Proteggere la superficie di attacco esterna

Cinque elementi che le organizzazioni dovrebbero monitorare

Il mondo della cybersecurity continua a essere sempre più complesso man mano che le organizzazioni si spostano nel cloud e passano al lavoro decentralizzato. Oggi, la superficie di attacco esterna si estende su più cloud, catene di approvvigionamento digitali complesse ed ecosistemi di terze parti massivi. Di conseguenza, la dimensione crescente dei problemi di sicurezza diventati ora comuni ha cambiato radicalmente la nostra percezione di sicurezza completa.

Internet fa ora parte della rete. Nonostante la sua dimensione misteriosa, i team di sicurezza devono difendere la presenza dell'organizzazione su Internet allo stesso grado di qualsiasi cosa dietro i relativi firewall. Man mano che sempre più organizzazioni adottano i principi di Zero Trust, proteggere le superfici interne ed esterne diventa una sfida su scala Internet. Pertanto, è sempre più critico per le organizzazioni comprendere l'intera portata della propria superficie di attacco.

Microsoft ha acquisito Risk IQ nel 2021 per aiutare le organizzazioni a valutare la sicurezza della propria azienda completamente digitale. Grazie a RiskIQ Internet Intelligence Graph, le organizzazioni possono scoprire e indagare le minacce tra componenti, connessioni, servizi, dispositivi connessi tramite IP e infrastruttura che compongono la superficie di attacco per creare una difesa resiliente e scalabile.

Per i team di sicurezza, la profondità e l'ampiezza di ciò che devono difendere può sembrare scoraggiante. Tuttavia, un modo per mettere a fuoco l'ambito della superficie di attacco delle proprie organizzazioni consiste nel pensare a Internet dal punto di vista di un utente malintenzionato. L'articolo evidenzia cinque aree che contribuiscono a comprendere meglio le sfide della gestione efficace della superficie di attacco esterna.

La superficie di attacco globale cresce con Internet

E cresce giorno dopo giorno. Nel 2020, la quantità di dati su Internet ha toccato i 40 zettabyte o 40 trilioni di gigabyte.¹ RiskIQ ha rilevato che ogni minuto, 117.298 host e 613 domini² si aggiungono ai molti thread interconnessi, componendo il tessuto intricato della superficie di attacco globale. Ognuno contiene un set di elementi, come ad esempio i sistemi operativi sottostanti, framework, applicazioni di terze parti, plug-in e codice di monitoraggio. Con ognuno di questi siti in rapida proliferazione che contengono aspetti essenziali, l'ambito della superficie di attacco globale cresce in modo esponenziale.

host creati ogni minuto.
domini creati ogni minuto.
375 nuove minacce ogni minuto.²

Sia le organizzazioni legittime sia gli attori delle minacce contribuiscono a questa crescita, il che significa che le minacce informatiche aumentano su larga scala con il resto di Internet. Le APT sofisticate e criminali informatici insignificanti minacciano allo stesso modo la sicurezza delle aziende, prendendo di mira i relativi dati, brand, la proprietà intellettuale, i sistemi e le persone.

Nel primo trimestre del 2021 CISCO ha rilevato 611.877 siti di phishing univoci,³ con 32 eventi di violazione del dominio e 375 nuove minacce totali emergenti ogni minuto.² Queste minacce prendono di mira i dipendenti e i clienti delle organizzazioni con risorse fraudolente, cercando di ingannarle affinché facciano clic su link e phishing dannosi per rivelare dati sensibili, tutte cose che possono erodere la fiducia nel brand e la fidelizzazione dei clienti.

L'aumento di vulnerabilità con un personale remoto

La rapida crescita delle risorse esposte a Internet ha allargato in modo significativo lo spettro delle minacce e delle vulnerabilità che interessano l'organizzazione media. Con l'avvento del COVID-19, la crescita digitale ha accelerato ancora una volta e ora praticamente ogni organizzazione sta espandendo la propria footprint digitale per ospitare personale e un modello aziendale remoti e altamente flessibili. Il risultato: gli utenti malintenzionati ora hanno molti più punti di accesso da analizzare e sfruttare.

L'uso di tecnologie di accesso remoto come RDP (Remote Desktop Protocol) e VPN (Virtual Private Network) è schizzato rispettivamente al 41% e al 33%⁴, con la maggior parte del mondo che sta adottando un modello di lavoro da casa. La dimensione del mercato globale di software di desktop remoto da 1,53 miliardi USD nel 2019 raggiungerà i 4,69 miliardi USD entro il 2027.⁵

Decine di nuove vulnerabilità nei software e dispositivi di accesso remoto hanno offerto agli utenti malintenzionati punti di appoggio mai avuti in precedenza. RiskIQ ha rivelato molte istanze vulnerabili dei dispositivi perimetrali e di accesso remoto più diffusi e il ritmo torrenziale delle vulnerabilità non ha rallentato. Nel complesso, sono state segnalate 18.378 vulnerabilità nel 2021.⁶

crescita nell'uso di RDP.
crescita nell'uso di VPN.
vulnerabilità segnalate nel 2021.

Con l'aumento di attacchi su scala globale orchestrati da più gruppi di minacce e adattati per le aziende digitali, i team di sicurezza devono mitigare le vulnerabilità per se stessi, terze parti, partner, app controllate e non controllate e servizi all'interno e tra relazioni nella catena di approvvigionamento digitale.

Le catene di approvvigionamento digitali, fusioni e acquisizioni e lo shadow IT creano una superficie di attacco nascosta

La maggior parte degli attacchi informatici ha origine km e km dalla rete; le applicazioni Web rappresentano la categoria di vettore più comunemente sfruttata nelle violazioni di hacker. Sfortunatamente, alla maggior parte delle organizzazioni manca una visione completa delle risorse Internet e di come queste si connettono alla superficie di attacco globale. Tre elementi significativi di questa mancanza di visibilità sono lo shadow IT, fusioni e acquisizioni e catene di approvvigionamento digitali.

servizi scaduti al minuto.²
di trattative contenenti due diligence di cybersecurity.⁷
di organizzazioni che hanno subito almeno una violazione dei dati causata da terze parti.⁸

Shadow IT

Dove l'IT non riesce a mantenere il ritmo con i requisiti aziendali, l'azienda cerca supporto altrove per lo sviluppo e la distribuzione di nuove risorse Web. Il team di sicurezza spesso è all'oscuro di queste attività di shadow IT e, di conseguenza, non può portare le risorse create nell'ambito del proprio programma di sicurezza. Risorse non gestite e orfane possono diventare, nel tempo, una vulnerabilità nella superficie di attacco di un'organizzazione.

La rapida proliferazione di risorse digitali al di fuori del firewall è ora la norma. I nuovi clienti RiskIQ trovano normalmente circa il 30% in più di risorse di quelle che pensavano di avere e RiskIQ rileva 15 servizi scaduti (suscettibili all'acquisizione del sottodominio) e 143 porte aperte ogni minuto.²

Fusioni e acquisizioni

Ogni giorno le operazioni e le iniziative business critical come fusioni e acquisizioni, le partnership strategiche e l'esternalizzazione creano ed espandono le superfici di attacco esterne. Oggi, meno del 10% delle trattative a livello globale contiene la due diligence di cybersecurity.

Sono molti i motivi per i quali le organizzazioni non ottengono una vista completa di potenziali rischi informatici durante il processo di due diligence. Il primo è l'enorme dimensione della presenza digitale dell'azienda che stanno acquisendo. Non è insolito per una grande organizzazione avere migliaia, o addirittura decine di migliaia, di siti Web attivi e altre risorse esposte pubblicamente. Anche se l'IT e i team di sicurezza dell'azienda da acquisire hanno un registro dei siti Web, si tratta quasi sempre di una visione parziale di quello che esiste effettivamente. Più decentralizzate sono le attività IT di un'organizzazione, più significativo è il gap.

Catene di approvvigionamento

L'azienda è sempre più dipendente da alleati digitali che formano la catena di approvvigionamento moderna. Oltre ad essere fondamentali per il XXI secolo, queste dipendenze creano anche una complessa rete di relazioni di terze parti, molte delle quali non rientrano nella protezione proattiva dei team addetti alla sicurezza e ai rischi. Di conseguenza, identificare rapidamente gli asset digitali vulnerabili che segnalano eventuali rischi è una priorità assoluta.

Una mancanza di comprensione e visibilità su queste dipendenze ha reso gli attacchi di terze parti uno dei vettori più frequenti ed efficaci degli attori delle minacce. Una quantità significativa di attacchi ora passa attraverso la catena di approvvigionamento digitale. Oggi, il 70% dei professionisti IT ha indicato un livello di dipendenza da moderato a elevato dalle entità esterne che potrebbero includere terze, quarte o quinte parti.⁹Allo stesso tempo, il 53% delle organizzazioni ha subito almeno una violazione dei dati causata da terzi.¹⁰

Anche se gli attacchi alla catena di approvvigionamento su larga scala diventano sempre più comuni, le organizzazioni devono affrontare quelli più piccoli quotidianamente. I software dannosi di skimmer di carta di credito come Magecart agiscono sui plug-in di e-commerce di terze parti. A febbraio 2022, RiskIQ ha rilevato oltre 300 domini colpiti dal software dannoso di skimmer di carta di credito Magecat.¹¹

Ogni anno, le aziende investono sempre più nei dispositivi mobili poiché lo stile di vita del consumatore medio diventa sempre più incentrato sul mondo mobile. Gli americani ora spendono più tempo sui dispositivi mobili invece che a guardare la TV e il distanziamento sociale li ha portati a migrare molte delle esigenze fisiche al mondo mobile, come lo shopping e l'istruzione. L'app Annie mostra una crescita di spesa mobile di 170 milioni di dollari USD nel 2021, con una crescita del 19% anno dopo anno.¹²

La domanda di dispositivi mobili crea un'enorme proliferazione di app per dispositivi mobili. Nel 2020, gli utenti hanno scaricato 218 miliardi di app. Nel frattempo, RiskIQ ha notato una crescita complessiva del 33% nelle app per dispositivi mobili disponibili nel 2020, con 23 apparse ogni minuto.²

crescita di app per dispositivi mobili.
app per dispositivi mobili appaiono ogni minuto.
app bloccate ogni cinque minuti.²

Per le organizzazioni, queste app portano risultati aziendali. Tuttavia, possono rivelarsi un'arma a doppio taglio. Il panorama di app è una parte significativa della superficie di attacco complessiva di un'azienda che esiste oltre il firewall, in cui i team di sicurezza spesso soffrono di una mancanza di visibilità critica. Gli attori di minaccia hanno approfittato immediatamente di questa miopia per produrre "app non autorizzate" che imitano brand ben noti oppure che sostengono di essere qualcosa che non sono, appositamente per spingere i clienti a scaricarle. Quando l'ignaro utente scarica queste app dannose, gli attori delle minacce possono trovare la strada, rubare informazioni sensibili oppure caricare software dannoso nei dispositivi. RiskIQ inserisce nella blocklist un'app per dispositivi mobili dannosa ogni cinque minuti.

Queste app non autorizzate appaiono negli store ufficiali in rare occasioni, violando persino le solide difese dei principali App Store. Tuttavia, centinaia di app store meno attendibili rappresentano un torbido mondo criminale mobile che non rientra nella sicurezza relativa degli store più noti. Le app in questi store sono molto meno regolamentate rispetto agli app store ufficiali e a volte questi store sono così pieni di app dannose che queste superano di gran lunga le offerte sicure.

La superficie di attacco globale è anche una parte della superficie di attacco di un'organizzazione

La superficie di attacco globale odierna si è trasformata in modo significativo in un ecosistema dinamico, completo e totalmente intrecciato di cui tutti facciamo parte. Se hai una presenza Internet, sei interconnesso con chiunque altro, anche con coloro che possono danneggiarti. Per questo motivo, monitorare l'infrastruttura delle minacce è importante tanto quanto monitorare la tua infrastruttura.

nuovi pezzi di software dannoso vengono rilevati ogni giorno.²
aumento in varianti di software dannoso.¹³
server Cobalt Strike ogni 49 minuti.²

Diversi gruppi di minacce ricicleranno e condivideranno l'infrastruttura, ovvero IP, domini e certificati e useranno gli strumenti commodity open source come software dannoso, kit di phishing e componenti C2 per evitare una facile attribuzione, limitandoli e migliorandoli in base alle proprie esigenze esclusive.

Oltre 560.000 nuovi pezzi di software dannoso vengono rilevati ogni giorno, e il numero di kit di phishing pubblicizzato nei marketplace criminali è raddoppiato tra il 2018 e il 2019. Nel 2020, il numero di varianti di software dannoso rilevate è salito del 74%.¹⁴ RiskIQ ora rileva un server Cobalt Strike C2 ogni 49 minuti.

Tradizionalmente, la strategia di sicurezza della maggior parte delle organizzazioni è stata un approccio di difesa approfondita a partire dal perimetro tornando indietro fino alle risorse da proteggere. Tuttavia, esistono punti di distacco tra il tipo di strategia e la superficie di attacco, come presentato in questo report. Nel mondo di coinvolgimento digitale di oggi, gli utenti sono esterni al perimetro, come anche un numero sempre crescente di risorse digitali aziendali esposte e molti degli attori dannosi. Applicare iprincipi  Zero Trust tra le risorse aziendali può aiutare a proteggere il personale di oggi proteggendo persone, dispositivi, applicazioni e dati indipendentemente dalla loro posizione o dall'entità delle minacce affrontate. Microsoft Security offre una serie di strumenti di valutazione mirati per aiutarti avalutare la fase di maturità Zero Trust della tua organizzazione.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Superficie di attacco Resilienza informatica Vulnerabilità

Anatomia di una superficie di attacco esterna

Cinque elementi che le organizzazioni dovrebbero monitorare

La superficie di attacco globale cresce con Internet

La superficie di attacco globale cresce ogni minuto

L'aumento di vulnerabilità con un personale remoto

Un nuovo panorama di vulnerabilità

Le catene di approvvigionamento digitali, fusioni e acquisizioni e lo shadow IT creano una superficie di attacco nascosta

Dipendenze a rischio

Shadow IT

Fusioni e acquisizioni

Catene di approvvigionamento

Gli App Store sono una superficie di attacco crescente

La superficie di attacco globale è anche una parte della superficie di attacco di un'organizzazione

La superficie di attacco globale è una parte della superficie di attacco di un'organizzazione

Articoli correlati

Cyberthreat Minute

Durante un attacco informatico, ogni secondo è importante. Per illustrare la portata e l'ambito del crimine informatico mondiale, abbiamo condensato un anno di ricerche sul crimine informatico in 60 secondi.

Ransomware-as-a-service

Il nuovo modello di business del crimine informatico, ovvero gli attacchi con intervento umano, incoraggia criminali con diverse competenze.

Sempre più IoT e il rischio per l'OT

La crescente circolazione dell'IoT sta mettendo a rischio l'OT, con una serie di potenziali vulnerabilità e l'esposizione agli attori di minacce. Scopri come garantire la protezione della tua organizzazione.