Ciò che distingue una buona soluzione ASM

Jun 13, 2023

In questa intervista a Help Net Security, Patrice Auffret, CTO di Onyphe, spiega come la tradizionale visione della sicurezza basata sul perimetro sta diventando obsoleta. Suggerisce che le organizzazioni dovrebbero ridefinire il concetto di superficie di attacco e discute le misure proattive che possono adottare per rafforzare la soluzione di gestione della superficie di attacco (ASM).

Innanzitutto, definiamo ASM. Il termine è stato coniato da Gartner nel 2020. Si tratta di un nuovo strumento nell’arsenale difensivo della sicurezza informatica per le organizzazioni. L’ASM dovrebbe aiutare le organizzazioni ad avere una visione migliore delle risorse esposte su Internet, nonché aiutarle a identificare quelle sconosciute. Da allora sono apparse molte soluzioni nella categoria ASM, ma non sono tutte uguali. Una buona soluzione ASM deve incorporare Attack Surface Discovery (ASD), ovvero la capacità di trovare risorse sconosciute. Siamo attivi in ​​entrambe le categorie ASD e ASM ormai da 6 anni, prima ancora che questi termini esistessero.

Nel 2023, le organizzazioni non possono applicare patch a tutto rapidamente, sempre. L’ASM dovrebbe consentire ai team IT di concentrarsi sulle minacce più importanti: quelle sfruttate dai criminali informatici per penetrare nelle reti e distribuire ransomware. Sappiamo, grazie ai report di intelligence sulle minacce, che la stragrande maggioranza delle intrusioni si verifica a causa di servizi RDP (Remote Desktop Protocol) esposti a Internet, dispositivi VPN e vulnerabilità critiche (CVE). Un rapporto dell’Unità 42 di Palo Alto del 2022 evidenzia che questi tre vettori di accesso iniziale rappresentano il 46% delle intrusioni di rete basate su Internet.

Per lo meno dal punto di vista della gestione della superficie di attacco esterna, le aziende dovrebbero concentrarsi su questi 3 vettori.

La superficie di attacco di un'organizzazione può includere tutta la tecnologia alla base dei processi e dei dati aziendali, comprese le infrastrutture e le applicazioni in outsourcing. Ecco perché l’ASD è così essenziale e costituisce un prerequisito per un’ASM efficace. Inoltre, sosteniamo che, per molte organizzazioni, l’ASM è la parte facile, mentre la sfida consiste nel disporre di un inventario completo delle risorse esposte. È qui che entra in gioco una soluzione ASD.

Un altro vantaggio chiave di ASD è che può alimentare uno scanner di vulnerabilità tradizionale con un elenco di indirizzi IP o nomi di dominio completi (FQDN) come complemento alle soluzioni ASM.

Inoltre, l’approccio obsoleto all’inventario delle risorse basato sulla proprietà intellettuale dovrebbe essere bandito. Oggi è necessario adottare un approccio basato sul dominio per l’inventario delle risorse. Perchè così? Semplicemente perché con un’infrastruttura effimera basata sul cloud, gli indirizzi IP sono soggetti a modifiche, mentre i nomi di dominio dovrebbero rimanere costanti nel tempo, con l’aggiunta costante di nuovi domini. Come possiamo seguire i cambiamenti e i nuovi domini? Una buona soluzione ASD deve raccogliere dati da più fonti, come DNS, registri di trasparenza dei certificati (CTL), scansione basata su IP a livello di Internet e, cosa ancora più importante, scansione basata su URL. Quest'ultimo è fondamentale perché sempre più aziende proteggono i propri siti Web con soluzioni CDN, come Cloudflare. Se esegui solo la scansione degli indirizzi IP di Clouflare, non sarai in grado di ottenere visibilità sui tuoi host web effettivi, il che potrebbe avere problemi di sicurezza nascosti.

Sfruttando tutte queste fonti di informazioni, un'organizzazione può iniziare da un singolo nome di dominio, basarsi su parole chiave e fornitori di servizi noti e quindi ripetere l'operazione per creare un inventario di tutte le risorse esposte. Quindi, devi utilizzare gli strumenti giusti per trovare gli indirizzi IP associati a tutti i tuoi domini e altri pivot, come il campo dell'organizzazione nei certificati TLS o i tracker HTTP, come Google Analytics e Meta Pixel, trovati sui siti Web. Questo elenco di modelli diventa il tuo inventario delle risorse e devi aggiornarlo regolarmente per trovare nuove risorse esposte.

Una buona soluzione ASM dovrebbe essere indipendente dall'IP e allo stesso tempo essere in grado di cercare organizzazioni in base ai blocchi di rete con i relativi intervalli IP o data center.

L'ASM interno è più semplice: dovresti già avere l'elenco dei tuoi indirizzi IP o blocchi di rete. La scansione delle gamme dovrebbe essere eseguita regolarmente, cosa che viene fatta da decenni.