Un programma di gestione della superficie di attacco, o programma ASM (Attack Surface Management), ha tre obiettivi principali. Prima di tutto ne identifica i confini e ne minimizza le dimensioni, in seconda battuta mitiga le vulnerabilità al suo interno, infine la tiene monitorata costantemente nel tempo. In ogni momento è infatti necessario verificare eventuali cambiamenti sia negli asset che nelle minacce e, se opportuno, attivare le azioni di remediation.
Le superfici di attacco possono essere molto estese, sono di fatto composte da tutti gli asset IT esposti di un’organizzazione, che siano sicuri o vulnerabili, noti o sconosciuti, attivi o in stand by. Tutto ciò che i pirati informatici possono e potranno scoprire on premise, nel cloud, nelle reti secondarie e negli ambienti dei provider deve essere considerato parte della superficie di attacco.
La maggior parte delle soluzioni ASM offerte sul mercato promette di fornire il framework necessario per identificare e classificare ogni asset digitale, assegnando priorità e garantendo un monitoraggio continuo. Trovare un programma di gestione della superficie di attacco efficace è in realtà piuttosto complesso. La selezione avviene attraverso diverse fasi e richiede competenze multidisciplinari. Serve coinvolgere i vertici ma anche i vari team di sicurezza, network e HR, oltre che i responsabili delle singole business unit coinvolte.
Fase 1: il network e le sue vulnerabilità
In collaborazione, il team di sicurezza e quello di network possono capire a quali asset digitali si riesce ad accedere in caso di attacco. Esiste, o per lo meno dovrebbe esistere, un registro delle risorse digitali, ma effettuare nuovamente questa analisi potrebbe essere l’occasione per aggiornarlo e rivedere anche il processo di gestione del rischio. Da prevedere anche un allineamento con le varie business unit per verificare se classificazioni, criticità aziendali e livelli di impatto del rischio sono adeguatamente riportati nel documento.
Sulla base dello scenario emerso, si può procedere con l’assegnare a ogni asset una priorità certi che sia corretta e basata sul rischio reale. Il lavoro di preparazione fatto in precedenza garantisce maggiore accuratezza e, allo stesso tempo, permette di “fare pulizia” identificando e rimuovendo applicazioni e servizi superflui o duplicati. È spesso l’occasione per ridurre la superficie di attacco.
Quando i DevOps effettuano la revisione, tendono a creare e avviare nuove risorse e workload e non sempre tengono conto dei criteri di sicurezza. Meglio quindi prestare molta attenzione dopo il loro intervento perché i servizi, il codice e le infrastrutture di terze parti che integrano estendono rapidamente la superficie di attacco. Implementando l’infrastruttura come codice si riesce a contenere se non a prevenire questi problemi, oltre che a evitare che configurazioni vulnerabili lascino delle risorse esposte. La segmentazione della rete può invece servire per ridurre la superficie di attacco. Suddividendola in aree più piccole, anche il monitoraggio delle risorse, degli accessi e del traffico diventa più semplice.
Fase 2: cosa chiedere ad una piattaforma ASM
Stabilito il numero di risorse note e approvate, si passa alla scelta e all’implementazione di una piattaforma di gestione della superficie di attacco. Suo compito sarà fornire una visibilità continua su eventuali lacune di sicurezza che possono esistere o emergere con l’evolvere delle minacce e degli stessi ambienti IT.
Serve tempo per vagliare le differenti proposte e individuare quelle più performanti rispetto a caratteristiche chiave come rilevamento automatico, monitoraggio continuo, punto di vista esterno, alert attivabili e facilità di implementazione.
Tutti i nuovi processi sono da integrare nei workflow aziendali attivando una formazione mirata e illustrandone e motivandone la presenza.
Discovery automatizzata
Qualsiasi piattaforma ASM dovrebbe essere in grado di stabilire il perimetro della superficie di attacco, limitando al contempo i falsi positivi. Tale attività veniva un tempo svolta manualmente, con enormi sprechi di tempo. Oggi l’obiettivo è di evitare la dipendenza da input manuali ripetitivi, facendo in modo che il processo possa essere eseguito a partire da un semplice nome di dominio o indirizzo IP.
Monitoraggio continuo
Le superfici di attacco sono dinamiche, fondamentale è quindi poter contare su una visibilità in real time. Questa attività di monitoraggio serve anche per definire le priorità secondo rischi più urgenti, basandosi sulla probabilità che un asset venga attaccato e sulla sua vulnerabilità, sugli exploit noti e sulla complessità della remediation richiesta. Quando un asset risiede in un ambiente in cui non può essere sfruttato, le piattaforme ASM intelligenti sono in grado di declassarne le vulnerabilità, anche se è pubblicamente classificato come altamente critico.
Punto di vista esterno
Per difendere efficacemente le reti dagli attacchi, i team di sicurezza devono poter vedere la digital footprint aziendale con gli occhi di un potenziale intruso. Solo così possono correggere eventuali vulnerabilità o punti deboli prima che vengano sfruttati. Una piattaforma ASM deve quindi permettere di analizzare la superficie di attacco dalla prospettiva di un aggressore esterno, l’unico punto di vista che conta quando si tratta di proteggerla.
Alert attivabili
Ogni alert inviato dovrebbe contenere indicazioni sul contesto e sulla remediation per consentire ai team di sicurezza di concentrarsi sulle vulnerabilità più critiche, reagendo in modo appropriato. Tra le informazioni da fornire l’asset interessato, il suo indirizzo IP, il suo obiettivo, il suo proprietario, il suo status ed eventuali connessioni con altri asset. Con questi elementi, se ne può valutare efficacemente l’importanza e il grado di esposizione all’interno di un certo ambiente. Partendo da questa osservazione, si decide se mettere l’asset offline, eliminarlo, patcharlo o semplicemente tenerlo monitorato.
Facile implementazione
Il prodotto ASM scelto deve integrarsi con le piattaforme e i servizi di cybersecurity esistenti: SIEM, security orchestration, automation and response, ed extended detection and response. È possibile procedere più facilmente utilizzando le API.
Fase 3: policy e formazione per valorizzare l’adozione dell’ASM platform
Una volta implementato, il programma di gestione della superficie di attacco potrebbe mettere in luce risorse rimaste nascoste o sconosciute. Sarà necessario esaminarle e decidere se rimuoverle o metterle in sicurezza. Va però anche compreso come e perché queste risorse sono state create, per poter mettere in atto le corrette procedure di prevenzione.
In questa fase svolgono un ruolo cruciale i responsabili HR e delle BU nell’affiancare chi si occupa di formazione sulla sicurezza. Gli eventuali nuovi iter introdotti devono infatti essere integrati nei flussi di lavoro quotidiani attivando iniziative di formazione per motivarne la presenza. In questa fase richiedono una particolare attenzione le policy che riguardano i cicli di vita di applicazioni e servizi.
Non sarà tempo sprecato quello investito nello spiegare il ruolo dell’ASM platform nella protezione dell’azienda e i pericoli dell’IT shadow. Nemmeno quello dedicato a potenziare le regole di protezione dei dati e delle risorse per i remote worker. Questa sempre più diffusa modalità di lavoro estende infatti la superficie di attacco e può facilmente generare nuove risorse digitali. Qui entra in gioco il principio del minimo privilegio, da applicare per garantire un corretto allineamento tra ruoli e permessi. Ci vogliono anche delle policy che impediscano agli ex dipendenti di operare perché amplierebbero ulteriormente la superficie di attacco.
Tutte queste procedure di Attack Surface Management dovrebbero essere eseguite dopo qualsiasi tipo di fusione, acquisizione o rilevamento di un’azienda. Sono essenziali per gestire al meglio sia l’integrazione di asset e superfici di attacco, sia l’introduzione di nuovi servizi o tecnologie.
Fase 4: come misurare il successo della piattaforma e del programma ASM
Dopo il lancio della piattaforma ASM, esistono metriche per misurarne il successo. Un primo evidente segnale dovrebbe essere il calo significativo del numero di nuove risorse che compaiono inaspettatamente. Ci si aspetta anche un miglioramento dei tempi di rilevamento delle vulnerabilità e di bonifica. Dovrebbero poi diminuire anche gli incidenti caratterizzati da un alto livello di gravità o di criticità.
I responsabili HR devono continuare a ricordare ai dipendenti le loro responsabilità nel ridurre al minimo le superfici di attacco, soprattutto a quelli che lavorano da remoto. Questo aspetto dovrebbe poi riflettersi nelle loro valutazioni aziendali.
Con la migrazione verso piattaforme e servizi cloud e ambienti di lavoro decentralizzati, la superficie di attacco è sempre più difficile da difendere. Un ASM program completo ed efficace è più che mai fondamentale per garantire sicurezza negli ecosistemi IT. Aiuta a mantenere l’organizzazione più protetta e soddisfa molti dei requisiti chiave dei comuni framework di sicurezza, rispondendo ai più importanti standard di conformità normativa.
