Il rischio non è solo interno: è ciò che è già esposto all’esterno.
Molte strategie di sicurezza si concentrano su ciò che accade all’interno dell’infrastruttura: endpoint, rete, accessi, identità. Ma una parte crescente del rischio nasce fuori, spesso senza che l’azienda ne sia consapevole.
Asset esposti, credenziali compromesse, servizi pubblicati in modo non controllato: sono tutti elementi che aumentano la superficie d’attacco e che possono essere individuati prima ancora che venga lanciato un attacco vero e proprio. Il problema è che queste informazioni non sono visibili con gli strumenti tradizionali.
Attack Surface Management: ciò che non vedi è ciò che ti espone
Ogni organizzazione ha una superficie d’attacco che evolve nel tempo, nuovi servizi, cambiamenti infrastrutturali, integrazioni con terze parti contribuiscono ad aumentare il numero di punti esposti. La questione è che questa superficie non è sempre sotto controllo, spesso include sistemi dimenticati, configurazioni non aggiornate o esposizioni mai censite.
Ed è proprio qui che gli attaccanti iniziano a lavorare.
Threat Intelligence: sapere prima, reagire meglio
La differenza oggi non è solo nella capacità di difendersi, ma nella capacità di anticipare.
La Cyber Threat Intelligence consente di raccogliere informazioni rilevanti su minacce attive, campagne di attacco in corso e indicatori di compromissione, ma soprattutto di capire quali di queste sono realmente pertinenti per la propria organizzazione. Non si tratta solo di avere più dati, ma di avere il contesto giusto al momento giusto.
Dal monitoraggio alla visibilità continua
Molte aziende continuano ad adottare un approccio reattivo, intervenendo quando qualcosa accade. Ma questo non è più sufficiente. Serve una visione continua di ciò che è esposto e di come evolve nel tempo, solo così è possibile individuare segnali deboli prima che diventino incidenti.
In questo contesto si inserisce CyberSonar, la piattaforma di DefSOC, che unisce Attack Surface Management e Cyber Threat Intelligence per offrire una visione completa e aggiornata dell’esposizione aziendale.
Approfondimento: cosa emerge davvero dal campo
Per comprendere meglio come questi scenari si traducono nella realtà operativa, abbiamo raccolto il punto di vista di Matteo Cecchini, CEO e Co-founder di T-Consulting.
Dal tuo punto di vista, qual è oggi il principale rischio legato alla superficie d’attacco esterna delle aziende?
Il principale rischio è legato ad una mancanza di visione e consapevolezza su cosa è esposto in termini di sistemi, applicazioni non tralasciando aspetti, come la configurazione dei DNS pubblici dell’azienda, che molto spesso non vengono considerati dal punto di vista della cybersecurity.
Quanto è diffusa la mancanza di visibilità sugli asset esposti e sulle informazioni disponibili all’esterno?
Purtroppo è un aspetto che molto spesso riscontriamo nelle aziende e che può avere conseguenze molto serie in virtù del fatto che tutto quello che è esposto lo è 24 ore al giorno e se consideriamo la diffusione ormai massiva di strumenti di analisi dei sistemi esposti (come Shodan) è facile intuire quanto il rischio sia alto per ogni organizzazione.
Che tipo di informazioni è possibile ottenere attraverso attività di Cyber Threat Intelligence e quanto sono utili operativamente?
Le informazioni sono di varia natura: monitoraggio di credenziali ed informazioni aziendali esfiltrate, vendita di accessi remoti attivi verso i sistemi aziendali, raccolta di informazioni legate ad incidenti di sicurezza che coinvolgo fornitori critici fino ad arrivare alla raccolta di Tattiche, Tecniche e Procedure (TTP) utilizzate dagli attaccanti.
In che modo queste informazioni permettono di prevenire incidenti invece che reagire a posteriori?
Tutte queste informazioni aiutano nel mantenere un approccio che sia il più proattivo possibile migliorando di molto la capacità e l’efficacia delle azioni di detection delle minacce.
Che valore aggiunto vedi nell’integrare Attack Surface Management e Threat Intelligence in un’unica piattaforma?
Il valore dell’integrazione si misura con la correlazione delle minacce attive e dei TTP reali degli attaccanti. Il risultato è una prioritizzazione dei rischi: questo approccio consente di focalizzarsi su quelle vulnerabilità che davvero possono fare la differenza tra un attacco non riuscito ed uno andato a segno.
Se un’azienda volesse capire concretamente cosa è esposto oggi e quali minacce la riguardano, qual è il modo più efficace per ottenere questa visione in tempi rapidi?
Sicuramente la modalità ottimale è quella di attivare un meccanismo di monitoraggio proattivo e gestito che consenta di presidiare costantemente la superficie di attacco esterna dell’azienda in modo da non prestare il fianco ad attacchi e accessi non autorizzati integrando il tutto con l’indispensabile attività di Intelligence. Questa combinazione aiuta le aziende ad implementare meccanismi di detection proattiva ed efficace.
Conclusione
Oggi il rischio non è rappresentato solo dagli attacchi in corso, ma da tutto ciò che può essere sfruttato prima ancora che un attacco venga lanciato.
Non avere visibilità sulla propria superficie d’attacco significa lasciare spazio a vulnerabilità invisibili e difficili da individuare con gli strumenti tradizionali. Integrare Attack Surface Management e Cyber Threat Intelligence permette di colmare questo gap, offrendo una visione continua e contestualizzata del rischio ma soprattutto permette di passare da un approccio reattivo a uno preventivo, in cui le minacce vengono individuate e gestite prima che si concretizzino.
La differenza oggi sta proprio nella capacità di vedere — e capire — ciò che accade fuori dal perimetro tradizionale.
Se un attaccante analizzasse oggi la tua organizzazione dall'esterno, cosa troverebbe?
Scopri come monitorare la superficie d'attacco e identificare tempestivamente esposizioni, vulnerabilità e minacce rilevanti per il tuo contesto.
Contattaci per un confronto sul livello di esposizione della tua organizzazione e sulle possibili aree di miglioramento.