di Matteo Castelnuovo | 25/09/2023
Unit 42, il threat intelligence team di Palo Alto Networks, presenta il nuovo report Attack Surface Threat 2023 che contiene alcune recenti analisi dei rischi di sicurezza relativi alla gestione della superficie di attacco. Lo studio confronta la natura dinamica degli ambienti cloud con la velocità con cui gli attori delle minacce sfruttano le nuove vulnerabilità.
Dall'analisi è emerso che ciò avviene entro poche ore dalla loro divulgazione, e le aziende sono in difficoltà a gestire le superfici di attacco con la rapidità e scalabilità necessarie per combattere l’automazione degli attaccanti. Un alert, questo, che, in vista della prossima edizione della Cyber Security Arena, prevista dal 15 al 17 novembre 2023 all'interno della fiera SICUREZZA, che si terrà in quei giorni negli spazi di Fiera Milano a Rho, abbiamo voluto comprendere meglio attraverso le parole di Matt Kraning, CTO Cortex di Palo Alto Networks, che, commentando la ricerca, ha spiegato perchè oggi le aziende sono o potrebbero essere così fragili di fronte alla crescente aggressività dei cyber criminali.
"La maggior parte delle imprese ha un problema di gestione della superficie di attacco - ha spiegato il manager -, ma non ne è consapevole per la mancanza di visibilità completa degli asset IT e dei rispettivi proprietari". Secondo l'esperto, infatti, uno dei maggiori responsabili di questi rischi sconosciuti sono le esposizioni ai servizi di accesso remoto che, nello studio, rappresentano quasi un problema su cinque. "I difensori - prosegue Kraning - devono essere costantemente vigili perché ogni modifica di configurazione, nuova istanza cloud o vulnerabilità divulgata dà inizio a una nuova corsa contro gli attaccanti".
"Oggi i cyber criminali - ha aggiunto il manager - hanno la possibilità di scansionare l’intero ambiente degli indirizzi IPv4 per trovare bersagli vulnerabili in pochi minuti. Delle 30 vulnerabilità ed esposizioni comuni (CVE) analizzate, tre sono state sfruttate entro poche ore dalla divulgazione pubblica e il 63% entro 12 settimane. Mentre, delle 15 vulnerabilità di esecuzione di codice remoto analizzate, il 20% è stato preso di mira da gang di ransomware entro poche ore dalla divulgazione e il 40% è stato sfruttato entro otto settimane dalla pubblicazione". In questo contesto il cloud è da considerarsi, secondo i dati del report, come la superficie di attacco principale. "L’80% delle esposizioni di sicurezza - sottolinea l'esperto - si trova negli ambienti cloud, rispetto al 19% in quelli on-premise. L’infrastruttura IT basata su cloud, infatti, è in continuo mutamento, con una frequenza mensile di oltre il 20% in ogni settore e quasi il 50% delle esposizioni mensili ad alto rischio in ambienti cloud è dovuto al costante cambiamento dei nuovi servizi ospitati nel cloud che vengono messi online e/o sostituiscono quelli precedenti". Sempre secondo l'analisi, inoltre, oltre il 75% delle esposizioni dell’infrastruttura di sviluppo software accessibili pubblicamente sono state rilevate nel cloud, rendendole bersagli interessanti per gli attaccanti".
In un'era post-covid nella quale lo smart working rimane ormai un'esigenza imprescindibile per i lavoratori, anche dai dati della survey risulta chiaro come le esposizioni di accesso remoto siano ancora molto diffuse tra le aziende, nonostante ormai il lavoro ibrido sia diventato la normalità per le nuove generazioni di professionisti. "Il Remote Desktop Protocol (RDP) di oltre l’85% delle aziende analizzate era accessibile via Internet per almeno una settimana al mese - ha evidenziato Kraning -, lasciando quindi queste realtà esposte ad attacchi ransomware o tentativi di accesso non autorizzati". Otto dei nove settori presi in considerazione da Unit 42, inoltre, avevano un RDP accessibile via Internet e vulnerabile agli attacchi brute-force per almeno una settimana al mese. "Le aziende di servizi finanziari e gli enti statali o locali - ha spiegato il manager - hanno avuto esposizioni all’RDP per l’intero mese". Un problema, questo, che probabilmente deriva dal fatto che le istituzioni finanziarie espongono più frequentemente servizi di condivisione di file (38%), seguite dai settori IT, sicurezza, infrastrutture di rete (28%) e servizi di accesso remoto (16%).
Non solo il mondo finanziario, però, è esposto a forti criticità di sicurezza. "In ambito sanitario, per esempio, un’infrastruttura di sviluppo mal configurata o vulnerabile - ha dichiarato l'esperto -, che è stata la principale esposizione (56%), può portare a violazioni di dati, accessi non autorizzati o addirittura a guasti di sistema. In questo contesto, servizi di accesso remoto sicuro sono essenziali nel settore sanitario e l’accesso remoto non sicuro è stato il terzo esposto, con il 7%". Se poi prendiamo in esame il mondo del manifatturiero, scopriamo che in questo caso l'infrastruttura risulta essere ancora il principale territorio di rischio per la cybersecurity. "L'infrastruttura IT, di sicurezza e di rete - ha commentato il manager -, infatti, si è rivelata la principale esposizione nelle aziende manifatturiere tradizionali, pari al 48%. Oltre l’8% delle esposizioni è legata a IoT e sistemi embedded, che comprendono sistemi informatici e di rete industriali. Questa combinazione di esposizioni può portare a significative interruzioni operative in caso di cyberattacco di successo". Un dato, questo, molto simile a quello rilevato in ambito oil&gas, dove i digital twin stanno diventando ormai un installazione imprescindibile, offrendo numerose opportunità di automazione, manutenzione predittiva e controllo e monitoraggio delle operazioni da remoto. "I pannelli di controllo dell’infrastruttura IT accessibili via Internet - ha aggiunto Kraning - rappresentano quasi una esposizione su due nel settore utility ed energia. I server RDP rappresentano l’11% del totale e sono la causa principale di esposizione del settore. La forte prevalenza di dispositivi IoT ed embedded - che rappresentano il 13% delle esposizioni - è preoccupante, poiché questi sistemi generalmente non rientrano nella sfera di competenza dei team di sicurezza".
Un aspetto questo che invece rappresenta proprio la linea di demarcazione tra una buona strategia di difesa e un impostazione inefficace di cybersecurity aziendale secondo l'esperto, che infatti incalza: "Per consentire ai team SecOps di ridurre il tempo medio di risposta in modo significativo, è necessario disporre di visibilità accurata su tutte le risorse aziendali e avere la capacità di rilevare automaticamente la loro esposizione. Le soluzioni di gestione della superficie di attacco offrono una conoscenza completa e accurata delle risorse globali su Internet e delle potenziali configurazioni errate per rilevare, valutare e mitigare continuamente i rischi". Un setting di gestione, quindi, senza il quale è estremamente difficile operare in velocità e che risulterà essere sempre di più, in futuro, uno dei fattori chiave per il successo contro i cyber attacchi.
25/11/2024
21/11/2024