Strategia 2021: più attenzione alla superficie d’attacco
L’aumento degli attacchi ransomware andati a buon fine nel 2020 fornisce indicazioni molte chiare: le aziende hanno perso di vista i potenziali punti di ingresso utilizzati per gli attacchi online oppure non ne hanno mai avuto il controllo. Gli hacker spesso usano le informazioni pubblicate sui siti web aziendali per raccogliere informazioni sull’infrastruttura di rete di un’azienda e le sfruttano a loro vantaggio quando sferrano un attacco. I criminali informatici semplicemente acquisiscono tutti gli indizi – che sono di pubblico dominio – per poi installare malware e sottrarre dati riservati.
Quest’anno, tutti i dipartimenti IT dovrebbero porsi un obiettivo: il 2021 dovrebbe essere l’anno per identificare e limitare tutti i vettori di attacco. Dal punto di vista della sicurezza, è fatto ben noto che le aziende pubblichino online più informazioni sulla loro infrastruttura di quanto dovrebbero. Un servizio non configurato correttamente lascia delle tracce sul web, mentre ambienti di sviluppo poco sicuri invitano virtualmente i malintenzionati ad entrare, dando loro accesso a calendari di riunioni condivise, file multimediali e persino router, che possono anche portare all’esposizione dei dati.
Peggio ancora, l’infrastruttura hardware collegata a Internet permette ai criminali informatici di reperire facilmente più informazioni sull’infrastruttura stessa di un’azienda. Un firewall, per esempio, potrebbe fungere da confine tra la rete interna e quella esterna, ma così facendo, può involontariamente fornire a terze parti informazioni sulla struttura dell’azienda, rendendo pubblici i nomi di rete o i domini usati negli ambienti interni.
Questo tipo di informazioni open-source (OSINT) sugli hostname delle infrastrutture, come ras.company.com o vpneur.company.com, permette agli hacker di ottenere informazioni sui servizi di accesso remoto o di accesso alla VPN in Europa. Le risorse con restrizioni di accesso, come msql.company.com:1433 per i database live o connect.company.com per i portali di accesso, permettono anche agli hacker di raccogliere informazioni sulle aziende online, e queste informazioni possono poi essere utilizzate per identificare i potenziali punti di ingresso per gli attacchi. Questo tipo di dati è liberamente disponibile online, spesso senza che l’azienda interessata sia consapevole dei rischi correlati. Gli hacker usano queste informazioni accessibili pubblicamente per identificare le debolezze e i punti di accesso alla rete aziendale.
Aziende inconsapevoli dei vettori di attacco
Ci sono molte ragioni per cui le aziende hanno perso di vista le potenziali superfici di attacco all’interno della loro infrastruttura IT. Le circostanze eccezionali dell’anno scorso hanno senza dubbio contribuito al fatto che le aziende stiano pubblicando online più informazioni del necessario sulla loro infrastruttura di accesso remoto. Nel 2020, le aziende sono state costrette a rendere rapidamente disponibili su vasta scala i sistemi aziendali al personale tramite accesso remoto. Ma il problema non può essere attribuito solo all’impatto della crisi sanitaria globale; ci sono molte altre ragioni per cui le aziende possono facilmente perdere di vista la loro infrastruttura IT.
I possibili fattori di pericolo includono: dipendenti responsabili della manutenzione delle risorse di rete che lasciano l’azienda, componenti dell’infrastruttura obsoleti che vengono dimenticati e di cui nessuno ha la responsabilità, o una mancanza di base di processi e inventari per i componenti di rete esistenti e i servizi online. I rischi possono anche derivare dagli ambienti di sviluppo, che sono spesso meno sicuri degli ambienti di produzione. Anche il fatto che virtualmente chiunque può creare un servizio rappresenta una minaccia. Se la persona che crea il servizio non è un esperto, se il lavoro viene eseguito in maniera approssimativa, o se le responsabilità non sono chiaramente definite, l’esposizione online pericolosa e incontrollata diventa il prezzo della semplicità. Le aziende devono acquisire la consapevolezza che qualsiasi servizio online potrebbe essere visibile a chiunque: ciò significa che qualsiasi utente di internet potrebbe cercare di accedere online nell’azienda e – se le soluzioni di sicurezza impiegate non sono adeguate – entrare nella rete aziendale in modo del tutto indisturbato.
Il modo giusto per gestire la crescita online
Rendere pubbliche informazioni in rete e discuterne con altri utenti è parte integrante dell’uso di internet. Tuttavia, tutti i servizi e gli asset aziendali devono essere protetti con misure di sicurezza adeguate. Un sito di shopping online deve essere accessibile agli utenti, ma non deve fornire accessi non necessari a informazioni sensibili, come per esempio il database dei clienti. La prima decisione che le aziende devono prendere quando scelgono la loro soluzione di sicurezza è quali informazioni vogliono rendere disponibili a tutti e quali dati devono essere disponibili solo a una cerchia ristretta di utenti.
La priorità numero uno quando si cerca di ridurre le porte di ingresso di un attacco è quella di definire i livelli di sicurezza per i diversi gruppi di utenti. Tracciare una distinzione tra utenza interna ed esterna può servire come struttura di base per la categorizzazione. Internamente, alcuni gruppi avranno bisogno di accedere alle applicazioni, mentre il team di supporto avrà bisogno di diritti di accesso più completi. L’accesso deve essere definito in maniera dettagliata. All’esterno, si deve distinguere tra gli scenari utente che coinvolgono i clienti o altre terze parti. Per ogni base di utenti, le aziende devono sviluppare un livello di sicurezza controllato basato su una segmentazione granulare, specifica per le esigenze del gruppo di utenti. Per le aziende, la sfida con questo tipo di impostazione sta nella sua complessità. Le tecniche tradizionali di segmentazione basate sull’interazione manuale aumentano il rischio di errori.
L’approccio Zero Trust per la sicurezza automatizzata può essere una soluzione a questo problema. Sulla base dell’identità e dei diritti d’accesso dell’utente, il sistema può isolare i servizi e i dati di cui l’utente ha bisogno. Questo principio può essere implementato nei servizi e nelle applicazioni basate sul cloud, così come nelle reti fisiche. Procedendo con l’isolamento e la segmentazione a livello di singole applicazioni, si elimina il rischio che i criminali informatici riescano ad entrare nel sistema e a spostarsi lateralmente attraverso la rete aziendale.
Per perseguire questo concetto di segmentazione, le aziende devono prima fare una riflessione al loro interno e comprendere appieno le vulnerabilità online della loro infrastruttura che le espongono a potenziali rischi.
Analisi delle porte di ingresso attaccabili
Tutti i dispositivi hardware o i servizi ospitati online costituiscono una potenziale superficie di attacco. Le aziende devono avere un quadro completo di ciò che è esposto online prima di poter mettere in atto le misure di sicurezza necessarie. In questo processo, possono rivelarsi utili quegli strumenti che consentono di identificare queste informazioni open-source ed evidenziano dove è necessario intervenire.
Non tutto ciò a cui si può accedere online deve essere necessariamente reso disponibile a tutti, in modo non protetto. Solo quando un’azienda capisce quali siano i suoi vettori di attacco aperti può agire sulla sicurezza e stabilire regole di segmentazione e isolamento appropriate per le applicazioni secondo un modello Zero Trust. Questo assicurerà che le applicazioni possano essere accessibili solo agli utenti autorizzati, chiudendo così le porte ai criminali informatici.
Zscaler Regional Marketing Director, Southern Europe