Cybersecurity, Gestione IT

Perimetri di attacco: definizione, gestione e best practice

30 Giugno 2022

Ultimamente non si fa che parlare di sicurezza. E quando si parla di sicurezza spesso salta fuori il termine “perimetro di attacco”.

Ma che cos’è esattamente? Come e perché si relaziona con la strategia di sicurezza di chi, come te, deve proteggere le reti delle PMI italiane?

Proviamo a fare un po’ di chiarezza rispondendo ad alcune delle più comuni domande sul tema.

Cos’è un perimetro di attacco?

Nell’ambiente IT, il perimetro di attacco è la somma di tutti i punti/vettori con cui un’utente non autorizzato può ottenere l’accesso a un sistema.

In altre parole, il perimetro di attacco è costituito da tutti quegli endpoint o quelle vulnerabilità che un malintenzionato sfrutta per violare un sistema. Per ridurre il rischio degli accessi non autorizzati, la best practice migliore è quella di mantenere un perimetro limitato.

Qual è la differenza tra un perimetro e un vettore di attacco?

Come già accennato, il perimetro di attacco rappresenta tutti quei punti di contatto con la rete che un cyber-criminale può sfruttare per accedere a componenti software, hardware, reti e cloud.

D’altra parte, il vettore è il metodo effettivo con cui infiltrarsi e violare il sistema. Ecco alcuni tra i più comuni: credenziali compromesse, ransomware, insider dannosi, attacchi man-in-the-middle o crittografia scarsa o mancante.

Ma qual è un esempio di perimetro di attacco?

Ora che sapete cos’è un perimetro di attacco, possiamo osservare alcuni esempi concreti: possono rappresentare software, applicazioni, sistemi operativi, data center, dispositivi mobili e IoT, web server e persino… serrature fisiche!

Tipi di perimetro

I perimetri possono essere digitali o fisici. Entrambi, per proteggersi da accessi pubblici non autorizzati, dovrebbero essere il più limitati possibile.

Cos’è un perimetro digitale?

Come suggerisce il nome, il perimetro digitale rappresenta tutti i punti di contatto digitali che potrebbero fungere come “porta” di accesso ai sistemi e alle reti. Questi includono codici, server, applicazioni, porte, siti web e punti di accesso a sistema non autorizzati. Qualsiasi vulnerabilità derivante da password deboli, interfacce di programmazione esposte o software mal mantenuti, fanno parte di un perimetro digitale.

Tutto ciò che vive al di fuori del firewall ed è accessibile attraverso Internet è parte di un perimetro digitale. I criminali informatici spesso trovano più facile ottenere un accesso ai sistemi sfruttando una debole cybersecurity piuttosto che un perimetro fisico.

I perimetri digitali possono includere tre diversi tipi di risorse:

  • Unknown assets – Spesso definiti come Shadow IT, si trovano al di fuori della competenza del team di sicurezza IT e includono qualsiasi cosa che non sia sotto il controllo di chi segue l’IT di un’azienda: dal software installato dai dipendenti, ai siti di marketing, fino a siti web dimenticati.
  • Asset noti – Includono gli asset gestiti e inventariati come i server aziendali, siti web e le dipendenze che vengono eseguite su di essi.
  • Rogue assets – Qualsiasi infrastruttura dannosa e creata da cyber criminali, come domini typo-squatted, App, finti siti web e malware.

Cos’è un perimetro fisico?

A differenza di un perimetro digitale, un perimetro fisico rappresenta tutti gli endpoint e i dispositivi hardware come desktop, tablet, notebook, stampanti, switch, router, telecamere di sorveglianza, porte USB e telefoni cellulari. In altre parole, un perimetro fisico è una vulnerabilità all’interno di un sistema che è fisicamente accessibile da un malintenzionato.

Un perimetro di attacco fisico può essere accessibile anche quando non è connesso a Internet. Solitamente questo tipo di perimetri vengono presi d’assalto da intrusi che si fingono assistenti, BYOD o dispositivi inaffidabili su reti sicure, stratagemmi di ingegneria sociale o “dipendenti canaglia”.

Gestione di un perimetro

La gestione di un perimetro (ASM) è definito come il processo che consente l’individuazione, la classificazione, l’inventario, il monitoraggio e la definizione delle priorità di tutte le risorse digitali presenti in un’ambiente IT, che può contenere, elaborare e trasmettere dati sensibili. Generalmente, la gestione dei perimetri si estende a tutto ciò che sta al di fuori del firewall, a quegli strumenti che i criminali informatici potrebbero manovrare per lanciare un attacco.

Le cose più importanti da considerare durante l’implementazione della gestione di un perimetro sono:

  • La complessità, l’ampiezza e la portata del perimetro;
  • Gli asset da inventariare;
  • I vettori di attacco e le potenziali esposizioni;
  • I metodi per proteggere la rete da attacchi informatici e violazioni.

Perché è importante gestire un perimetro di attacco?

Data la rapida evoluzione degli attacchi informatici, è sempre più facile per gli hacker lanciare una ricognizione completa e automatizzata. La gestione dei perimetri fisici e digitali è una strategia efficace: attraverso la visibilità continua delle vulnerabilità e con rapide “remediation” si può prevenire un attacco e fermarlo prima che si manifesti.

La gestione aiuta a mitigare il rischio di potenziali minacce derivanti da software open source sconosciuti, software obsoleti e vulnerabili, errori umani, asset gestiti dai fornitori, IoT, asset IT legacy e shadow, violazioni della proprietà intellettuale e molto altro ancora.

La gestione del perimetro di attacco è fondamentale per:

Individuazione di configurazioni errate

Necessaria per rilevare errori di configurazione nel sistema operativo, nelle impostazioni del sito Web o nel firewall. È anche utile per la scoperta di virus, software o hardware obsoleti, password deboli e ransomware che potrebbero essere utilizzati dai cyber criminali come “porte di ingresso”.

Protezione della proprietà intellettuale e dei dati sensibili

La gestione dei perimetri aiuta a proteggere la proprietà intellettuale e i dati sensibili e mitiga i rischi associati agli asset di Shadow IT. Inoltre, rileva e nega qualsiasi attività non autorizzata.

Come gestire il perimetro?

I passaggi o “fasi di gestione di un perimetro sono ciclici o ongoing e possono variare da organizzazione a organizzazione. Tuttavia, i passaggi “standard” che dovrebbero essere presenti nelle organizzazioni sono:

  • Discovery: è il primo step per qualsiasi soluzione di gestione. In questa fase, si ottiene la visibilità completa su tutte le risorse digitali che elaborano o contengono business-critical data.
  • Inventario: o inventario delle risorse IT, comporta l’etichettatura e il dislocazione delle risorse digitali in base alla criticità aziendale, alle proprietà tecniche, alle caratteristiche, al tipo, all’owner e ai requisiti di conformità.
  • Classificazione: la classificazione è il processo di categorizzazione o aggregazione degli asset e delle vulnerabilità in base al loro livello di priorità.
  • Monitoraggio: è una delle fasi più importanti, consente di tenere traccia delle risorse 24/7 per controllare eventuali problemi di conformità, errori di configurazione, debolezze e vulnerabilità di sicurezza.

Riduzione del perimetro

La riduzione del perimetro è un obiettivo fondamentale per qualsiasi professionista IT. Questa riduzione comporta la regolare valutazione delle vulnerabilità, il monitoraggio delle anomalie e la protezione dei punti più deboli.

Perché è così importante?

Mentre la gestione di un perimetro è fondamentale per identificare eventuali rischi attuali e futuri, la riduzione è fondamentale per ridurre al minimo il numero dei punti di ingresso e delle lacune di sicurezza.

Quali sono le best practice?

Ecco alcune delle best practice che ti aiuteranno a ridurre il perimetro in modo efficace.

Zero trust

Implica che a nessun utente dovrebbe essere consentito l’accesso alle risorse aziendali più critiche, almeno fino a quando la loro identità e la sicurezza dei loro dispositivi non siano provate. Questa pratica può ridurre il numero dei punti di accesso, garantendolo solo agli utenti autorizzati.

Minimizzare le complessità

Riduci al minimo la complessità del tuo ambiente IT disabilitando i dispositivi e i software non necessari e riducendo il numero degli endpoint sulla tua rete.

Scansiona regolarmente

Una scansione di rete regolare è un metodo efficace per identificare rapidamente potenziali vulnerabilità e lacune nella sicurezza. È fondamentale avere la visibilità completa del proprio perimetro per prevenire i problemi sulle reti on-Prem e in cloud e assicurarsi che siano accessibili solo da utenti autorizzati.

Gestire l’accesso

Rimuovi tutti gli accessi non autorizzati dalla tua rete, anche quelli di un dipendente che presto deciderà di andarsene.

Rafforza i protocolli di autenticazione

Rafforzare la sicurezza delle tue policy di autenticazione è fondamentale per ridurre il potenziale perimetro di attacco. Oltre a utilizzare un solido livello di autenticazione a protezione dei protocolli di accesso, è necessario utilizzare anche controlli di accesso basati sui ruoli o sui permessi per assicurarsi che i dati siano accessibili solo agli utenti autorizzati.

Segmentare la rete

Un’altra pratica efficace è segmentazione della rete attraverso la costruzione di diversi firewall. In questo modo potrai effettuare i tuoi controlli di sicurezza fino ad arrivare a una singola macchina o a un singolo utente.

Gestire e ridurre le superfici di attacco con Kaseya

Con le soluzioni di Kaseya puoi rafforzare la tua infrastruttura IT riducendo e gestendo il tuo perimetro. Il robusto strumento di gestione degli endpoint di Kaseya VSA, consente di monitorare, gestire e proteggere tutti i dispositivi on e off-network da un unico pannello di controllo. Con questa soluzione puoi ridurre i perimetri e colmare eventuali lacune nella sicurezza del tuo ambiente IT.

Vuoi saperne di più? Guarda il webinar on demand e scopri tutte le sue funzionalità!

Guarda il Webinar On Demand

Fonte: Blog di Kaseya

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti