aggiornamenti
Gli autori degli attacchi spesso cercano account di test inutilizzati e obsoleti o si imbattono in un contenitore cloud accessibile pubblicamente contenente dati critici polverosi. Talvolta un attacco sfrutta una vulnerabilità in un componente dell’app a cui è stata effettivamente applicata una patch, ad esempio due anni fa. Durante la lettura di queste segnalazioni di violazione, emerge un tema comune: gli attacchi hanno sfruttato elementi obsoleti: un servizio, un server, un account utente… Pezzi dell’infrastruttura IT aziendale che a volte non riescono a sfuggire al radar dei team IT e di sicurezza. Diventano, in sostanza, non gestiti, inutili e semplicemente dimenticati. Questi zombi IT creano rischi per la sicurezza delle informazioni e la conformità alle normative e comportano costi operativi inutili. Questo è in genere un elemento dello shadow IT, con una differenza fondamentale: nessuno desidera, è a conoscenza o trae vantaggio da queste risorse.
In questo post si tenta di identificare quali risorse richiedono un’attenzione immediata, come identificarle e come dovrebbe essere una reazione.
Server fisici e virtuali
Priorità: alta. I server vulnerabili sono punti di ingresso per gli attacchi informatici e continuano a consumare risorse creando rischi per la conformità alle normative.
Prevalenza: alta. I server fisici e virtuali rimangono comunemente orfani nelle grandi infrastrutture a seguito di progetti di migrazione o fusioni e acquisizioni. Spesso vengono dimenticati anche i server di test non più utilizzati dopo l’attivazione dei progetti IT, nonché i server Web per progetti obsoleti in esecuzione senza un dominio. L’entità del problema è illustrata dalle statistiche di Lets Encrypt: nel 2024 metà delle richieste di rinnovo del dominio proveniva da dispositivi non più associati al dominio richiesto. E ci sono circa un milione di questi dispositivi nel mondo.
Rilevamento: il reparto IT deve implementare un processo di individuazione e riconciliazione automatizzata (AD&R) che combini i risultati della scansione della rete e dell’inventario cloud con i dati del database di Configuration Management (CMDB). Consente l’identificazione tempestiva di informazioni obsolete o in conflitto relative alle risorse IT e aiuta a localizzare le stesse risorse dimenticate.
Questi dati devono essere integrati da scansioni delle vulnerabilità esterne che coprano tutti gli IP pubblici dell’organizzazione.
Risposta: stabilire un processo formale e documentato per la rimozione di autorizzazioni/ritiro dei server. Questo processo deve includere la verifica della completa migrazione dei dati e la successiva distruzione verificata dei dati nel server. Attenendosi alla seguente procedura, il server può essere spento, riciclato o riproposto. Fino al completamento di tutte le procedure, il server deve essere spostato in una sottorete isolata in quarantena.
Per attenuare questo problema per gli ambienti di test, è opportuno implementare un processo automatizzato per la creazione e la rimozione delle autorizzazioni. Un ambiente di test deve essere creato all’inizio di un progetto e smantellato dopo un determinato periodo o dopo un determinato periodo di inattività. Rafforzare la sicurezza degli ambienti di test imponendo il loro rigoroso isolamento dall’ambiente primario (di produzione) e vietando l’utilizzo di dati aziendali reali e non resi anonimi durante i test.
Account utente, servizio e dispositivo dimenticati
Priorità: critica. Gli account inattivi e con privilegi sono i bersagli principali per gli autori degli attacchi che cercano di stabilire la persistenza della rete o di espandere l’accesso all’infrastruttura.
Prevalenza: molto alta. Gli account del servizio tecnico, gli account appaltatore e gli account non personalizzati sono tra i più comunemente dimenticati.
Rilevamento: conduce un’analisi periodica della directory utenti (Active Directory nella maggior parte delle organizzazioni) per identificare tutti i tipi di account che non hanno visto attività in un periodo definito (un mese, un trimestre o un anno). Contemporaneamente, è consigliabile rivedere le autorizzazioni assegnate a ogni account e rimuovere quelle che sono eccessive o non necessarie.
Risposta: dopo aver verificato con il proprietario del servizio pertinente da parte dell’azienda o con il supervisore dipendente, gli account obsoleti devono essere semplicemente disattivati o eliminati. Un sistema di Identity and Access Manager (IAM) completo offre una soluzione scalabile a questo problema. In questo sistema, la creazione, l’eliminazione e l’assegnazione delle autorizzazioni per gli account sono strettamente integrate con i processi delle risorse umane.
Per gli account di servizio, è inoltre essenziale esaminare periodicamente sia la complessità delle password che le date di scadenza dei token di accesso, ruotandoli secondo necessità.
Archivi dati dimenticati
Priorità: critica. I dati scarsamente controllati in database accessibili dall’esterno, archiviazione nel cloud e cestini e servizi aziendali di condivisione file, anche “sicuri”, sono stati una delle fonti principali di gravi violazioni nel 2024-2025. I dati esposti in queste fughe di notizie spesso includono scansioni di documenti, cartelle cliniche e informazioni personali. Di conseguenza, questi incidenti di sicurezza comportano anche sanzioni per la non conformità con normative come HIPAA, GDPR e altri quadri di protezione dei dati che disciplinano il trattamento dei dati personali e riservati.
Prevalenza: alta. Dati di archivio, copie dei dati detenute dai fornitori, versioni precedenti dei database derivanti da precedenti migrazioni dei sistemi: tutti questi elementi spesso rimangono non contabilizzati e accessibili per anni (anche decenni) in molte organizzazioni.
Rilevamento: data la grande varietà di tipi di dati e metodi di archiviazione, è essenziale una combinazione di strumenti per l’individuazione:
- Sottosistemi di controlli nativi all’interno delle principali piattaforme dei fornitori, come AWS Macie e Microsoft Purview
- Soluzioni Specialized Data Discovery e Data Security Posture Management
- Analisi automatizzata dei registri di inventario, ad esempio S3 Inventory
Purtroppo, questi strumenti sono di utilità limitata se un appaltatore crea un archivio dati all’interno della propria infrastruttura. Il controllo di tale situazione richiede clausole contrattuali che concedono al team per la sicurezza dell’organizzazione l’accesso all’archivio dell’appaltatore pertinente, integrate da servizi di threat intelligence in grado di rilevare eventuali set di dati esposti pubblicamente o rubati associati al marchio dell’azienda.
Risposta: analizzare i registri di accesso e integrare lo spazio di archiviazione individuato negli strumenti DLP e CASB per monitorarne l’utilizzo o per confermare che è stato veramente abbandonato. Utilizzare gli strumenti disponibili per isolare in modo sicuro l’accesso all’archivio. Se necessario, creare un backup sicuro, quindi eliminare i dati. A livello di criteri organizzativi, è fondamentale stabilire periodi di conservazione per i diversi tipi di dati, imponendone l’archiviazione e l’eliminazione automatiche alla scadenza. I criteri devono inoltre definire le procedure per la registrazione dei nuovi sistemi di archiviazione e vietare esplicitamente l’esistenza di dati senza proprietario accessibili senza restrizioni, password o criptaggio.
Applicazioni e servizi inutilizzati nei server
Priorità: media. Le vulnerabilità in questi servizi aumentano il rischio di attacchi informatici andati a buon fine, complicano le attività di applicazione delle patch e sprecano risorse.
Prevalenza: molto alta. i servizi sono spesso abilitati per impostazione predefinita durante l’installazione del server, rimangono dopo i lavori di test e configurazione e continuano a essere eseguiti molto tempo dopo che il processo aziendale supportato è diventato obsoleto.
Rilevamento: tramite controlli periodici delle configurazioni software. Per un controllo efficace, i server devono aderire a un modello di accesso in base ai ruoli, con ogni ruolo del server con un elenco corrispondente del software richiesto. Oltre a CMDB, un’ampia gamma di strumenti è di aiuto in questo audit: strumenti come OpenSCAP e Lynis, incentrati sulla conformità ai criteri e sul potenziamento del sistema; strumenti multiuso come OSQuery; scanner di vulnerabilità come OpenVAS; e analizzatori del traffico di rete.
Risposta: condurre una revisione pianificata delle funzioni del server con i relativi titolari. Eventuali applicazioni o servizi non necessari in esecuzione devono essere disabilitati. Per ridurre al minimo tali occorrenze, implementare il principio dei privilegi minimi a livello di organizzazione e distribuire immagini di base rinforzate o modelli di server per le build standard di server. Questo garantisce che nessun software superfluo venga installato o abilitato per impostazione predefinita.
API obsolete
Priorità: alta. Le API vengono spesso sfruttate dagli autori degli attacchi per esfiltrare grandi volumi di dati sensibili e per ottenere l’accesso iniziale all’interno dell’organizzazione. Nel 2024 il numero di attacchi relativi alle API è aumentato del 41% e gli autori degli attacchi hanno preso di mira specificamente le API obsolete, poiché spesso forniscono dati con meno controlli e restrizioni. Ciò è stato esemplificato dalla fuga di 200 milioni di record da X/Twitter.
Prevalenza: alta. Quando un servizio passa a una nuova versione dell’API, la vecchia spesso rimane operativa per un periodo prolungato, in particolare se è ancora utilizzata da clienti o partner. Queste versioni obsolete in genere non vengono più gestite, pertanto non vengono eseguite patch per le falle di sicurezza e le vulnerabilità nei relativi componenti.
Rilevamento: a livello di WAF o NGFW, è essenziale monitorare il traffico verso API specifiche. Questo aiuta a rilevare anomalie che possono indicare sfruttamento o esfiltrazione di dati, nonché a identificare le API che ottengono un traffico minimo.
Risposta: per le API a bassa attività identificate, collaborare con le parti interessate aziendali per sviluppare un piano di disattivazione ed eseguire la migrazione degli utenti rimanenti alle versioni più recenti.
Per le organizzazioni con un ampio pool di servizi, questa sfida può essere affrontata al meglio con una piattaforma di gestione delle API insieme a criteri del ciclo di vita delle API approvati formalmente. Questo criterio deve includere criteri ben definiti per la obsolescenza e il ritiro delle interfacce software obsolete.
Software con dipendenze e librerie obsolete
Priorità: alta. È qui che si nascondono vulnerabilità critiche su larga scala come Log4Shell, che portano a compromissioni dell’organizzazione e problemi di conformità alle normative.
Prevalenza: molto alta, soprattutto nei sistemi di gestione aziendale su larga scala, nei sistemi di automazione industriale e nel software personalizzato.
Rilevamento: utilizzare una combinazione di sistemi di gestione delle vulnerabilità (VM/CTEM) e strumenti di analisi della composizione software (SCA). Per lo sviluppo interno è obbligatorio utilizzare scanner e sistemi di protezione completi integrati nella pipeline CI/CD per impedire la creazione del software con componenti obsoleti.
Risposta: i criteri aziendali devono richiedere ai team di sviluppo e IT di aggiornare sistematicamente le dipendenze software. Durante la creazione del software interno, l’analisi delle dipendenze dovrebbe far parte del processo di revisione del codice. Per il software di terze parti, è fondamentale controllare periodicamente lo stato e l’età delle dipendenze.
Per i fornitori di software esterni, l’aggiornamento delle dipendenze dovrebbe essere un requisito contrattuale che incide sulla sequenza temporale del supporto e sui budget di progetto. Per rendere fattibili questi requisiti, è essenziale mantenere una distinta base del software aggiornata.
Ulteriori informazioni sulla correzione tempestiva ed efficace della vulnerabilità sono disponibili in un post di blog separato.
Siti Web dimenticati
Priorità: media. Le risorse Web dimenticate possono essere sfruttate dagli autori degli attacchi per attività di phishing, hosting di malware o truffe con il marchio dell’organizzazione, danneggiandone la reputazione. Nei casi più gravi possono causare violazioni dei dati o fungere da trampolino di lancio per attacchi contro una determinata azienda. Un sottoinsieme specifico di questo problema riguarda i domini dimenticati usati per attività una tantum, scaduti e non rinnovati, rendendoli disponibili per l’acquisto da parte di chiunque.
Prevalenza: elevata, in particolare per i siti lanciati per campagne a breve termine o attività interne una tantum.
Rilevamento: il reparto IT deve mantenere un registro centrale di tutti i siti Web e domini pubblici e verificare lo stato di ciascuno con i relativi proprietari su base mensile o trimestrale. È inoltre possibile utilizzare scanner o monitoraggio DNS per tenere traccia dei domini associati all’infrastruttura IT dell’azienda. Un altro livello di protezione è fornito da servizi di threat intelligence, in grado di rilevare in modo indipendente eventuali siti Web associati al marchio dell’organizzazione.
Risposta: stabilire un criterio per l’arresto pianificato del sito Web dopo un periodo di tempo determinato dopo la fine del relativo utilizzo attivo. Implementare un sistema automatizzato di registrazione e rinnovo DNS per prevenire la perdita di controllo sui domini aziendali.
Dispositivi di rete inutilizzati
Priorità: alta. Router, firewall, telecamere di sorveglianza e dispositivi di archiviazione di rete connessi ma non gestiti e privi di patch rappresentano la piattaforma di lancio perfetta per gli attacchi. Questi dispositivi dimenticati spesso nascondono vulnerabilità e non hanno quasi mai un monitoraggio adeguato (nessuna integrazione EDR o Integrazione SIEM), tuttavia occupano una posizione privilegiata nella rete, offrendo agli hacker un facile gateway per intensificare gli attacchi a server e workstation.
Prevalenza: media. I dispositivi rimangono indietro durante i traslochi dell’ufficio, gli aggiornamenti dell’infrastruttura di rete o le configurazioni temporanee dell’area di lavoro.
Rilevamento: utilizzare gli stessi strumenti di inventario di rete menzionati nella sezione server dimenticati, nonché controlli fisici periodici per confrontare le scansioni della rete con ciò che è effettivamente collegato. La scansione della rete attiva può scoprire interi segmenti di rete non tracciati e connessioni esterne impreviste.
Risposta: in genere i dispositivi senza proprietario possono essere messi offline immediatamente. Ma attenzione: la pulizia richiede la stessa attenzione richiesta per lo scrubbing dei server, per prevenire fughe di impostazioni di rete, password, filmati dell’ufficio e così via.
