Nel rapporto Innovation Insight for Attack Surface Management, Gartner definisce l’Attack Surface Management (o “ASM”, in breve) il primo pilastro di una più ampia strategia di Exposure Management. Secondo Gartner, l’ASM risponde alle domande:
Come appare la mia organizzazione dal punto di vista di un attaccante? In che modo la cybersecurity dovrebbe individuare e dare priorità ai problemi che gli aggressori vedranno per primi?
La superficie di attacco di un’organizzazione è costituita da tutti gli asset IT con punti di ingresso che possono portare all’accesso non autorizzato ai suoi sistemi, rendendo tali asset suscettibili di hacking e sfruttamento allo scopo di condurre un attacco informatico. Un’azienda media dispone di un’ampia gamma di risorse che costituiscono la sua superficie di attacco.
Tipi di superfici di attacco:
- Digitale
- Applicazioni digitali
- Codice
- Porte
- Server
- Siti web
- Nuvole e contenitori
- Certificati digitali
- Punti di accesso al sistema non autorizzati
- Fisico
- Computer desktop
- Computer portatili
- Dispositivi mobili
- Porte USB
- Dispositivi IoT
- Hardware scartato impropriamente
Con la trasformazione digitale dell’ultimo decennio e la crescita dei modelli di lavoro remoti/ibridi negli ultimi due anni, il numero di risorse di superficie di attacco che la maggior parte delle organizzazioni deve gestire è esploso in modo esponenziale. Attualmente, il 52% delle organizzazioni IT gestisce oltre 10.000 risorse.
Fonte: Qualys
Gli esperti del settore citano una serie di motivi per cui la superficie di attacco dell’azienda media continua ad espandersi. Tra questi vi sono:
- Complesso ecosistema della catena di fornitura IT
- Diversità dei dispositivi tra gli utenti finali
- Utilizzo di infrastrutture cloud pubbliche
- Utilizzo di applicazioni e servizi SaaS
- Crescita del numero di lavoratori remoti
I dipartimenti IT aziendali, e in particolare i team di cybersecurity, sono responsabili 
dell’inventario, della gestione, della protezione e della difesa della superficie di attacco. Cosa succede se un’organizzazione non è nemmeno a conoscenza di tutte le sue risorse?
dell’inventario, della gestione, della protezione e della difesa della superficie di attacco. Cosa succede se un’organizzazione non è nemmeno a conoscenza di tutte le sue risorse?
Ciò che non si vede non può essere protetto
Una ricerca della società di analisi di settore ESG mostra che il 69% delle organizzazioni ha subito un attacco che ha preso di mira una “risorsa sconosciuta, non gestita o mal gestita rivolta a Internet”. Spesso si tratta di risorse di cui l’organizzazione potrebbe aver perso traccia o di cui non conosce l’esistenza (note anche come “shadow IT”). Non c’è da stupirsi che i malintenzionati riescano a sfruttarli con successo.
Il numero e la diversità delle risorse gestite dall’IT è esploso, rendendo difficile scoprirle tutte. Tuttavia, è estremamente importante far emergere queste risorse sconosciute. Ciò che non si vede non può essere protetto.
La ricerca di ESG rileva inoltre che solo il 9% delle organizzazioni monitora il 100% della superficie di attacco. Come se tenere traccia
di ogni possibile percorso di accesso ai sistemi aziendali non fosse già abbastanza difficile, è anche molto dispendioso in termini di tempo. Lo studio mostra che il 43% delle organizzazioni dedica più di 80 ore alla scoperta della superficie di attacco, affrontandola solo settimanalmente, semestralmente o mensilmente, secondo ESG.
È chiaro che il volume, la diversità e la complessità della gestione delle risorse IT stanno aumentando, spesso al di là della capacità dei team di Cybersecurity di tracciare, gestire e proteggere in modo efficace.
Ecco la gestione della superficie di attacco (ASM)
Definizione della gestione della superficie di attacco.
Non c’è da stupirsi che l’Attack Surface Management sia diventato un tema caldo tra i professionisti della Cybersecurity.
Tuttavia, la società di analisi del settore Forrester Research sottolinea che i fornitori di servizi di cybersecurity e di gestione del rischio utilizzano una varietà vertiginosa di moniker per descrivere la stessa cosa.
Questi includono:
- Individuazione delle risorse
- Valutazione della superficie di attacco
- Monitoraggio della superficie di attacco
- Individuazione delle risorse digitali
- Impronta digitale
- Monitoraggio del rischio digitale
- Protezione dal rischio digitale
- Gestione della superficie di attacco esterna
Qualunque sia il sinonimo utilizzato per l’ASM, Forrester raccomanda giustamente alle aziende di pensare in modo olistico all’intero patrimonio di asset IT.
La definizione di Gartner di ASM come parte dell’Exposure Management, invece, elenca tre elementi come capacità ASM di base: la gestione della superficie di attacco dei cyber asset (per gli asset interni), la gestione della superficie di attacco esterna e i servizi di protezione dal rischio digitale.
A prescindere dalla definizione, gli esperti concordano sul fatto che tutte le aziende devono migliorare la visibilità degli asset, la prioritizzazione dei rischi e il controllo della sicurezza sull’intera superficie di attacco.
Fonti:
https://newsroom.cisco.com/c/r/newsroom/en/us/index.html
