Security Blog

Gestire la superficie di attacco esterna: una guida completa

ariana@resilientx.com

La crescita esponenziale del lavoro a distanza, dell'adozione del cloud, dell'accesso di terze parti e dei dispositivi connessi a Internet ha portato a un'esplosione delle superfici di attacco esterne aziendali. Man mano che la tua impronta digitale cresce, aumenta anche la tua esposizione al rischio. Per difendere la tua organizzazione nel complesso panorama delle minacce odierno, devi padroneggiare la gestione della superficie di attacco esterna.

La tua superficie di attacco esterna è la raccolta di tutti i punti di ingresso digitali accessibili dall'esterno che potrebbero essere potenzialmente sfruttati dai criminali informatici. Questi includono le istanze cloud pubbliche, i siti Web, i portali di accesso remoto e le connessioni con fornitori di terze parti.

Man mano che la superficie di attacco esterna si espande, diventi più vulnerabile alle violazioni dei dati, alle interruzioni del servizio, al furto della proprietà intellettuale e ai danni alla reputazione. Gli strumenti di sicurezza esistenti sono inadeguati per gestire un ambiente così dinamico. Sono necessarie soluzioni automatizzate e intelligenti che forniscano visibilità e controllo completi su tutta la superficie di attacco esterna.

In questa guida completa, tratteremo tutto ciò che devi sapere sulla gestione della superficie di attacco esterna della tua azienda, tra cui:

  • Cos'è una superficie di attacco esterna e perché è importante?
  • Componenti principali di una superficie di attacco esterna
  • Le migliori pratiche per la gestione della superficie di attacco esterna
  • Scelta della giusta piattaforma di gestione della superficie di attacco esterna
  • Integrazione dei dati della superficie di attacco esterna nel tuo stack di sicurezza
  • Sfruttare l'automazione per migliorare l'efficacia
  • Collaborazione con terze parti per ridurre il rischio condiviso
  • Creazione di un programma proattivo di divulgazione delle vulnerabilità
  • Creazione di un piano di risposta agli incidenti per la tua superficie di attacco esterna
  • Misurazione del ROI del programma di gestione della superficie di attacco esterna

Cominciamo

Cos'è una superficie di attacco esterna?

La tua superficie di attacco esterna è costituita da tutti i punti di ingresso digitali al di fuori del firewall e del perimetro di rete dell'organizzazione. Questi includono:

  • Ambienti cloud pubblici - istanze, bucket di archiviazione, funzioni, API, ecc.
  • Siti web e applicazioni web - le tue proprietà e app pubbliche online.
  • Portali di accesso remoto - VPN, RDP, SSH, ecc.
  • Servizi esposti a Internet - database, code di messaggi, condivisioni di file, ecc.
  • Dispositivi di rete - sistemi di bilanciamento del carico, WAF, proxy, ecc.
  • API - API pubbliche e di terze parti.
  • App per dispositivi mobili - app mobili per consumatori e dipendenti.
  • Internet delle cose (IoT) - sistemi di costruzione connessi, dispositivi medici, apparecchiature di produzione, ecc.
  • Connessioni di terze parti - portali dei fornitori, integrazione della catena di fornitura digitale, ecc.
  • Filiali e fusioni e acquisizioni (M&A) - ingombro esterno esteso.

Qualsiasi risorsa digitale accessibile a Internet che non è protetta dai controlli di sicurezza della rete interna fa parte della superficie di attacco esterna. Queste risorse non controllate rappresentano punti di accesso per gli aggressori per infiltrarsi nei sistemi e nei dati.

Perché gestire la superficie di attacco esterna?

Ecco alcuni motivi principali per cui è fondamentale ottenere il controllo sulla superficie di attacco esterna:

  • Panorama delle minacce in evoluzione - Le minacce esterne rappresentano ora oltre l'80% delle violazioni. Gli aggressori sono sofisticati, ben finanziati e sono costantemente alla ricerca di punti deboli legati a Internet.
  • Conformità normativa - Normative come PCI DSS, HIPAA, GDPR e CCPA richiedono la gestione del rischio sull'intera impronta digitale. Le multe per non conformità possono essere elevate.
  • Rischio di terze parti - Gli ecosistemi digitali interconnessi significano che le vulnerabilità in qualsiasi punto della catena di approvvigionamento possono avere un impatto su tutti.
  • Fusioni e acquisizioni - La crescita inorganica espande rapidamente la superficie di attacco e introduce nuovi rischi.
  • Adozione del cloud - Gli ambienti cloud pubblici dinamici richiedono controlli specializzati per prevenire configurazioni errate.
  • Forza lavoro remota - Un numero maggiore di dipendenti che accedono ai sistemi dall'esterno aumenta l'esposizione.
  • Nuovi vettori di attacco - Le tecnologie emergenti come l'IoT e le API ampliano la superficie di attacco.
  • Danni reputazionali - Le violazioni derivanti da risorse esterne non gestite causano la perdita della fiducia dei clienti.

Il problema è che la superficie di attacco esterna sta crescendo troppo rapidamente ed è troppo distribuita perché i processi manuali possano tenere il passo. È necessario un metodo automatizzato per scoprire continuamente le risorse, valutare i rischi e mitigare le vulnerabilità su tutta la superficie di attacco esterna.

Componenti della superficie di attacco esterna

Per padroneggiare la gestione della superficie di attacco esterna, devi prima comprendere i componenti principali che la compongono. Questi sono:

Risorse

Tutto ciò a cui è possibile accedere e potenzialmente sfruttare esternamente è una risorsa. Ciò include dispositivi fisici, applicazioni, servizi, componenti di rete, API, archivi di codice, risorse cloud, portali per dipendenti e partner, ecc.

La scoperta dinamica di tutte le risorse accessibili da Internet in tutta l'impronta aziendale è il primo passo fondamentale nella gestione della superficie di attacco esterna. L'individuazione completa degli asset è difficile perché le organizzazioni spesso non hanno una visibilità centralizzata o un inventario centrale accurato di tutte le risorse rivolte all'esterno.

Punti di accesso

Questi sono i punti di ingresso digitali che consentono alle connessioni esterne di interagire con le risorse. Ad esempio:

  • Indirizzi IP e porte aperte
  • Nomi di dominio
  • Endpoint API
  • Stringhe di connessione al database
  • URL dei servizi cloud
  • Accessi alle applicazioni Web
  • Portali di accesso remoto
  • Connessioni di integrazione dei partner

I punti di accesso rappresentano le porte in cui gli aggressori possono tentare di entrare e devono essere adeguatamente protetti.

Vulnerabilità

Si tratta di difetti del software, problemi di configurazione o lacune politiche che creano punti deboli nelle risorse e nei punti di accesso. Gli esempi includono sistemi privi di patch, protocolli non sicuri, uso di password predefinite, politiche IAM eccessivamente permissive, certificati TLS scaduti, ecc.

Le vulnerabilità sono i problemi specifici che devono essere affrontati per ridurre l'esposizione al rischio.

Profilo di rischio

Si riferisce al potenziale impatto aziendale e alla probabilità di sfruttamento delle vulnerabilità nelle risorse e nei punti di accesso esterni della superficie di attacco. Ad esempio, un server rivolto a Internet senza patch che gestisce dati finanziari sensibili comporta un rischio maggiore rispetto a un sottodominio di test con controlli di accesso limitati.

La comprensione del profilo di rischio esterno consente di assegnare in modo intelligente le priorità alla riparazione in base ai potenziali danni.

Le migliori pratiche per la gestione della superficie di attacco esterna

La gestione di una superficie di attacco esterna dinamica su larga scala richiede di pensare oltre il perimetro tradizionale. Ecco 8 best practice seguite dalle aziende moderne:

1. Scopri tutte le risorse esterne

Non puoi proteggere ciò che non puoi vedere. Utilizza sia la scansione automatica che i dati centralizzati dell'inventario degli asset per ottenere una visibilità completa su tutta la superficie di attacco esterna.

2. Monitoraggio continuo della presenza di nuovi asset

Le nuove risorse vengono implementate costantemente. Scansiona continuamente per scoprire aggiunte e modifiche in modo che la tua visibilità sia sempre aggiornata.

3. Classifica risorse e dati

Classifica le risorse per tipo, proprietà, sensibilità dei dati e criticità aziendale. Ciò consente un'analisi razionale del rischio.

4. Mappa tutti i punti di accesso

Fai l'inventario di tutte le connessioni esterne per creare una mappa completa dei punti di accesso. Questo rivela potenziali vettori di attacco.

5. Identifica precocemente le vulnerabilità

Effettua scansioni frequenti per rilevare tempestivamente nuove vulnerabilità, prima che possano essere sfruttate.

6. Definire i profili di rischio

Assegna profili di rischio agli asset in base alla sensibilità dei dati, alla gravità delle vulnerabilità e al potenziale impatto aziendale. Concentra innanzitutto la risoluzione dei problemi ad alto rischio.

7. Orchestra la bonifica

Una volta scoperte le vulnerabilità e assegnate priorità, genera automaticamente i ticket e orchestra i flussi di lavoro di correzione utilizzando i sistemi IT e SecOps esistenti.

8. Misura la riduzione del rischio nel tempo

Quantifica e monitora la riduzione del rischio nel tempo per dimostrare una maggiore resilienza e conformità.

Queste best practice consentono di gestire il rischio esterno in modo intelligente, efficiente e su larga scala.

Scelta di una piattaforma di gestione della superficie di attacco esterna

Per implementare un programma completo di gestione della superficie di attacco esterna, è necessaria una piattaforma SaaS automatizzata creata appositamente per affrontare le sfide uniche di un perimetro dinamico moderno.

Ecco le funzionalità chiave da cercare in una soluzione EASM di livello aziendale:

  • Scoperta delle risorse - Scansione attiva e integrazioni con CMDB, console cloud, ecc. per scoprire risorse note e shadow.
  • Monitoraggio continuo - Scansioni frequenti per rilevare risorse e deviazioni di configurazione.
  • Prioritizzazione basata sul rischio - Utilizza la scienza dei dati per calcolare il punteggio di rischio in base a molteplici fattori.
  • Intelligenza centralizzata - Visualizzazione centralizzata in un unico pannello di visualizzazione in tutti gli ambienti.
  • Riparazione automatica - Coordina i flussi di lavoro di correzione nel tuo stack IT e SecOps.
  • Rapporti sulla conformità - Fornisce report pronti per l'audit mappati ai requisiti normativi.
  • Integrazione con terze parti - Valuta il rischio dei fornitori e condivide le informazioni sulla superficie di attacco.
  • Analisi della superficie di attacco - Identifica le cause principali dei problemi e le soluzioni strategiche.
  • Strumenti di collaborazione - Consente la risoluzione cooperativa tra team e terze parti.

Le piattaforme più efficaci forniscono difese a più livelli, combinando la scansione del software con il controllo umano per ottenere scalabilità e precisione. Cerca un fornitore con esperienza nella gestione del rischio di superficie di attacco in diversi ambienti aziendali.

Integrazione di EASM nel tuo stack di sicurezza

I dati raccolti dalla gestione della superficie di attacco esterna aggiungono un contesto cruciale per altri strumenti di sicurezza. Ecco come integrare EASM nel tuo stack di sicurezza più ampio:

  • SIEM - Trasmetti il contesto degli asset, le vulnerabilità e il punteggio di rischio nel tuo SIEM per migliorare il monitoraggio e la risposta.
  • LIBRARSI - Attiva playbook basati sui risultati critici della superficie di attacco per consentire una risposta automatica.
  • Gestione delle vulnerabilità - Sincronizza i risultati con il tuo sistema di gestione dei vuln per allineare la scansione e la correzione.
  • Sicurezza delle applicazioni - Fornisci dettagli sulle app esposte all'ombra e sui controlli di sicurezza appropriati.
  • Gestione della postura di sicurezza nel cloud - Combina le informazioni provenienti dagli strumenti CSPM per una visione unificata del rischio cloud.
  • Gestione del rischio di terze parti - Informa i fornitori sulla valutazione del rischio con i dati sulla superficie di attacco provenienti da partner interconnessi.
  • Gestione delle identità e degli accessi - Gestisci l'igiene delle credenziali e la sicurezza delle identità in base all'analisi dei punti di accesso EASM.

Ognuna di queste integrazioni fornisce un contesto più ricco che rafforza la tua posizione di sicurezza complessiva.

La potenza dell'automazione in EASM

L'enorme scala e il flusso costante della superficie di attacco esterna rendono impraticabile la gestione manuale. L'automazione è fondamentale per tenere sotto controllo i rischi esterni.

Alcuni dei modi in cui l'automazione migliora l'efficacia dell'EASM includono:

  • Scoperta delle risorse - Gli scanner autonomi mappano le risorse su larga scala più velocemente rispetto all'audit manuale.
  • Scansione continua - Le scansioni pianificate monitorano la deriva della configurazione 24 ore su 24, 7 giorni su 7 senza intervento umano.
  • Rilevamento delle vulnerabilità - L'analisi algoritmica rileva le vulnerabilità con una precisione molto maggiore rispetto all'occhio umano.
  • Punteggio del rischio - I modelli di scienza dei dati quantificano il contesto di rischio meglio della valutazione umana qualitativa.
  • Riparazione automatica - I flussi di lavoro basati su regole risolvono o mitigano i problemi automaticamente senza ritardi.
  • Integrazione con terze parti - Le API condividono i dati sulla superficie di attacco in tempo reale tra i partner alla velocità del computer.
  • Rapporti - I report basati su modelli fanno risparmiare tempo agli analisti e garantiscono la preparazione all'audit.

L'analisi basata sull'apprendimento automatico delle moderne piattaforme EASM consente loro di diventare più intelligenti e veloci nel tempo, offrendo visibilità completa, rilevamento precoce delle minacce e flussi di lavoro efficienti su vasta scala.

Gestione del rischio di superficie di attacco di terze parti

Gli odierni ecosistemi aziendali altamente interconnessi significano che la superficie di attacco esterna si estende oltre il tuo ambiente e si estende a quella di fornitori, partner e filiali digitali. Un compromesso in qualsiasi punto di una catena di fornitura interconnessa può creare visibilità per tutti.

Ecco come gestire il rischio di superficie di attacco causato da terze parti:

  • Conosci le tue connessioni - Mappa l'intera catena di fornitura digitale per identificare i punti di integrazione.
  • Valuta la sicurezza dei fornitori - Esamina gli ambienti dei partner per individuare eventuali vulnerabilità che potrebbero propagarsi.
  • Limita l'accesso - Abilita solo le connessioni esterne essenziali e limita i privilegi.
  • Condividi informazioni - Fornisci ai partner i dati sulla superficie di attacco per incentivare le azioni correttive.
  • Allinea gli standard di sicurezza - Includi i tuoi protocolli e formati di sicurezza nei contratti con i fornitori.
  • Gestisci i segreti - Ruota frequentemente le chiavi/token API e monitora le perdite.
  • Monitora continuamente il rischio - Man mano che le catene di approvvigionamento si evolvono, continua a verificare la presenza di nuove minacce.
  • Contenere i compromessi - Avere piani per isolare le terze parti in caso di violazione.
  • Incorporare M&A Attack Surface - Man mano che acquisisci società, integra rapidamente nuove risorse nel tuo programma EASM.

La gestione proattiva del rischio esterno derivante da terze parti è necessaria per una solida resilienza informatica.

Implementazione di un programma di divulgazione delle vulnerabilità

I programmi di divulgazione delle vulnerabilità o bug bounty forniscono un modo etico per identificare i punti ciechi nella superficie di attacco esterna.

Passaggi chiave per l'implementazione di un efficace programma di divulgazione delle vulnerabilità:

  • Pubblica politica di divulgazione - Fornire linee guida chiare sull'ambito, sui premi e sulle interazioni con i ricercatori.
  • Definisci ambito - Specifica quali risorse sono oggetto di test in base alla criticità.
  • Stabilisci premi - Compensare i ricercatori in modo proporzionale alla gravità della vulnerabilità.
  • Team di monitoraggio degli avvisi - Assicurati che il personale di sicurezza sia pronto a gestire gli invii.
  • Problemi di triage - Riprodurre report, determinare il livello di gravità e formulare soluzioni correttive.
  • Rimediare - Risolvi le vulnerabilità confermate e implementa nuovi controlli per prevenirne il ripetersi.
  • Migliora lo sviluppo sicuro - Inserisci i dati dei bug nei processi SLDC.
  • Riconosci i ricercatori - Riconoscere pubblicamente coloro che hanno divulgato i problemi in modo etico.
  • Espandi ambito - Consenti gradualmente il test su più risorse una volta che il programma è maturo.

Se gestiti bene, i bug bounty forniscono un prezioso monitoraggio continuo della superficie di attacco esterna in evoluzione.

Creazione di un piano di risposta agli incidenti

Nonostante i tuoi migliori sforzi per una gestione proattiva, le minacce esterne possono talvolta tradursi in incidenti di sicurezza che richiedono una risposta rapida. Ecco alcune considerazioni chiave per la risposta agli incidenti relativi alla superficie di attacco esterna:

  • Prepara un piano d'azione per vari scenari di violazione pronto per l'attivazione.
  • Stabilisci proprietari e playbook per la gestione delle minacce in ogni ambiente esterno: cloud, web, accesso remoto, ecc.
  • Designare contatti di emergenza presso terze parti per una notifica e una cooperazione tempestive.
  • Prepara comunicazioni in caso di crisi per aggiornare clienti, dipendenti, azionisti e pubblico.
  • Assicurati di disporre di adeguate capacità forensi per raccogliere prove sulla natura e la portata dell'incursione.
  • Preparati a dotarti di capacità e competenze supplementari, se necessario: l'assicurazione informatica può essere d'aiuto.
  • Determina i criteri per decidere se isolare o evacuare gli ambienti compromessi.
  • Sviluppa procedure per i controlli, come le regole del firewall o la rotazione delle chiavi API, per contenere le minacce.
  • Archivia i dati degli incidenti per i miglioramenti futuri delle strategie di risposta e gli audit di conformità.

Avere solidi protocolli di risposta agli incidenti su misura per la tua superficie di attacco esterna ti aiuterà a reagire rapidamente e a ridurre al minimo i danni.

Misurazione del ROI dell'EASM

Come ogni importante investimento in sicurezza, l'implementazione di un programma di gestione della superficie di attacco esterna richiede un budget. Essere in grado di misurare e dimostrare un ritorno sull'investimento quantificabile è fondamentale per giustificare ed espandere le capacità dell'EASM.

Alcuni consigli per monitorare il ROI dell'EASM:

  • Stabilisci i KPI in base alla riduzione del rischio nel tempo man mano che le vulnerabilità vengono risolte.
  • Calcola le potenziali perdite evitate identificando e colmando in modo proattivo le lacune di sicurezza.
  • Valuta i costi delle multe evitate e dei danni al marchio evitati.
  • Tieni conto dei guadagni di produttività IT e SecOps grazie all'automazione del flusso di lavoro.
  • Confronta i costi rispetto al monitoraggio perimetrale tradizionale e ai test manuali del team rosso.
  • Evidenzia il miglioramento delle prestazioni degli audit normativi.
  • Mostra riduzioni dei tempi di permanenza e dei costi di contenimento per gli incidenti originati dall'esterno.
  • Correlati con i dati sulla diminuzione degli attacchi di malware e ransomware.
  • Misura i miglioramenti nella gestione del rischio di terze parti.

La quantificazione empirica dei vantaggi dell'EASM costituisce un'argomentazione molto più convincente rispetto alle proiezioni ipotetiche.

Conclusione

Nell'odierno ambiente aziendale iperconnesso, la superficie di attacco esterna rappresenta una delle aree di rischio informatico più significative. Come afferma succintamente il famoso ricercatore di sicurezza Ken Thompson: «Non puoi fidarti del codice che non hai creato completamente da solo».

La crescente dipendenza da terze parti significa che il codice che protegge i sistemi e i dati è in gran parte nascosto. Adottando la scoperta, il monitoraggio e il controllo continui della superficie di attacco esterna, puoi affrontare questa sfida chiave della moderna difesa informatica.

Con una solida strategia basata sull'automazione, sulla condivisione delle informazioni e sul coordinamento tra team, puoi padroneggiare la gestione della superficie di attacco esterna su larga scala. La capacità di vedere nell'ombra, valutare i rischi nel contesto e porvi rimedio rapidamente aiuterà la tua organizzazione a prosperare in modo sicuro nonostante la crescente complessità del cyberspazio.

Riepilogo delle raccomandazioni chiave

  • Ottieni una visibilità completa su tutta la superficie di attacco esterna.
  • Monitora continuamente le risorse e i punti di accesso per individuare eventuali vulnerabilità.
  • Quantifica il contesto del rischio per dare priorità alla correzione in modo intelligente.
  • Sfrutta l'automazione per accelerare il rilevamento e la risposta alle minacce.
  • Collabora con i partner per ridurre il rischio condiviso della catena di fornitura.
  • Implementa un programma proattivo di divulgazione delle vulnerabilità.
  • Prepara piani di risposta agli incidenti su misura per i tuoi ambienti esterni.
  • Tieni traccia delle metriche di riduzione del rischio per misurare il ROI dell'EASM.

Con una strategia ponderata e strumenti robusti, puoi gestire con sicurezza la tua superficie di attacco esterna dinamica. La padronanza dell'EASM è fondamentale per la resilienza informatica.

Related Blog Posts
Security Blog
Importanza della gestione della superficie di attacco nella sicurezza informatica
Gli attacchi informatici sono aumentati del 15%, dando origine a una stima...
Security Blog
DORA: la tua guida essenziale al nuovo regolamento sulla sicurezza informatica dell'UE
Secondo un recente rapporto McAfee, la criminalità informatica costa...
Security Blog
Sfide e soluzioni comuni per la gestione del rischio di terze parti
Un sondaggio di Gartner rivela che il 45% delle aziende ha...
Security Blog
Proteggere i fornitori di servizi: una guida alla gestione del rischio
Quasi il 60% delle aziende ha subito una violazione dei dati causata...
Related Blog Posts
No items found.