{"id":30387,"date":"2026-01-13T14:31:35","date_gmt":"2026-01-13T12:31:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30387"},"modified":"2026-01-13T14:31:35","modified_gmt":"2026-01-13T12:31:35","slug":"forsaken-servers-apis-apps-accounts-find-and-protect","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/forsaken-servers-apis-apps-accounts-find-and-protect\/30387\/","title":{"rendered":"Infrastruttura IT dimenticata: anche peggio dello shadow IT"},"content":{"rendered":"

Gli autori degli attacchi spesso cercano account di test inutilizzati e obsoleti<\/a> o si imbattono in un contenitore cloud accessibile pubblicamente contenente dati critici polverosi<\/a>. Talvolta un attacco sfrutta una vulnerabilit\u00e0 in un componente dell\u2019app a cui \u00e8 stata effettivamente applicata una patch, ad esempio due anni fa<\/a>. Durante la lettura di queste segnalazioni di violazione, emerge un tema comune: gli attacchi hanno sfruttato elementi obsoleti: un servizio, un server, un account utente\u2026 Pezzi dell\u2019infrastruttura IT aziendale che a volte non riescono a sfuggire al radar dei team IT e di sicurezza. Diventano, in sostanza, non gestiti, inutili e semplicemente dimenticati. Questi zombi IT creano rischi per la sicurezza delle informazioni e la conformit\u00e0 alle normative e comportano costi operativi inutili. Questo \u00e8 in genere un elemento dello shadow IT, con una differenza fondamentale: nessuno desidera, \u00e8 a conoscenza o trae vantaggio da queste risorse.<\/p>\n

In questo post si tenta di identificare quali risorse richiedono un\u2019attenzione immediata, come identificarle e come dovrebbe essere una reazione.<\/p>\n

Server fisici e virtuali<\/h2>\n

Priorit\u00e0: alta.<\/strong> I server vulnerabili sono punti di ingresso per gli attacchi informatici e continuano a consumare risorse creando rischi per la conformit\u00e0 alle normative.<\/p>\n

Prevalenza:<\/strong> alta<\/strong>. I server fisici e virtuali rimangono comunemente orfani nelle grandi infrastrutture a seguito di progetti di migrazione o fusioni e acquisizioni. Spesso vengono dimenticati anche i server di test non pi\u00f9 utilizzati dopo l\u2019attivazione dei progetti IT, nonch\u00e9 i server Web per progetti obsoleti in esecuzione senza un dominio. L\u2019entit\u00e0 del problema \u00e8 illustrata dalle statistiche di Lets Encrypt<\/a>: nel 2024 met\u00e0 delle richieste di rinnovo del dominio proveniva da dispositivi non pi\u00f9 associati al dominio richiesto. E ci sono circa un milione di questi dispositivi nel mondo.<\/p>\n

Rilevamento: <\/strong>il reparto IT deve implementare un processo di individuazione e riconciliazione automatizzata (AD&R) che combini i risultati della scansione della rete e dell\u2019inventario cloud con i dati del database di Configuration Management (CMDB). Consente l\u2019identificazione tempestiva di informazioni obsolete o in conflitto relative alle risorse IT e aiuta a localizzare le stesse risorse dimenticate.<\/p>\n

Questi dati devono essere integrati da scansioni delle vulnerabilit\u00e0 esterne che coprano tutti gli IP pubblici dell\u2019organizzazione.<\/p>\n

Risposta:<\/strong> stabilire un processo formale e documentato per la rimozione di autorizzazioni\/ritiro dei server. Questo processo deve includere la verifica della completa migrazione dei dati e la successiva distruzione verificata dei dati nel server. Attenendosi alla seguente procedura, il server pu\u00f2 essere spento, riciclato o riproposto. Fino al completamento di tutte le procedure, il server deve essere spostato in una sottorete isolata in quarantena.<\/p>\n

Per attenuare questo problema per gli ambienti di test, \u00e8 opportuno implementare un processo automatizzato per la creazione e la rimozione delle autorizzazioni. Un ambiente di test deve essere creato all\u2019inizio di un progetto e smantellato dopo un determinato periodo o dopo un determinato periodo di inattivit\u00e0. Rafforzare la sicurezza degli ambienti di test imponendo il loro rigoroso isolamento dall\u2019ambiente primario (di produzione) e vietando l\u2019utilizzo di dati aziendali reali e non resi anonimi durante i test.<\/p>\n

Account utente, servizio e dispositivo dimenticati<\/h2>\n

Priorit\u00e0: critica.<\/strong> Gli account inattivi e con privilegi sono i bersagli principali per gli autori degli attacchi che cercano di stabilire la persistenza della rete o di espandere l\u2019accesso all\u2019infrastruttura.<\/p>\n

Prevalenza:<\/strong> molto alta.<\/strong> Gli account del servizio tecnico, gli account appaltatore e gli account non personalizzati sono tra i pi\u00f9 comunemente dimenticati.<\/p>\n

Rilevamento:<\/strong> conduce un\u2019analisi periodica della directory utenti (Active Directory nella maggior parte delle organizzazioni) per identificare tutti i tipi di account che non hanno visto attivit\u00e0 in un periodo definito (un mese, un trimestre o un anno). Contemporaneamente, \u00e8 consigliabile rivedere le autorizzazioni assegnate a ogni account e rimuovere quelle che sono eccessive o non necessarie.<\/p>\n

Risposta:<\/strong> dopo aver verificato con il proprietario del servizio pertinente da parte dell\u2019azienda o con il supervisore dipendente, gli account obsoleti devono essere semplicemente disattivati o eliminati. Un sistema di Identity and Access Manager (IAM)<\/a> completo offre una soluzione scalabile a questo problema. In questo sistema, la creazione, l\u2019eliminazione e l\u2019assegnazione delle autorizzazioni per gli account sono strettamente integrate con i processi delle risorse umane.<\/p>\n

Per gli account di servizio, \u00e8 inoltre essenziale esaminare periodicamente sia la complessit\u00e0 delle password che le date di scadenza dei token di accesso, ruotandoli secondo necessit\u00e0.<\/p>\n

Archivi dati dimenticati<\/h2>\n

Priorit\u00e0: critica.<\/strong> I dati scarsamente controllati in database accessibili dall\u2019esterno, archiviazione nel cloud e cestini<\/a> e servizi aziendali di condivisione file<\/a>, anche \u201csicuri\u201d, sono stati una delle fonti principali di gravi violazioni nel 2024-2025. I dati esposti in queste fughe di notizie spesso includono scansioni di documenti, cartelle cliniche e informazioni personali. Di conseguenza, questi incidenti di sicurezza comportano anche sanzioni per la non conformit\u00e0 con normative come HIPAA, GDPR e altri quadri di protezione dei dati che disciplinano il trattamento dei dati personali e riservati.<\/p>\n

Prevalenza:<\/strong> alta<\/strong>. Dati di archivio, copie dei dati detenute dai fornitori, versioni precedenti dei database derivanti da precedenti migrazioni dei sistemi: tutti questi elementi spesso rimangono non contabilizzati e accessibili per anni (anche decenni) in molte organizzazioni.<\/p>\n

Rilevamento:<\/strong> data la grande variet\u00e0 di tipi di dati e metodi di archiviazione, \u00e8 essenziale una combinazione di strumenti per l\u2019individuazione:<\/p>\n