Una superficie di attacco è la somma totale delle vulnerabilità che possono essere sfruttate per eseguire un attacco alla sicurezza. Le superfici di attacco possono essere fisiche o digitali. Il termine superficie di attacco viene spesso confuso con il termine vettore di attacco, ma non sono la stessa cosa. La superficie è ciò che viene attaccato; il vettore è il mezzo attraverso il quale un intruso ottiene l'accesso.
Le superfici di attacco sia fisiche che digitali dovrebbero essere di dimensioni limitate per proteggere le superfici da accessi anonimi e pubblici. L'organizzazione può analizzare e ridurre le sue superfici di attacco fisiche e digitali adottando le seguenti misure:
- Identifica le risorse fisiche e digitali.
- Conduci un'analisi della superficie di attacco.
- Rivedi le politiche di gestione delle risorse.
- Elimina la complessità riducendo le regole inutilizzate, ridondanti o eccessivamente permissive.
- Dai la priorità al rafforzamento dei punti di attacco più vulnerabili per primo.
- Cerca continuamente modi per rimpicciolire le superfici di attacco.
Superfici di attacco digitali
In un computer, una superficie di attacco di rete è la totalità di tutte le vulnerabilità nell'hardware e nel software collegati. Per mantenere la rete sicura, gli amministratori di rete devono cercare in modo proattivo modi per ridurre il numero e le dimensioni delle superfici di attacco. Esiste una legge informatica che afferma che più codice è in esecuzione su un sistema, maggiori sono le possibilità che il sistema abbia una vulnerabilità di sicurezza sfruttabile. Ciò significa che uno dei passaggi più importanti che gli amministratori della tecnologia informatica (IT) possono intraprendere per proteggere un sistema è ridurre la quantità di codice in esecuzione, il che aiuta a ridurre la superficie di attacco del software.
Un approccio popolare per limitare le dimensioni delle superfici di attacco è una strategia chiamata microsegmentazione. Con la microsegmentazione, il data center è suddiviso in unità logiche, ognuna delle quali ha le proprie policy di sicurezza univoche. L'idea è di ridurre in modo significativo la superficie disponibile per attività dannose e limitare il traffico laterale indesiderato (est-ovest) una volta che il perimetro è stato attraversato. Le policy sono legate a segmenti logici, quindi qualsiasi migrazione del carico di lavoro sposterà anche le policy di sicurezza.
La microsegmentazione di rete non è una novità, ma la sua adozione è stata stimolata dalle tecnologie di rete definita dal software (SDN) e dal centro dati definito dal software (SDDC). I firewall tradizionali rimangono attivi per mantenere le difese nord-sud, mentre la microsegmentazione limita in modo significativo le comunicazioni indesiderate tra i carichi di lavoro est-ovest all'interno dell'azienda.
Superfici di attacco fisico
Nell'informatica, una superficie di attacco fisico include l'accesso a tutti i dispositivi endpoint, inclusi sistemi desktop, laptop, dispositivi mobili, porte USB e dischi rigidi scartati in modo improprio. Una volta che un utente malintenzionato ha effettuato fisicamente l'accesso a un dispositivo informatico, l'intruso cercherà le superfici di attacco digitali rese vulnerabili da una codifica inadeguata, impostazioni di sicurezza predefinite o software mal gestito che non è stato aggiornato o patchato. La superficie dell'attacco fisico è sfruttabile attraverso minacce interne come dipendenti disonesti, stratagemmi di ingegneria sociale e intrusi che si atteggiano a lavoratori dei servizi, specialmente nelle aziende pubbliche. Le minacce esterne includono il recupero della password da hardware scartato con noncuranza, password su foglietti adesivi e intrusioni fisiche.
La sicurezza fisica ha tre componenti importanti: controllo degli accessi, sorveglianza e test. Gli ostacoli dovrebbero essere posti sulla via dei potenziali aggressori e i siti fisici dovrebbero essere rafforzati contro incidenti, attacchi o disastri ambientali. Tali misure di rafforzamento includono recinzioni, serrature, schede di controllo degli accessi, sistemi di controllo degli accessi biometrici e sistemi di soppressione degli incendi. In secondo luogo, i luoghi fisici dovrebbero essere monitorati utilizzando telecamere di sorveglianza e sistemi di notifica, come sensori di rilevamento delle intrusioni, sensori di calore e rilevatori di fumo. In terzo luogo, le politiche e le procedure di ripristino di emergenza dovrebbero essere testate regolarmente per garantire la sicurezza e ridurre il tempo necessario per il ripristino da disastri naturali o provocati dall'uomo.