La gestione della superficie di attacco esterno - EASM, EXTERNAL ATTACK SURFACE MANAGEMENT - si riferisce al processo di identificazione, valutazione e gestione delle risorse e asset aziendali che sono visibili e accessibili da Internet. La attck surface include tutti i punti di ingresso e le potenziali vulnerabilità che gli aggressori esterni potrebbero sfruttare per violare le difese di sicurezza di un'ozienda.
Nel mondo interconnesso di oggi, le organizzazioni hanno un'ampia presenza online, inclusi siti Web, applicazioni, servizi cloud, apparati IoT, account di social media ed una miriadi di sistemi accessibili dall'esterno come accessi remoti per teleassistenza dei macchinari, ecc. Ciascuno di questi componenti rappresenta un potenziale punto di ingresso per gli aggressori. La gestione della superficie di attacco esterno mira a comprendere in modo completo e ridurre al minimo la superficie di attacco per ridurre il rischio di attacchi informatici riusciti. Si è parlato approfonditamente delle best practice di gestione dell'attack surface al ZERO TRUST & CYBERSECURITY SUMMIT 2023 (video) e se desideri ricevere la videoregistrazione completa dell'evento con tutti gli interventi scrivici a info@tekapp.it.
Le componenti chiave di una corretta gestione della superficie di attacco esterno sono 1) Asset Discovery per donare all'azienda cliente una mappatura di tutte gli asset esposti come end-point, domini, sottodomini, indirizzi IP, API e istanze cloud; 2) Valutazione della vulnerabilità mirata prima a individuare le vulnerabilità poi a valutarle in termini di rischio e probabilità che esse portino ad un reale attacco attraverso uno sfruttamento malevolo; 3) Valutazione di configurazioni errate.
4) Priorità delle risorse per assegnare la priorità alle risorse in base alla loro criticità e al potenziale impatto di una violazione della sicurezza; 5) Intelligence sulle minacce per rimanere aggiornati sulle minacce emergenti e sulle tattiche e VoA (Vector of attack) degli aggressori. Queste informazioni aiutano a concentrare gli sforzi sull'affrontare i rischi rilevanti.
6) Monitoraggio e rilevamento periodico utile a rilevare modifiche non autorizzate, nuove vulnerabilità e potenziali segni di compromissione (ad esempio con una scansione mensile).
7) Mitigazione e correzione con un piano di lavoro del team interno per risolvere tramite patch le vulnerabilità, per modificare le configurazioni errate o altre misure di sicurezza per ridurre la probabilità di attacchi riusciti. Questo tipo tipo di lavoro ovrebbe essere fatto con playbook di auto-patching e playbook di remediation semi-automatizzati o automatizzati. I moderni CISO prediligono, infatti, avere implementati playbook automatizzati sia di auto-patching che di remediatian (ma anche di response ad eventuali incidenti) per abbattere le risorse dedicate a questo lavoro ricorrente e quindi per avere tempi di correzione incredibilmente più brevi. Tali playbook posso includere procedure per l'aggiornamento di end-point, di firmaware, ma anche per la comunicazione verso gli enti ed i dipartimenti interessati dalla vulnerabilità critica o dall'incidente rilevato. ad esempio si pensi ad una email automatica (generata dal playbook) che viene inviata verso un determinato key-user o reparto che comunica il rilevamento di un tentato sfruttamento di credenziali e che comunica cosa l'azienda sta facendo come rimedio.
Le best practice aziendali inerenti l'EASM consigliano di avere una unica dashboard dove siano chiaramente visibili e classificate per priorità le vulnerabilità individuate durante l'ultima scansione (scansioni effettuate con periodicità mensile o settimanale) e la loro criticità. Ciò permette di individuare le priorità d'intervento del CISO, IT Manager e relativo team cyber aziendale.
Utile è anche conoscere i vettori d'attacco che possono sfruttare ogni specifica vulnerabilità. Ma soprattutto è utile affidarsi alla automatizzazione con playbook predefiniti che permettano di essere veloci ed efficaci sian nella remediation che eventualmente nella response ad incidenti.
Di pari passo alla visibilità dell'attack surface esterna deve procedere anche la visibilità sul perimetro interno, quindi applicazioni interne, server applicativi, file server, database, terminal servet, dispositivo IoT, teleassistenza per macchinari, ecc.
I vantaggi di implementare un processo robusto di gestione della attack surface sono molteplici, ad esempio:
Rischio di attacco notevolmente ridotto grazie alla prevenzione con una cyber-posture adeguata.
Migliore risposta agli incidenti grazie ad una chiara comprensione della superficie di attacco esterna che consente di rispondere in modo più efficace a incidenti e violazioni.
Gestione del rischio conforme a normative: il CISO o IT Manager può dormire sonni tranquilli in quanto può sempre dimostrare di aver gestito le sue responsabilità con priorità d'intervento e secondo le best practice. Ricordiamo, infatti, che il ruole dell'IT Manager non è provo di rischi personali nel caso di data breach (per maggiori informazioni si veda questo seminario tenuto presso UNIMORE dal Prof. Avv. Fioriglio: Attacco informatico, quali sono rischi e responsabilità degli IT-manager? VIDEO )
Cyber-posture migliorata ed esposizione dei dati ridotta al minimo.
Migliore allocazione delle risorse: concentrarsi su risorse e vulnerabilità critiche consente alle organizzazioni di allocare le risorse in modo più efficace per gli sforzi correttivi.
Maggiore fiducia degli stakeholder: la dimostrazione di una gestione proattiva della superficie di attacco esterna può aumentare la fiducia di clienti, investitori, banche e parti interessate nelle pratiche di sicurezza dell'organizzazione.
Migliore visivilità e comunicazione alla direzione: in modo misurabile e comprovabile si può riportare periodicamente al board o proprietà lo status generale della cyber posture aziendale (ad esempio con numeri di vulnerabilità rilevate e corrette su base trimenstrale, ecc).
Playbook automatizzati
La correzione automatica di una vulnerabilità si riferisce al processo di identificazione e risoluzione delle vulnerabilità di sicurezza in modo automatizzato, senza intervento manuale. Quando viene rilevata una vulnerabilità, un sistema automatizzato intraprende azioni predefinite per mitigare o eliminare il rischio per la sicurezza associato alla vulnerabilità. Questo approccio è progettato per ridurre al minimo il tempo che intercorre tra la scoperta e la correzione della vulnerabilità, riducendo la finestra di opportunità per gli aggressori di sfruttare la vulnerabilità.
È importante che le vulnerabilità rilevate siano sempre accompagnate da punteggi di rischio o valutazioni di gravità. I sistemi automatizzati valutano questi punteggi per dare priorità alle vulnerabilità che richiedono un'attenzione immediata.
Per le vulnerabilità note, le best practice consigliano di definire playbook con azioni predefinite da intraprendere quando la vulnerabilità viene identificata. Queste azioni potrebbero includere l'applicazione di patch, la modifica delle configurazioni, l'isolamento dei sistemi interessati o il blocco temporaneo del traffico di rete. Come già citato, queste azioni dovrebbe comprendere anche la parte di comunicazione relativa ai diversi enti o utenti.
La forma più basica di playbook automatizzato è l'applicazione automatica di patch: applicare patch a software o sistemi per correggere le vulnerabilità. Gli strumenti di gestione automatica delle patch possono identificare le patch mancanti e applicarle senza intervento manuale.
Altre attività spesso inserite nei playbook automatizzati sono le modifiche alla configurazione (regolare le configurazioni per mitigare le vulnerabilità) oppure la quarantena e isolamento (nei casi in cui le vulnerabilità vengono sfruttate attivamente si isolare i sistemi interessati dalla rete per impedire un'ulteriore diffusione della minaccia).
Al termine dell'esecuzione di un playbook è importante la fase di notifiche e rapporti dove il team IT o gli amministratori sono informati delle azioni intraprese e dell'esito del processo di riparazione.
I vantaggi della correzione automatica delle vulnerabilità sono tanti: dalla rapida risposta alla coerenza d'intervento che elimina la possibilità di errore umano; ma anche risparmi di tempo e risorse cosi come il monitoraggio continuo che consente ai paybook automatizzati di eseguire 24/7 quindi anche fuori dall'orario di lavoro canonico.
Per maggiori informazioni sul nostro servizio di EXTERNAL ATTACK SURFACE MANAGEMENT contattaci al info@tekapp.it