WatchGuard Blog

Le violazioni che non vedi: perché monitorare l'esposizione esterna aiuta a prevenire gli attacchi

La cybersecurity si concentra spesso sugli attacchi, ma molte violazioni si verificano perché sistemi, applicazioni o dati vengono esposti involontariamente su Internet.

La maggior parte delle conversazioni sulla cybersecurity si concentra su come impedire agli attaccanti di violare i sistemi. Nuove varianti di malware, campagne ransomware, attacchi basati sull'intelligenza artificiale e vulnerabilità zero-day dominano le cronache. Eppure molte violazioni avvengono per un motivo molto più semplice: le organizzazioni espongono involontariamente sistemi, applicazioni o dati su Internet.

Un esempio recente ha riguardato il retailer Express (Express incident), che ha reso nota una vulnerabilità che consentiva a utenti non autorizzati di accedere alle pagine di conferma degli ordini semplicemente modificando il numero d'ordine nell'URL. Le informazioni esposte includevano, secondo quanto riportato, nomi, numeri di telefono, indirizzi email, indirizzi postali, cronologia degli ordini e dati parzialmente mascherati delle carte di pagamento. Alcune pagine erano addirittura indicizzate dai motori di ricerca, rendendole ancora più facili da individuare.

Ciò che rende particolarmente preoccupanti episodi di questo tipo è che non richiedono tecniche di attacco sofisticate. Se le risorse sensibili sono già esposte, gli attaccanti non hanno bisogno di aggirare difese avanzate. In molti casi, una violazione non inizia con un'intrusione riuscita, ma con l'incapacità di sapere cosa sia realmente accessibile pubblicamente.

Per i Managed Service Provider (MSP), questa rappresenta una sfida sempre più importante. La domanda non è più soltanto come fermare gli attaccanti. La vera domanda è se gli attaccanti avrebbero dovuto essere in grado di trovare quella risorsa fin dall'inizio.

La superficie di attacco è cambiata

Negli ultimi anni le organizzazioni hanno ampliato in modo significativo la propria presenza digitale.

Piattaforme cloud, applicazioni SaaS, tecnologie per il lavoro da remoto, integrazioni con terze parti, API e ambienti ibridi hanno creato nuove opportunità per lavorare in modo più rapido ed efficiente. Allo stesso tempo, hanno aumentato il numero di sistemi, servizi e dati che possono essere esposti a Internet.

Nella maggior parte dei casi queste esposizioni non sono il risultato di negligenza. Sono una naturale conseguenza della complessità degli ambienti IT moderni.

Una regola temporanea del firewall rimane attiva dopo la conclusione di un progetto. Una connessione con un fornitore resta abilitata anche dopo la fine della collaborazione. Un'applicazione cloud viene distribuita senza essere inclusa nei controlli di sicurezza continuativi. Un sistema legacy continua a rimanere online perché nessuno vuole rischiare di interrompere le attività aziendali.

Singolarmente, queste decisioni sembrano innocue. Nel tempo, però, contribuiscono a creare una superficie di attacco sempre più ampia e difficile da comprendere e governare.

L'intelligenza artificiale sta cambiando le regole della ricognizione

In passato gli attaccanti dovevano investire tempo e competenze per individuare sistemi vulnerabili. Analizzavano manualmente le reti, cercavano servizi esposti, studiavano le vulnerabilità e selezionavano gli obiettivi più interessanti.

L'intelligenza artificiale sta cambiando radicalmente questo scenario.

Gli strumenti basati sull'AI sono in grado di analizzare rapidamente un elevato numero di risorse esposte su Internet, identificare servizi pubblici, correlare le versioni software con vulnerabilità note e stabilire automaticamente quali obiettivi siano più interessanti. Attività che un tempo richiedevano giorni possono oggi essere eseguite in modo continuo e su larga scala, riducendo i tempi di individuazione da settimane a pochi secondi.

Per gli MSP questo significa che il margine di errore si sta riducendo rapidamente. Un'applicazione esposta, un servizio di accesso remoto dimenticato o un sistema non aggiornato accessibile da Internet possono essere individuati molto più velocemente rispetto al passato. Se l'AI riduce il costo della ricognizione per gli attaccanti, limitare le esposizioni inutili diventa importante quanto rilevare le minacce.

La visibilità sta diventando un vero controllo di sicurezza

Per anni i team di sicurezza hanno concentrato l'attenzione su prevenzione, rilevamento e risposta. Queste capacità restano fondamentali, ma presuppongono che l'organizzazione conosca esattamente quali risorse debba proteggere.

Oggi questa convinzione è sempre meno valida e sempre più rischiosa.

Non è possibile proteggere risorse di cui non si conosce l'esistenza. Non è possibile mettere in sicurezza servizi di cui non si sa che sono esposti. E non è possibile valutare correttamente il rischio senza una visibilità completa della propria superficie di attacco esterna.

Per questo motivo la visibilità sta diventando essa stessa un controllo di sicurezza. Le organizzazioni che identificano, validano e governano costantemente le risorse esposte su Internet sono nelle condizioni migliori per ridurre il rischio prima ancora che gli attaccanti possano sfruttarlo.

Dalla visibilità all'azione

La visibilità ha valore solo se porta ad azioni concrete. Una volta comprese le esposizioni presenti, le organizzazioni devono adottare un processo strutturato e ripetibile per valutarle e ridurle.

Per gli MSP, la gestione dell'esposizione dovrebbe diventare una disciplina operativa continua e non un'attività di audit occasionale.

  • Ridurre al minimo le risorse esposte a Internet: ogni servizio accessibile pubblicamente dovrebbe avere una chiara motivazione di business. Se un sistema, un'applicazione o un servizio non deve essere raggiungibile da Internet, non dovrebbe esserlo.
  • Rafforzare la protezione dei servizi esposti: quando un servizio deve rimanere accessibile dall'esterno, gli accessi devono essere rigorosamente controllati attraverso autenticazione forte, aggiornamenti costanti e controlli di sicurezza multilivello.
  • Proteggere le risorse amministrative e interne: interfacce di gestione, console amministrative, database, strumenti di amministrazione remota e altre risorse sensibili non dovrebbero mai essere esposte direttamente su Internet quando esistono alternative più sicure.
  • Segmentare i sistemi critici: i servizi esposti dovrebbero essere isolati dalle reti interne e dalle risorse aziendali più sensibili. Una segmentazione efficace impedisce che una singola esposizione si trasformi in una compromissione più estesa.
  • Verificare continuamente le esposizioni: la gestione dell'esposizione non è un progetto una tantum. Regole firewall, servizi cloud, accessi dei fornitori e connessioni esterne devono essere verificati regolarmente per assicurarsi che rispondano ancora a reali esigenze operative.
  • Considerare ogni esposizione come un potenziale obiettivo: con la diffusione della ricognizione automatizzata basata sull'AI, è ragionevole assumere che tutto ciò che è esposto a Internet verrà prima o poi individuato. Le strategie di sicurezza devono partire da questa consapevolezza.

Un nuovo approccio per gli MSP

Tradizionalmente il ruolo degli MSP è stato quello di implementare tecnologie, gestire infrastrutture e intervenire sugli incidenti.

Oggi questo ruolo sta evolvendo.

I clienti si aspettano sempre più che il proprio partner li aiuti a comprendere il rischio, gestire la complessità e ridurre l'esposizione prima che si verifichino gli incidenti. Questo richiede di andare oltre la semplice gestione dei dispositivi o il monitoraggio della sicurezza, adottando un modello di governance continua degli ambienti protetti.

Gli MSP di maggior successo non saranno semplicemente quelli che aiuteranno i clienti a rispondere alle minacce. Saranno quelli che li aiuteranno a ridurre le opportunità che consentono alle minacce di emergere.

Guardando al futuro

La prossima grande violazione potrebbe non essere causata da uno zero-day sofisticato o da un attacco avanzato generato dall'intelligenza artificiale.

Potrebbe iniziare da un sistema dimenticato, un'applicazione esposta, un'eccezione temporanea diventata permanente o un servizio rimasto accessibile molto oltre il tempo necessario.

Man mano che la superficie di attacco continua ad ampliarsi e l'intelligenza artificiale accelera la capacità degli attaccanti di individuare vulnerabilità, le organizzazioni devono ripensare il proprio approccio alla gestione dell'esposizione.

Per gli MSP questo significa considerare l'esposizione esterna come un rischio operativo continuo e non come una semplice attività periodica di sicurezza.

Perché, nell'attuale panorama delle minacce, ciò che gli attaccanti possono vedere può essere importante quanto ciò che riescono effettivamente a compromettere.

Per approfondire come ottimizzare la sicurezza di rete dei tuoi clienti, consulta anche questi articoli del nostro blog: