Unit 42, il threat intelligence team di Palo Alto Networks, presenta il nuovo report Attack Surface Threat 2023 che contiene alcune recenti analisi dei rischi di sicurezza relativi alla gestione della superficie di attacco. Lo studio confronta la natura dinamica degli ambienti cloud con la velocità con cui gli attori delle minacce sfruttano le nuove vulnerabilità. È emerso che ciò avviene entro poche ore dalla loro divulgazione, e le aziende sono in difficoltà a gestire le superfici di attacco con la rapidità e scalabilità necessarie per combattere l’automazione degli attaccanti.
La maggior parte delle imprese ha un problema di gestione della superficie di attacco ma non ne è consapevole per la mancanza di visibilità completa degli asset IT e dei rispettivi proprietari. Uno dei maggiori responsabili di questi rischi sconosciuti sono le esposizioni ai servizi di accesso remoto che, nel nostro studio, rappresentano quasi un problema su cinque. I difensori devono essere costantemente vigili perché ogni modifica di configurazione, nuova istanza cloud o vulnerabilità divulgata dà inizio a una nuova corsa contro gli attaccanti.
Qui di seguito alcuni dei risultati emersi dal report.
Gli attaccanti si muovono a una velocità incredibile
- Oggi i cyber criminali hanno la possibilità di scansionare l’intero ambiente degli indirizzi IPv4 per trovare bersagli vulnerabili in pochi minuti.
- Delle 30 vulnerabilità ed esposizioni comuni (CVE) analizzate, tre sono state sfruttate entro poche ore dalla divulgazione pubblica e il 63% entro 12 settimane.
- Delle 15 vulnerabilità di esecuzione di codice remoto analizzate, il 20% è stato preso di mira da gang di ransomware entro poche ore dalla divulgazione e il 40% è stato sfruttato entro otto settimane dalla pubblicazione.
Il cloud è la superficie di attacco principale
- L’80% delle esposizioni di sicurezza si trova negli ambienti cloud, rispetto al 19% in quelli on-premise.
- L’infrastruttura IT basata su cloud è in continuo mutamento, con una frequenza mensile di oltre il 20% in ogni settore.
- Quasi il 50% delle esposizioni mensili ad alto rischio in ambienti cloud è dovuto al costante cambiamento dei nuovi servizi ospitati nel cloud che vengono messi online e/o sostituiscono quelli precedenti.
- Oltre il 75% delle esposizioni dell’infrastruttura di sviluppo software accessibili pubblicamente sono state rilevate nel cloud, rendendole bersagli interessanti per gli attaccanti.
Le esposizioni di accesso remoto sono molto diffuse
- Il Remote Desktop Protocol (RDP) di oltre l’85% delle aziende analizzate era accessibile via Internet per almeno una settimana al mese, lasciandole esposte ad attacchi ransomware o tentativi di accesso non autorizzati.
- Otto dei nove settori presi in considerazione da Unit 42 avevano un RDP accessibile via Internet e vulnerabile agli attacchi brute-force per almeno una settimana al mese.
- Le aziende di servizi finanziari e gli enti statali o locali hanno avuto esposizioni all’RDP per l’intero mese.
Servizi finanziari
- Le istituzioni finanziarie espongono più frequentemente servizi di condivisione di file (38%), seguiti da IT, sicurezza, infrastrutture di rete (28%) e servizi di accesso remoto (16%).
Sanità
- Un’infrastruttura di sviluppo mal configurata o vulnerabile, che è stata la principale esposizione (56%), può portare a violazioni di dati, accessi non autorizzati o addirittura a guasti di sistema.
- Servizi di accesso remoto sicuro sono essenziali nel settore sanitario e l’accesso remoto non sicuro è stato il terzo esposto, con il 7%.
Settore manifatturiero
- Infrastruttura IT, di sicurezza e di rete si è rivelata la principale esposizione nelle aziende manifatturiere tradizionali, pari al 48%.
- Oltre l’8% delle esposizioni è legato a IoT e sistemi embedded, che comprendono sistemi informatici e di rete industriali. Questa combinazione di esposizioni può portare a significative interruzioni operative in caso di cyberattacco di successo.
Settore energia, oil, utility
- I pannelli di controllo dell’infrastruttura IT accessibili via Internet rappresentano quasi una esposizione su due nel settore utility ed energia.
- I server RDP rappresentano l’11% del totale e sono la causa principale di esposizione del settore.
- La forte prevalenza di dispositivi IoT ed embedded – che rappresentano il 13% delle esposizioni – è preoccupante, poiché questi sistemi generalmente non rientrano nella sfera di competenza dei team di sicurezza.
Gestire la superficie di attacco
Per consentire ai team SecOps di ridurre il tempo medio di risposta in modo significativo, è necessario disporre di visibilità accurata su tutte le risorse aziendali e avere la capacità di rilevare automaticamente la loro esposizione. Le soluzioni di gestione della superficie di attacco offrono una conoscenza completa e accurata delle risorse globali su Internet e delle potenziali configurazioni errate per rilevare, valutare e mitigare continuamente i rischi.
Metodologia di ricerca
Unit 42 ha analizzato diversi petabyte di dati Internet pubblici raccolti da Cortex Xpanse, la soluzione di gestione della superficie di attacco di Palo Alto Networks, nel 2022 e 2023. Il report delinea statistiche aggregate sull’evoluzione delle superfici di attacco a livello mondiale e approfondisce i rischi più rilevanti per il mercato.
Di Matt Kraning, CTO Cortex di Palo Alto Networks