Vulnerabilità critiche e rischi nascosti: come proteggere la tua azienda dagli attacchi informatici

L'importanza delle valutazioni dei rischi tecnici per la sicurezza aziendale

Ogni anno, CrowdStrike Professional Services esegue centinaia di Valutazioni dei Rischi Tecnici (TRAs) in diversi settori, geografie e ambienti aziendali. Queste revisioni approfondite e pratiche esaminano come i controlli di sicurezza si comportano in produzione, valutando le minacce che rilevano e bloccano, ma soprattutto quelle che lasciano passare. L'esposizione al rischio è in continua evoluzione man mano che le organizzazioni adottano nuove tecnologie e gli avversari accelerano e esplorano nuove tattiche. Grazie alla visione diretta di numerosi ambienti, il team di CrowdStrike può identificare schemi ricorrenti che mettono a rischio le aziende, come configurazioni errate, lacune di visibilità e eccezioni temporanee che mappano le tecniche utilizzate dagli avversari moderni per muoversi rapidamente e bypassare la rilevazione.

Analizzando questi risultati del mondo reale, è emerso che il rischio più elevato spesso risiede negli spazi "silenziosi" - asset non gestiti e percorsi di credenziali trascurati - dove gli avversari operano con velocità meccanica. Affrontare queste problematiche sistemiche richiede un approccio che vada oltre l'acquisizione di strumenti e si concentri sulla disciplina operativa. Le valutazioni rivelano che la sicurezza dell'impresa non riguarda solo l'avere la tecnologia giusta, ma ottenere chiarezza su dove risiede il rischio. Chiudendo le lacune di visibilità nelle aree critiche, le organizzazioni possono passare da una postura reattiva a un approccio proattivo che interrompe il percorso dell'avversario.

Le principali problematiche che alimentano il rischio informatico

Basandosi su un ampio campione di Valutazioni dei Rischi Tecnici di CrowdStrike, questo articolo esamina questi schemi e mette in evidenza le problematiche più comuni che alimentano silenziosamente il rischio informatico. Per le squadre di sicurezza che cercano di ridurre il proprio profilo di rischio, queste sono le aree su cui concentrarsi per rafforzare la postura di sicurezza.

Shadow AI: il divario di governance che le organizzazioni non possono ignorare

Dipendenti, sviluppatori e piattaforme SaaS stanno implementando strumenti AI più velocemente di quanto le squadre di sicurezza e policy possano rispondere. Da estensioni del browser alimentate da LLM a agenti AI non approvati in esecuzione in produzione, l'AI si sta diffondendo al di fuori dei canali autorizzati, e le squadre di sicurezza spesso non ne hanno visibilità. A differenza dello shadow IT tradizionale, lo shadow AI non richiede installazione, si nasconde all'interno degli strumenti esistenti e può silenziosamente instradare dati sensibili verso modelli esterni. In una recente valutazione dei servizi CrowdStrike, il cliente non aveva alcun uso di AI agentico approvato, ma ne aveva in esecuzione in produzione. In un altro caso, l'inventario approvato era sbagliato del 40%. I rischi sono significativi: esposizione dei dati non controllata, permessi di accesso interrotti, comportamento autonomo degli agenti non monitorato e nessuna chiara responsabilità.

L'attacco esterno: un'area di rischio spesso sottovalutata

La superficie di attacco esterna si riferisce a tutto ciò che un avversario può vedere e accedere da Internet prima di entrare nella rete target. Questo include siti web e applicazioni pubbliche, domini e sottodomini, indirizzi IP e servizi esposti su Internet, gateway VPN, portali di accesso remoto e interfacce di gestione, nonché servizi cloud e SaaS raggiungibili direttamente da Internet. Nelle valutazioni dei rischi tecnici, si scopre costantemente che questo "footprint" esterno è più grande e più esposto di quanto le squadre di sicurezza realizzino. Shadow IT, progetti dimenticati, integrazioni di terze parti e servizi cloud configurati in modo errato espandono la superficie di attacco in modi che raramente compaiono negli inventari interni.

Tra le problematiche comuni emerse vi sono asset "orfani" sconosciuti, software e configurazioni obsolete su sistemi pubblici, accesso eccessivamente permissivo a portali di amministrazione, API e interfacce di gestione, e controlli inconsistenti tra on-premise e cloud, o tra diverse unità aziendali. Ogni singola lacuna rappresenta un'opportunità per un avversario di ottenere l'accesso iniziale con uno sforzo minimo.

Applicazioni e vulnerabilità: la sfida della gestione efficace

Quando si esaminano applicazioni e vulnerabilità durante una valutazione del rischio tecnico, raramente si riscontra una mancanza di strumenti. La maggior parte delle organizzazioni dispone di endpoint detection and response (EDR), scanner di vulnerabilità e piattaforme di gestione delle patch. La sfida più comune è il divario tra la scoperta dei problemi e la loro risoluzione entro una finestra di tempo definita. Lo schema più comune è la presenza di vulnerabilità critiche su asset "gestiti". Anche sui sistemi coperti da sensori endpoint e scanner di vulnerabilità, si trovano spesso CVEs di gravità critica aperti da settimane o mesi. Questi sono spesso su server critici per il business e sistemi raggiungibili da Internet.

La gestione delle patch è spesso trattata come un'impresa "a sforzo massimo" piuttosto che un impegno misurato. Le valutazioni dei rischi tecnici trovano spesso organizzazioni prive di accordi sul livello di servizio (SLAs) chiari e basati sul rischio per la remediazione delle vulnerabilità, o SLAs che esistono solo sulla carta ma non vengono tracciati e applicati nella pratica. La raccomandazione è semplice: stabilire SLAs espliciti per la remediazione delle vulnerabilità basati su gravità, sfruttabilità e esposizione. Ad esempio, gli asset raggiungibili da Internet e critici per il business sono soggetti ai tempi più stretti.

Account, identità e igiene delle configurazioni: punti deboli critici

In quasi ogni valutazione del rischio tecnico, emergono problematiche di igiene delle identità che creano percorsi facili e ad alto impatto per gli attaccanti. Alcuni schemi ricorrenti includono account remoti rumorosi su reti domestiche, configurazioni Kerberos che rendono banale il Kerberoasting e la mancanza di monitoraggio e controlli adeguati. Con l'attuale forza lavoro remota e ibrida, molti dipendenti accedono alle risorse aziendali da reti domestiche che non hanno controlli di sicurezza di livello enterprise. In queste valutazioni, si vede spesso un piccolo numero di sistemi associati a lavoratori remoti generare un volume molto elevato di tentativi di accesso.

Questi endpoint diventano calamite per il credential stuffing e le attività di brute-force. Gli attaccanti provano ripetutamente combinazioni di nome utente/password contro servizi raggiungibili da Internet, e nulla sulla rete Wi-Fi domestica ferma questa attività al perimetro. Senza un buon monitoraggio e controlli, questo "rumore di fondo" può nascondere tentativi di compromissione reali e rendere più difficile per i difensori individuare accessi maliziosi in tempo utile.

Kerberos è fondamentale per come molte organizzazioni autenticano utenti e servizi, e ci sono molti modi in cui può essere configurato in modo errato. In molti ambienti, si vedono account di servizio con password deboli, impostazioni di crittografia legacy e privilegi eccessivi. Il Kerberoasting rimane una tecnica preferita: gli attaccanti richiedono ticket di servizio, li portano offline e cercano di decifrarli. Quando le password sono deboli o mai ruotate, questo diventa un modo affidabile per trasformare rapidamente un account di dominio standard in un accesso potente. Configurazioni Kerberos errate e password di account di servizio deboli sono una combinazione che abbassa notevolmente la soglia per un compromesso riuscito.