eventuali criticità nella superfice di attacco; il monitoraggio costante degli asset esposti e la continua scoperta quelli nuovi; l’introduzione eventuale di strumenti di analisi degli eventi (SIEM) e l’attivazione di servizi SOC.
La gestione periodica del rischio
Il rischio di attacchi informatici è un evento non certo ma poiché rappresenta una probabilità il suo accadimento seppure non prevedibile in modo sicuro, può essere almeno stimato. Alcuni dati di fatto, tuttavia, ne evidenziano una aumentata probabilità di accadimento: la superfice di attacco esterna di un’organizzazione è estremamente dinamica e l’introduzione di nuove tecnologie può accrescerne l’estensione e in parallelo i cyber criminali effettuano continuamente scansioni sull’intera rete internet, alla ricerca di server mal configurati e/o vulnerabili specialmente non appena una nuova vulnerabilità è scoperta e divulgata.
Per questo motivo, continua Andrea Cecili: “qualsiasi organizzazione dovrebbe analizzare il rischio ed introdurre misure della sua riduzione rivalutandolo periodicamente nel tempo. Per ridurre l’area di rischio è buona prassi praticare in modo continuativo una serie di analisi della superfice di attacco esterna attraverso strumenti automatici e tramite analisi e controlli manuali periodici e cadenzati”.
Gli strumenti software appositamente pensati per l’Attack Surface Management consentano di effettuare “Continuous Assets Discovery”, ovvero l’insieme di attività atte a scoprire continuamente nuovi asset riconducibili all’azienda, oppure il “Continuous Scanning e asset Management”, ovvero l’insieme di attività volte ad effettuare continuamente scansioni di sicurezza sugli asset scoperti e a gestirli.
Oltre a queste attività automatiche si consigliano test manuali su base necessità, come ad esempio in seguito ad un cambio tecnologico importante su un particolare asset. In particolare, si consiglia di effettuare sugli asset dei regolari penetration test ed operazioni di Red Teaming.
Il termine Red Team indica un gruppo di esperti hacker etici a cui viene assegnato un obiettivo particolare. Nel caso di specie, la sfida consiste nel riuscire a penetrare la rete interna di un’azienda dall’esterno. Nell’ambito di questa operazione gli hacker godono di più ampia libertà di azione rispetto a quanto accadrebbe nel classico penetration test, il quale spesso interessa solo su un determinato asset, un’applicazione web o una mobile.
Il red team, d’accordo con l’azienda, esegue delle simulazioni estremamente realistiche di un attacco informatico, cercando di penetrare dall’esterno dell’azienda verso un obiettivo concordato, sfruttando ogni possibile asset riconducibile all’azienda e ogni punto debole, tecnico, fisico o umano. Questa attività debitamente descritta in un report consentirà successivamente un intervento correttivo delle vulnerabilità individuate.
Contributo editoriale sviluppato in collaborazione con Cyber Partners
