Vulnerabilità critiche: 3 pattern di rischio che mettono a rischio le aziende

Nuove minacce e vulnerabilità: i rischi nascosti nelle valutazioni tecniche di CrowdStrike

Ogni anno, CrowdStrike Professional Services effettua centinaia di Valutazioni Tecniche del Rischio (TRAs) in diversi settori industriali, geografie e ambienti aziendali. Queste revisioni approfondite e pratiche esaminano il comportamento dei controlli di sicurezza in produzione per valutare le minacce che rilevano e bloccano, ma soprattutto quelle che non riescono a fermare. L'esposizione al rischio è in continua evoluzione man mano che le organizzazioni adottano nuove tecnologie e gli avversari accelerano e esplorano nuove tattiche.

Grazie alla visione diretta di così tanti ambienti diversi, il team di CrowdStrike ha identificato schemi ricorrenti che mettono a rischio le imprese: configurazioni errate, lacune di visibilità e eccezioni temporanee che continuano a ripresentarsi. Questi elementi si allineano con le tecniche utilizzate dagli avversari moderni per muoversi rapidamente e bypassare i sistemi di rilevamento. Analizzando questi risultati reali, è emerso che il rischio più elevato spesso risiede negli spazi "silenziosi" – asset non gestiti e percorsi di credenziali trascurati – dove gli avversari operano con velocità meccanica.

Affrontare questi problemi sistemici richiede un approccio che vada oltre l'acquisizione di strumenti tecnologici e si concentri sull'adozione di una disciplina operativa. Le valutazioni di CrowdStrike rivelano che la sicurezza dell'impresa non dipende solo dall'avere la tecnologia giusta, ma dalla capacità di comprendere dove risiede il rischio. Chiudendo le lacune di visibilità nelle aree critiche, le organizzazioni possono passare da una postura reattiva a un approccio proattivo che interrompe il percorso degli avversari.

AI in ombra: il divario di governance che le organizzazioni non possono ignorare

Dipendenti, sviluppatori e piattaforme SaaS stanno implementando strumenti AI molto più velocemente di quanto i team di sicurezza e policy possano rispondere. Da estensioni del browser alimentate da LLM ad agenti AI non approvati in esecuzione in produzione, l'AI si sta diffondendo al di fuori dei canali autorizzati, e spesso i team di sicurezza non ne hanno visibilità. A differenza della tradizionale shadow IT, l'AI in ombra non richiede installazione, si nasconde all'interno di strumenti esistenti e può silenziosamente instradare dati sensibili verso modelli esterni. In una recente valutazione dei servizi CrowdStrike, il cliente non aveva agenti AI approvati ma ne aveva alcuni in produzione. In un altro caso, l'inventario approvato era sbagliato di 400 unità. I rischi sono significativi: esposizione di dati non controllata, permessi di accesso rotti, comportamento autonomo di agenti non monitorati e nessuna chiara responsabilità.

Per mitigare questi rischi, CrowdStrike raccomanda di formare un comitato cross-funzionale sull'AI per allineare le esigenze aziendali con i requisiti di sicurezza. Inoltre, suggerisce di implementare soluzioni specifiche come CrowdStrike Falcon® AI Detection and Response (AIDR) per rilevare l'adozione di AI in ombra e CrowdStrike Falcon® Exposure Management per inventariare LLMs, agenti, estensioni IDE e server MCP. È fondamentale definire chi può costruire e distribuire agenti AI, cosa possono accedere e come il loro comportamento viene registrato e terminato. Infine, è essenziale garantire che il personale comprenda i rischi di esposizione dei dati, conformità e integrazione degli strumenti AI non autorizzati.

Superficie di attacco esterna: un pericolo sottovalutato

La superficie di attacco esterna si riferisce a tutto ciò che un avversario può vedere e accedere da Internet prima di entrare nella rete target. Questo include siti web e applicazioni pubbliche, domini e sottodomini, indirizzi IP e servizi esposti su Internet, gateway VPN, portali di accesso remoto e interfacce di gestione, nonché servizi cloud e SaaS raggiungibili direttamente da Internet. Nelle valutazioni tecniche del rischio, CrowdStrike scopre costantemente che questo "footprint" esterno è più ampio e più esposto di quanto i team di sicurezza realizzino. Shadow IT, progetti dimenticati, integrazioni di terze parti e servizi cloud configurati in modo errato espandono la superficie di attacco in modi che raramente compaiono negli inventari interni.

Tra i problemi comuni rilevati ci sono asset sconosciuti o "orfani" che nessuno possiede ma che sono ancora attivi su Internet, software e configurazioni obsolete su sistemi pubblici, accesso eccessivamente permissivo a portali di amministrazione, API e interfacce di gestione, e controlli inconsistenti tra on-premise e cloud o tra diverse unità aziendali. Ogni singola lacuna rappresenta un'opportunità per un avversario di ottenere l'accesso iniziale con uno sforzo minimo.

Come Falcon Exposure Management scopre il rischio

CrowdStrike Professional Services utilizza Falcon Exposure Management per scoprire e validare questi rischi come parte della Valutazione Tecnica del Rischio. Falcon Exposure Management scopre e mappa continuamente gli asset esposti su Internet – domini, intervalli IP, servizi cloud e altro – e li correlano con vulnerabilità, configurazioni errate e informazioni sulla minaccia. Questo fornisce una visione della superficie di attacco esterna.

Durante una Valutazione Tecnica del Rischio, i consulenti di CrowdStrike:

• Enumerano il "footprint" esterno dell'organizzazione utilizzando Falcon Exposure Management per identificare asset noti e sconosciuti.
• Prioritizzano le esposizioni in base alla sfruttabilità e al comportamento degli avversari, concentrandosi sui percorsi che gli attaccanti reali sono più propensi a utilizzare.
• Validano il rischio con un'analisi pratica, confermando cosa un attaccante potrebbe vedere e fare dall'esterno.
• Forniscono raccomandazioni chiare che delineano quali problemi risolvere per primi e come chiudere le lacune ad alto rischio esposte su Internet.

Il risultato è una visione basata su prove della superficie di attacco esterna e una roadmap prioritizzata per ridurre il rischio di una violazione che inizia da un asset esposto pubblico.

Applicazioni e vulnerabilità: il divario tra rilevamento e correzione

Quando si esaminano applicazioni e vulnerabilità durante una Valutazione Tecnica del Rischio, CrowdStrike trova raramente una mancanza di strumenti. La maggior parte delle organizzazioni ha soluzioni di endpoint detection and response (EDR), scanner di vulnerabilità e piattaforme di gestione delle patch. La sfida più comune che affrontano è il divario tra il rilevare i problemi e correggerli entro una finestra di tempo definita.

Lo schema più comune osservato è la presenza di vulnerabilità critiche su asset "gestiti". Anche su sistemi coperti da sensori endpoint e scanner di vulnerabilità, vengono spesso trovate CVE di gravità critica aperte da settimane o mesi. Queste vulnerabilità si trovano spesso su server critici per l'attività o su sistemi raggiungibili da Internet.

La correzione delle vulnerabilità è spesso trattata come un tentativo di miglioramento piuttosto che come un impegno misurato. Le valutazioni tecniche del rischio scoprono frequentemente organizzazioni prive di accordi di livello di servizio (SLAs) chiari e basati sul rischio per la rimozione, o SLAs che esistono solo sulla carta ma non vengono monitorati e applicati nella pratica.

La raccomandazione di CrowdStrike è semplice: stabilire SLAs espliciti per la rimozione delle vulnerabilità basati su gravità, sfruttabilità e esposizione. Ad esempio, gli asset internet-facing e quelli critici per l'attività devono rispettare le tempistiche più strette. È fondamentale misurare continuamente questi SLAs affinché i team di sicurezza e IT possano vedere dove si accumula il debito di patch.

Durante una Valutazione Tecnica del Rischio, il team di CrowdStrike utilizza Falcon Exposure Management per evidenziare queste CVE ad alto rischio su asset gestiti, mostrare dove si concentrano le violazioni degli SLAs e fornire un piano prioritizzato e basato su prove per chiudere le lacune più critiche.