Capire queste esposizioni aiuta i team di sicurezza a ridurre la superficie di attacco e a proteggere in modo proattivo l'organizzazione. I risultati riportati di seguito offrono approfondimenti su queste esposizioni accessibili tramite Internet, ottenuti grazie a un'ampia raccolta di dati sulle esposizioni e le minacce effettuata nel corso di 12 mesi con Cortex Xpanse.
Individua e correggi attivamente le tue risorse sconosciute
Xpanse è una piattaforma per la gestione attiva della superficie di attacco che aiuta le organizzazioni a trovare e correggere automaticamente le esposizioni dei sistemi che hanno accesso a Internet. Grazie a Xpanse, le organizzazioni scoprono regolarmente il 30-40% di risorse in più nel loro ambiente rispetto a quelle di cui erano a conoscenza.
Database con sicurezza debole, esposti alle violazioni dei dati. Ad esempio, istanze Open MongoDB, server MySQL non protetti, ecc.
Sistemi di trasferimenti di file che sono esposti a violazioni perché non protetti adeguatamente. Ad esempio, FTP non crittografato, Telnet non protetto, ecc.
Reti configurate in modo errato che espongono all'accesso non autorizzato. Ad es.: pagine di amministrazione del firewall, VPN configurate in modo inadeguato, ecc.
è falso
Punti di accesso remoto non protetti, esposti all'accesso non autorizzato. Ad esempio, porte RDP aperte, autenticazione SSH debole, ecc.
è falso
Sistemi di gestione dell'infrastruttura potenzialmente vulnerabili agli attacchi informatici. Ad esempio, sistemi HVAC vulnerabili, ecc.
0 problemi risolti in modo automatico. 5 problemi in attesa di input.
Per valutare la natura dinamica degli ambienti IT moderni, abbiamo studiato la composizione dei servizi nuovi ed esistenti in esecuzione su provider di cloud diversi utilizzati da un'organizzazione durante un periodo di sei mesi.
In media, oltre il 20% dei servizi cloud accessibili dall'esterno cambia ogni mese. In assenza di una visibilità continua, è facile perdere traccia delle configurazioni errate accidentali e della costante diffusione dello shadow IT all'interno di un'organizzazione.
20%
misura in cui l'infrastruttura IT basata sul cloud cambia ogni mese
45%
percentuale dei nuovi rischi che vengono introdotti a causa di questo cambiamento continuo ogni mese
Le organizzazioni devono monitorare attivamente la loro superficie di attacco, poiché questa cambia costantemente e l'assenza di una visibilità continua determina diverse esposizioni quotidiane sconosciute che gli aggressori possono sfruttare."
Matt Kraning, CTO, Cortex Xpanse
Unit 42® ha analizzato la threat intelligence su 30 vulnerabilità ed esposizioni comuni (CVE) per determinare la rapidità con cui gli avversari sono riusciti a sfruttarle.
In particolare, tre delle 30 vulnerabilità sono state sfruttate entro poche ore dalla divulgazione della CVE. 19 delle 30 vulnerabilità sono state sfruttate entro 12 settimane dalla divulgazione pubblica, mettendo in evidenza i rischi associati a programmi di patch incompleti e incoerenti.
3/30
Esposizioni correlate alle CVE che sono state prese di mira entro una settimana dalla pubblicazione
19/30
Esposizioni correlate alle CVE che sono state prese di mira entro 12 mesi
È importante capire che, anche se una CVE potrebbe non essere più disponibile pubblicamente, rimane comunque di interesse per i potenziali attori di minacce. Pertanto, le organizzazioni devono individuare e correggere continuamente le loro esposizioni per ridurre la superficie di attacco."
Greg Heon, Sr. Director of Product, Cortex Xpanse
Unit 42 ha analizzato 15 vulnerabilità di esecuzione di codice remoto (RCE) utilizzate attivamente dagli operatori di ransomware. Queste CVE sono state selezionate in base alle informazioni di intelligence sul gruppo di autori di minacce e al loro sfruttamento attivo entro 12 mesi dalla pubblicazione.
Gli attori di minacce hanno preso di mira tre di queste vulnerabilità RCE critiche entro poche ore dalla divulgazione e sei vulnerabilità sono state sfruttate entro otto settimane dalla pubblicazione.
3/15
Esposizioni correlate alle CVE che sono state prese di mira entro alcune ore dalla pubblicazione della CVE
6/15
Esposizioni correlate alle CVE che sono state utilizzate da questi autori di minacce entro otto settimane dalla pubblicazione della CVE.
I difensori dovrebbero affidarsi a funzionalità di correzione automatizzata per individuare e correggere le esposizioni critiche della superficie di attacco prima che gli aggressori le scoprano."
Marshall Kuypers, Director of Technical Enablement, Cortex Xpanse
Il Report di Unit 42 sulla risposta agli incidenti 2022 rivela che gli attacchi di brute force per il furto di credenziali hanno inciso per il 20% sugli attacchi ransomware andati a segno. I recenti avvisi della CISA e della NSA del governo statunitense confermano che i criminali informatici continuano a prendere di mira RDP come vettore di attacco altamente vulnerabile.
L'85% delle organizzazioni analizzate in questo report aveva online almeno un'istanza RDP accessibile tramite Internet durante il mese. In oltre 600 casi di risposta agli incidenti, il Report di Unit 42 sulla risposta agli incidenti 2022 ha rilevato che il 50% delle organizzazioni prese di mira non disponeva dell'autenticazione a più fattori (MFA) per i principali sistemi con accesso a Internet.
85%
percentuale delle organizzazioni analizzate in questo report che aveva online almeno un'istanza RDP accessibile tramite Internet durante il mese.
RDP è facile da sottoporre a brute force. Le organizzazioni devono identificare ed eliminare le esposizioni RDP nel loro ambiente. Se necessario, RDP non deve essere utilizzato in assenza della MFA e di altri controlli di compensazione."
Ross Worden, Senior Consulting Director, Unit 42
Le organizzazioni di tutto il mondo sono esposte a diverse configurazioni errate e incidenti quotidiani che costituiscono una facile via d'accesso per la loro compromissione su Internet.
Le esposizioni per l'acquisizione di framework Web, l'esposizione a servizi di accesso remoto e le esposizioni dell'infrastruttura IT e di sicurezza costituiscono insieme oltre il 60% di tutte le esposizioni della superficie di attacco globale. Le organizzazioni devono affrontarle ogni giorno ed eliminarle per avere un controllo migliore e ridurre la superficie di attacco.
23%
percentuale di tutte le esposizioni costituita da acquisizioni di framework Web che consentono agli aggressori di cercare attivamente e colpire i siti Web che eseguono software vulnerabile.
20%
percentuale di tutte le esposizioni costituita da servizi di accesso remoto vulnerabili agli attacchi brute force.
Le infrastrutture IT e di sicurezza esposte rappresentano un rischio enorme per l'organizzazione. Gli aggressori si concentrano su questi sistemi per infiltrarsi nell'organizzazione e compromettere o disattivare le misure di sicurezza. La visibilità continua e l'automazione possono essere di aiuto per eliminare queste esposizioni."
Dominique Kilman, Consulting Director, Unit 42
Scopri in che modo le esposizioni della superficie di attacco sono univoche e persistenti nei diversi settori di tutto il mondo. Scarica il report ASM più recente.
