Che cos'è il ciclo di vita della Gestione della superficie di attacco (ASM)?

La gestione della superficie di attacco è il processo sistematico di identificazione, valutazione e protezione delle risorse digitali di un'organizzazione e dei punti di ingresso suscettibili di attacchi informatici. A differenza di altri approcci di cybersecurity, una soluzione di gestione della superficie di attacco considera i rischi di sicurezza in modo proattivo e dal punto di vista dell'attaccante.

Il ciclo di vita della gestione della superficie di attacco facilita tattiche più aggressive che cercano le vulnerabilità sulla superficie di attacco digitale per migliorare la postura di sicurezza complessiva. Questo approccio al ciclo di vita è fondamentale perché fornisce un quadro dinamico per aiutare i team addetti alla sicurezza a rilevare e mitigare in modo proattivo il rischio informatico.

Le 6 fasi degli attacchi informatici

Prima di addentrarsi nei dettagli del ciclo di vita della gestione della superficie di attacco, è utile capire come gli attori di minacce valutano e sfruttano la base di rischio di un'organizzazione. La conoscenza delle sei fasi di un attacco informatico fornisce un contesto alle quattro fasi del ciclo di vita e al modo in cui possono ostacolare un aggressore in vari punti.

• Ricognizione: ricercare, identificare e selezionare gli obiettivi (ad esempio, risorse digitali locali, risorse per Internet, dati in ambienti cloud o un'altra superficie di attacco esterna con punti di ingresso pubblici) che consentano di raggiungere gli obiettivi.
• Armamento e consegna: Determinare quali sono i metodi per consegnare i payload dannosi (ad esempio, il ransomware).
• Sfruttamento: distribuire un exploit contro applicazioni o sistemi vulnerabili per sfruttare i punti di ingresso iniziali nell'organizzazione.
• Installazione-Installare il malware per condurre ulteriori operazioni, come il mantenimento dell'accesso, la persistenza e l'escalation dei privilegi.
• Comando e controllo - Stabilisce un canale di comando per comunicare e passare informazioni avanti e indietro tra i dispositivi infetti e la loro infrastruttura (ad esempio, per condividere informazioni di sorveglianza, controllare i sistemi in remoto o eseguire violazioni di dati).
• Azioni sull'obiettivo: agiscono in base alle loro motivazioni per raggiungere l'obiettivo.

4 fasi del ciclo di vita della gestione della superficie di attacco

Il ciclo di vita della gestione della superficie di attacco comprende quattro fasi o stadi che i team addetti alla sicurezza seguono per proteggere il servizio di attacco digitale. Si tratta di un processo di valutazione continua del rischio per facilitare la gestione delle vulnerabilità e migliorare la cybersicurezza organizzativa.

L'approccio proattivo del ciclo di vita della gestione della superficie di attacco aiuta a identificare l'intero inventario degli asset, in particolare quelli ad alto rischio e quelli sconosciuti, per consentire ai team addetti alla sicurezza di rimediare ai problemi e migliorare le valutazioni di sicurezza.

Fase 1: Individuazione e classificazione degli asset

Le soluzioni di gestione della superficie di attacco identificano e mappano i sistemi e le applicazioni utilizzando strumenti e tecniche di scoperta automatica delle risorse. Questi includono quelli che fanno parte di basi cloud di terze parti, rivolte all'esterno, endpoint remoti e locali, e i dispositivi degli utenti (cioè, bring your device o BYOD). La gestione specializzata della superficie di attacco esterna (EASM) viene talvolta utilizzata per scoprire le risorse digitali di terze parti negli ambienti cloud.

Le soluzioni di gestione della superficie di attacco sono abili nel superare le sfide della scoperta di risorse non autorizzate o sconosciute. L'ASM spesso sfrutta molte delle stesse tecniche di ricognizione avanzata di un potenziale attaccante. Questi sistemi possono continuare a scansionare le risorse digitali, identificandole frequentemente in tempo reale.

Una volta identificate, le risorse digitali vengono catalogate in un inventario dettagliato che include hardware, software, applicazioni, dispositivi di archiviazione dati e ogni risorsa per Internet. L'inventario è classificato in base alla criticità, alla sensibilità e all'esposizione al rischio potenziale. Il monitoraggio continuo e l'aggiornamento regolare dell'inventario sono essenziali per garantire che il processo di gestione della superficie di attacco rimanga efficace.

Fase 2: Valutazione del rischio e gestione della vulnerabilità

Con una visione chiara di tutti gli asset, le organizzazioni possono condurre una valutazione completa del rischio per identificare potenziali vettori di attacco, come software obsoleti, configurazioni errate o endpoint non protetti.

Vengono utilizzati diversi metodi per analizzare e valutare le vulnerabilità degli asset identificati. Questi metodi includono la scansione automatizzata delle vulnerabilità, i test di penetrazione (pen test), gli audit di configurazione, l'analisi della composizione del software e l'integrazione dell'intelligence sulle minacce. Ciò offre ai team addetti alla sicurezza la visibilità dei fattori di rischio informatico, come i difetti del software, le configurazioni errate e le vulnerabilità note.

Le soluzioni di gestione della superficie di attacco utilizzano la modellazione delle minacce per analizzare i vettori di attacco, al fine di valutare la probabilità di essere bersaglio di un attacco e il potenziale impatto. La modellazione delle minacce aiuta i team addetti alla sicurezza a restringere l'ambito delle minacce a un sistema specifico e a definirne la priorità. Fornisce approfondimenti che fanno risparmiare tempo e permettono di risolvere rapidamente le minacce prioritarie.

Le informazioni fornite dalle soluzioni di gestione degli attacchi e la prioritizzazione contestuale migliorano la gestione delle vulnerabilità, guidando i team addetti alla sicurezza nel determinare l'approccio migliore per la riparazione.

I team addetti alla sicurezza possono utilizzare la valutazione del rischio e i dati contestuali per pianificare la riparazione del rischio informatico in base a criteri di priorità, come la sfruttabilità, l'impatto e gli attacchi precedenti. Questo è importante perché spesso vengono identificate più vulnerabilità rispetto alle risorse disponibili per risolverle rapidamente.

Fase 3: Implementazione delle misure di riparazione

La mappatura e la contestualizzazione della superficie di attacco vengono utilizzate per dirigere gli sforzi di riparazione. In base alle priorità, vengono utilizzate tattiche di gestione della superficie di attacco automatizzate e manuali. Le soluzioni di gestione della superficie di attacco aiutano i team addetti alla sicurezza a determinare un flusso di lavoro per rimediare ai rischi e forniscono strumenti che automatizzano alcuni compiti, come ad esempio:

• Aggiornamenti della configurazione
• Implementazione della crittografia dei dati
• Installazione di patch e aggiornamenti
• Identificazione continua degli asset e valutazioni dei rischi associati
• Controlli di riparazione
• Ritiro dei domini orfani
• Esaminare le risorse di terzi per individuare rischi e punti deboli
• Debug del sistema

Per la bonifica vengono utilizzate diverse tattiche manuali per trovare i problemi che gli strumenti automatizzati possono perdere. Queste tattiche includono:

• Analisi esperte da parte di team addetti alla sicurezza per scavare nelle minacce complesse.
• Analisi forense guidata dall'uomo per comprendere la natura e l'impatto delle violazioni dei dati.
• Audit manuali e revisioni di sistemi, politiche e procedure.
• Test di penetrazione manuale regolare

Inoltre, la riparazione può comportare misure più ampie. Questi includono l'implementazione dell' accesso con il minimo privilegio, autenticazione a più fattori (MFA), e programmi di formazione e sensibilizzazione che rafforzano l'importanza di seguire le pratiche di sicurezza.

Gli sforzi di bonifica della superficie di attacco digitale vengono eseguiti da diversi team, tra cui:

• I team addetti alla sicurezza gestiscono il rischio e la gestione delle vulnerabilità.
• I team operativi dell'IT eseguono gli aggiornamenti dei sistemi interessati.
• I team di sviluppo - incorporano le informazioni sui vettori di attacco nel loro ciclo di vita di sviluppo del software (SDLC), mentre costruiscono, aggiornano e mantengono le risorse digitali.

Fase 4: Miglioramento e adattamento continui.

La gestione della superficie di attacco è un processo continuo. Le fasi sopra descritte devono essere ripetute continuamente per garantire il rilevamento precoce dei cambiamenti nell'ambiente che possono introdurre nuovi vettori di attacco e tattiche di attacco in evoluzione.

Tra gli strumenti di gestione della superficie di attacco che supportano il monitoraggio continuo di nuove vulnerabilità e minacce ci sono:

• Strumenti di gestione della configurazione: individuano e correggono le configurazioni errate nei dispositivi e nei sistemi di rete in base a criteri di sicurezza predefiniti.
• Sistemi di rilevamento minacce e prevenzione (IDPS)- monitorano continuamente le attività sospette e possono bloccare o avvisare automaticamente delle potenziali minacce.
• Sistemi di gestione delle patch: rilevano automaticamente il software obsoleto e applicano le patch e gli aggiornamenti necessari per colmare le lacune di sicurezza.
• I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) aggregano e analizzano i dati provenienti da varie fonti, automatizzando i processi di allerta e di risposta in base alle minacce identificate.
• Scanner di vulnerabilità: scansiona i sistemi e le applicazioni alla ricerca di vulnerabilità note, fornendo aggiornamenti e avvisi regolari.

Il monitoraggio continuo consente di gestire la superficie di attacco per rilevare e valutare nuove vulnerabilità e vettori di attacco in tempo reale. Questi avvisi forniscono ai team addetti alla sicurezza le informazioni di cui hanno bisogno per lanciare risposte di riparazione immediate ed efficaci. Inoltre, gli ambienti possono essere adattati per prepararsi meglio alla difesa contro le minacce in evoluzione e zero-day.

Strategie per completare il ciclo di vita ASM

Il ciclo di vita della gestione della superficie di attacco (ASM) è fondamentale per una solida postura di cybersecurity. Tuttavia, è essenziale riconoscere che l'ASM da solo non è sufficiente a proteggere completamente la sua organizzazione.

Di seguito sono riportate alcune strategie che possono essere utilizzate per completare il ciclo di vita dell'ASM e rafforzare ulteriormente la sua sicurezza:

Riduzione della superficie di attacco (ASR)

La riduzione della superficie di attacco (ASR) è una parte cruciale del processo di gestione della superficie di attacco, che prevede l'implementazione di strategie per ridurre al minimo il numero di punti di ingresso potenziali per un attaccante.

Le tattiche chiave includono la richiesta di molteplici forme di verifica prima di concedere l'accesso (ad esempio, l'autenticazione a più fattori), il mantenimento del software e dei sistemi aggiornati con le ultime patch (ad esempio, la gestione delle patch) e la limitazione dei diritti di accesso degli utenti solo a ciò che è strettamente necessario per il loro ruolo (ad esempio, il principio del minimo privilegio, PoLP).

Gestione della superficie di attacco informatico (CASM)

La gestione della superficie di attacco informatico si integra con le fonti di dati esistenti per fornire alle organizzazioni una visione unificata e continuamente aggiornata dell'intera superficie di attacco. In questo modo i team addetti alla sicurezza hanno la possibilità di comprendere l'inventario degli asset e di dare priorità alla riparazione in base ai dati contestuali.

Il CASM risolve i punti ciechi del sistema e i problemi di conformità con la sua visibilità completa e il monitoraggio e la gestione continui di questi asset. Queste funzionalità garantiscono la conformità alle politiche di sicurezza e agli standard di conformità.

Gestione della superficie di attacco esterna (EASM)

La gestione della superficie di attacco esterna (EASM) identifica e protegge le risorse per Internet di un'organizzazione, prevenendo le minacce informatiche provenienti dall'esterno della rete interna. Il processo identifica tutti i sistemi, i servizi e gli endpoint rivolti al pubblico, compresi i siti web, le applicazioni web, i server e le risorse basate su cloud.

L'EASM analizza anche queste risorse esterne alla ricerca di punti deboli, configurazioni errate o componenti obsoleti che gli attori di minacce potrebbero sfruttare. Questo monitoraggio continuo della superficie di attacco rivolta a Internet consente ai team addetti alla sicurezza di rilevare nuovi rischi emergenti.

Servizi di protezione dai rischi digitali (DRPS)

I servizi di protezione dai rischi digitali sono soluzioni di cybersecurity specializzate che si concentrano sull'identificazione, il monitoraggio e la mitigazione dei rischi digitali al di fuori del tradizionale perimetro di sicurezza. Comprende l'intelligence sulle minacce, la protezione del marchio, il rilevamento delle perdite di dati, il rilevamento delle frodi e del phishing e il monitoraggio della reputazione. Con DRPS, i team addetti alla sicurezza possono estendere la gestione delle vulnerabilità del rischio informatico oltre la rete interna.

Le sfide che il ciclo di vita dell'ASM affronta

Affrontare i vettori di attacco basati sul cloud

Il ciclo di vita della gestione della superficie di attacco affronta molte sfide, in particolare la gestione dei vettori di attacco basati sul cloud che si estendono a complessi ambienti multi-cloud. Fornisce strumenti e processi per aiutare i team addetti alla sicurezza a ottenere una visibilità completa sugli ambienti cloud.

Ciò consente un'identificazione e una gestione più approfondita degli asset nei modelli di servizi cloud multi-cloud e ibridi, compresi SaaS, IaaS e PaaS.

Considerazioni su IoT e Forza lavoro remota.

Le soluzioni di gestione della superficie di attacco affrontano le considerazioni sull'IoT e sulla forza lavoro remota. Sia la forza lavoro remota che i dispositivi IoT hanno contribuito ad ampliare i perimetri e le superfici di attacco.

Il ciclo di vita della gestione degli attacchi aiuta i team addetti alla sicurezza a monitorare questi utenti e dispositivi distribuiti. Inoltre, facilita la gestione delle protezioni di sicurezza per mitigarne i rischi. Ciò include la gestione della sicurezza degli endpoint e il monitoraggio e l'aggiornamento continuo delle misure di sicurezza nel vasto panorama dell'IoT e dei lavoratori remoti.

Paesaggio delle minacce in evoluzione

Seguire le fasi del ciclo di vita della gestione della superficie di attacco accelera il rilevamento e la risposta alle minacce emergenti e in evoluzione. Il monitoraggio continuo fornisce approfondimenti che identificano le vulnerabilità attuali e anticipano le minacce future. Ciò consente un approccio proattivo alla cybersecurity che permette ai team addetti alla sicurezza di anticipare le minacce.

Queste capacità sono supportate dall'intelligence sulle minacce, che riguarda le minacce emergenti, i modelli di attacco e gli attori di minacce. Inoltre, sfrutta gli hacker etici, che forniscono una visione diversa rispetto ai sistemi automatizzati. Le loro simulazioni di attacchi informatici trovano vettori di attacco prima che gli attori di minacce possano sfruttarli.

FAQ sul ciclo di vita della gestione della superficie di attacco