Le soluzioni per la gestione della superficie di attacco delle risorse informatiche (CAASM) o per la gestione della superficie di attacco esterna (EASM) sono progettate per quantificare la superficie di attacco e per minimizzarla e renderla più resistente. L’obiettivo degli strumenti CAASM è quello di fornire all’avversario il minor numero possibile di informazioni sulla posizione di sicurezza dell’azienda, pur mantenendo i servizi aziendali critici.

Se avete visto un qualsiasi film di rapine (i cosiddetti heist-movie), la prima fase dell’esecuzione del colpo del secolo è il sopralluogo: osservare le misure di sicurezza, misurare i tempi di risposta e tracciare le vie di fuga. Questo processo è simile sia all’attacco, sia alla protezione delle risorse IT aziendali: conoscere le risorse visibili pubblicamente su internet, imparare a conoscere lo stack tecnologico e individuare le vulnerabilità e i punti deboli.

Le basi della gestione della superficie di attacco

La superficie di attacco è l’insieme delle risorse aziendali, note anche come asset, accessibili in qualche modo da internet. Può trattarsi di applicazioni ospitate in sede con porte aperte attraverso il firewall aziendale, applicazioni SaaS ospitate nel cloud o qualsiasi altra risorsa ospitata nel cloud con una presenza pubblica. La superficie di attacco comprende elementi quali porte e protocolli aperti, SSL e standard crittografici utilizzati, applicazioni ospitate e persino le piattaforme server che ospitano l’applicazione. Le unità che compongono la superficie di attacco sono chiamate asset. Sono l’indirizzo IP o il nome di dominio, insieme allo stack tecnologico che compone l’applicazione o il servizio.

Le vulnerabilità sono carenze di configurazione o software non patchati che lasciano aperta la porta a un attacco da parte di utenti malintenzionati per compromettere uno o più sistemi. Mentre la gestione della superficie di attacco si concentra principalmente sugli asset che si trovano su Internet, anche gli asset che si trovano all’interno dei data center aziendali o delle reti cloud possono mettere a rischio un’azienda se non vengono monitorati e gestiti correttamente.

Poiché queste risorse non sono accessibili dall’esterno, la possibilità di monitorarle richiede un agente software o la possibilità per il servizio di monitoraggio di accedere alla vostra rete. I server e le applicazioni hanno spesso un ventre molle se osservati dalla rete aziendale. Qualsiasi strumento di monitoraggio deve valutare una gamma più ampia di servizi e, in molti casi, testare i servizi sia come utente anonimo, sia come utente autenticato alla rete.

Strumenti CAASM e EASM per la scoperta e la gestione della superficie di attacco

Le scansioni periodiche della rete non sono più sufficienti per mantenere una superficie di attacco protetta. Il monitoraggio continuo delle nuove risorse è fondamentale per garantire la sicurezza delle risorse aziendali e dei dati dei clienti. Le nuove risorse devono essere identificate e incorporate nella soluzione di monitoraggio, poiché potrebbero potenzialmente far parte di un attacco di marca o di uno shadow IT. La cosiddetta deriva della configurazione (configuration drift) potrebbe essere benigna e parte di un cambiamento di progettazione, ma potrebbe anche essere il risultato di un errore umano o delle prime fasi di un attacco. L’identificazione precoce di queste modifiche consente al team di cybersecurity di reagire in modo appropriato e di mitigare ulteriori danni.

Ecco 9 strumenti che aiutano a scoprire e gestire i rischi.

Axonius Cyber Asset Attack Surface Management 

Axonius offre una solida suite CAASM che tocca tutti i fattori chiave per il monitoraggio della superficie di attacco. Axonius inizia con un inventario degli asset che viene aggiornato automaticamente e arricchito con un contesto proveniente sia da fonti di dati interne che da risorse a cui Axonius ha accesso al di fuori della rete dell’utente. Può anche eseguire un monitoraggio basato sui controlli di sicurezza di set di policy come PCI o HIPAA, identificando le configurazioni o le vulnerabilità che equivalgono a violazioni delle policy e consentendo all’utente di intervenire per risolvere il problema.

CrowdStrike Falcon Surface

CrowdStrike Falcon Surface offre una visione dal punto di vista dell’avversario, fornendo una mappa in tempo reale delle risorse esposte e dei potenziali vettori di attacco. L’inventario delle risorse di CrowdStrike fornisce anche una cronologia delle modifiche nel tempo, fornendo dettagli immediati sulla deriva della configurazione. La prioritizzazione del rischio per l’azienda è resa possibile dal contesto sviluppato attraverso flussi di dati interni ed esterni. Le azioni di rimedio possono essere intraprese automaticamente attraverso avvisi e azioni basate sull’integrazione (notifica a un canale Slack, creazione di un ticket in Jira o ServiceNow o attivazione di un’azione su un account utente o su un sistema).

CyCognito Attack Surface Management

Il prodotto CAASM di CyCognito fornisce un monitoraggio continuo e un inventario delle risorse, sia che risiedano in sede, nel cloud, presso una terza parte o attraverso una filiale. Il contesto aziendale, come la proprietà e le relazioni tra gli asset, può essere aggiunto per facilitare il processo di triage e aiutare a stabilire le priorità di risposta ai rischi. Questo contesto e la definizione intelligente delle priorità, valutando aspetti come la facilità di sfruttamento e la classificazione degli asset, aiutano a concentrarsi sui rischi più critici per la rete. CyCognito tiene traccia anche della deriva della configurazione degli asset, consentendo di visualizzare la cronologia delle modifiche e di identificare nuovi rischi per l’infrastruttura aziendale.

Informer

Informer offre funzionalità EASM che automatizzano la scoperta degli asset nelle applicazioni web, nelle API e in altri aspetti dello stack IT aziendale rivolto al pubblico. Questi asset vengono monitorati continuamente e i rischi identificati vengono classificati in tempo reale. Informer offre servizi aggiuntivi per eseguire la convalida manuale dei rischi e persino i pen-test. Il sistema di risposta basato sul flusso di lavoro di Informer facilita l’integrazione di più team nella risposta agli incidenti grazie all’integrazione con le principali applicazioni di ticketing e comunicazione esistenti. Una volta che le minacce identificate da Informer sono state mitigate, è possibile avviare immediatamente un nuovo test per convalidare la modifica della configurazione o l’aggiornamento del sistema che ha rimediato completamente al rischio.

ransomware-mondo-attacco

JupiterOne Cyber Asset Attack Surface Management

JupiterOne presenta la sua soluzione CAASM come un modo per aggregare senza problemi i dati delle risorse informatiche in una visione unificata. Il contesto viene aggiunto automaticamente dove necessario e le relazioni tra gli asset possono essere definite e ottimizzate per migliorare l’analisi delle vulnerabilità e la risposta agli incidenti. Le query personalizzate consentono al team di cybersecurity di rispondere a richieste complesse, mentre l’inventario degli asset può essere sfogliato utilizzando una mappa visiva interattiva, che consente di valutare la portata degli incidenti e di stabilire le priorità di risposta. Gli investimenti già effettuati in strumenti di sicurezza possono essere sfruttati grazie alle integrazioni, trasformando JupiterOne in una visione olistica centralizzata della sicurezza aziendale.

Microsoft Defender External Attack Surface Management

Microsoft sta assumendo silenziosamente un ruolo di leadership nel panorama della sicurezza aziendale, sfruttando i suoi investimenti nel cloud per fornire valore ai clienti, e la sua offerta EASM con il marchio Defender non fa eccezione. Microsoft Defender EASM consente di individuare le risorse e gli asset non gestiti, compresi quelli distribuiti dallo shadow IT e quelli che risiedono in altre piattaforme cloud. Una volta identificati gli asset e le risorse, Defender EASM sonda le vulnerabilità a ogni livello dello stack tecnologico, compresa la piattaforma sottostante, i framework delle app, le applicazioni web, i componenti e il codice principale.

Microsoft Defender EASM consente inoltre al personale IT di rimediare rapidamente alle vulnerabilità delle risorse appena scoperte, classificando e dando priorità alle vulnerabilità in tempo reale, man mano che vengono scoperte. Defender EASM si integra perfettamente con altre soluzioni Microsoft incentrate sulla sicurezza, come Microsoft 365 Defender, Defender for Cloud e Sentinel.

Rapid7 InsightVM

Rapid7 ha costruito un’attività che consente all’IT aziendale di identificare le vulnerabilità all’interno delle risorse aziendali. È emerso che gli aspetti fondamentali della scansione del sistema e dell’analisi dei dati sono utili per la gestione della superficie di attacco e InsightVM si basa su queste fondamenta per offrire funzionalità solide che rivaleggiano con qualsiasi altra soluzione menzionata. La posizione di Rapid7 nel settore è tale che non si limita ad attingere ai punteggi CVE (Common Vulnerabilities and Exposures) di Mitre come mezzo per dare priorità alle vulnerabilità, ma è un’autorità di numerazione CVE con la capacità di identificare e valutare le vulnerabilità appena scoperte.

InsightVM monitora i cambiamenti degli asset aziendali, sia che si tratti di asset appena distribuiti o di asset con nuove vulnerabilità o modifiche alla configurazione. Rapid7 mette a disposizione di InsightVM anche le sue capacità analitiche e di dashboard, consentendo agli utenti di visualizzare una dashboard con informazioni in tempo reale o di approfondire i dettagli sulle vulnerabilità con i suoi strumenti di interrogazione.

SOCRadar AttackMapper

SOCRadar cerca di offrire agli utenti una visione delle risorse con l’occhio dell’aggressore attraverso AttackMapper, parte della sua suite di strumenti per i team SOC. AttackMapper esegue un monitoraggio dinamico delle risorse in tempo reale, identificando quelle nuove o modificate e analizzando tali modifiche alla ricerca di potenziali vulnerabilità. SOCRadar mette in relazione le sue scoperte con i metodi di attacco delle vulnerabilità note per dare un contesto al processo decisionale e di triage. AttackMapper non si limita a monitorare gli endpoint e le vulnerabilità del software, ma si occupa anche di aspetti quali le debolezze e la scadenza dei certificati SSL e persino i record e la configurazione DNS. AttackMapper è in grado di identificare anche il defacement dei siti web per proteggere la reputazione del brand.

Tenable.asm

Tenable offre strumenti per identificare le vulnerabilità da molti anni e la sua attuale suite di strumenti risponde bene alle esigenze dei moderni professionisti della sicurezza informatica. Tenable.asm è il modulo EASM dell’azienda ed è completamente integrato con gli strumenti di gestione delle vulnerabilità di Tenable. Tenable.asm fornisce un contesto ai dettagli degli asset e delle vulnerabilità, non solo dal punto di vista tecnico ma anche dal punto di vista aziendale, necessario per definire le priorità di risposta. Una volta aggiunto il contesto ai dati sulle risorse e sulle vulnerabilità, l’utente può eseguire query e filtri su oltre 200 campi di metadati, consentendo un rapido drill down verso le risorse e gli asset fondamentali per l’azienda.