A cura di Alessio Fasano, Country Manager EMEA di FireMon
L’infrastruttura aziendale è sempre in continuo cambiamento, non rimane mai ferma. Cresce, si adatta, si sovrappone. Spesso, nuovi sistemi vengono aggiunti prima che quelli vecchi siano completamente ritirati. Le integrazioni con terze parti si moltiplicano. La shadow IT si espande di nascosto. Il risultato è tutt’altro che un ambiente digitale snello: si tratta piuttosto di una rete estesa e debolmente connessa di risorse, utenti e punti di accesso.
Questa è la superficie di attacco moderna: non tanto un perimetro definito, quanto una raccolta di esposizioni mutevoli che le organizzazioni faticano persino a vedere chiaramente, figuriamoci a proteggere. Il problema non è la dimensione in sé, ma l’ espansione non gestita e controllata. Ed è in questa espansione che il rischio si accumula, non solo attraverso endpoint o identità, ma anche attraverso la complessità, spesso trascurata, delle policy.
Ogni strumento implementato per aumentare la produttività, ogni endpoint aggiunto per comodità, ogni autorizzazione concessa con troppa fretta — ciascuno diventa parte di una superficie che gli aggressori possono sondare, mappare e sfruttare. Non perché le difese non esistano, ma perché l’ambiente è diventato troppo complesso e difficile da gestire per essere difeso in modo completo ed efficace.
Con l’aumento del numero di policy e l’evoluzione delle strutture di accesso in modo isolato, si espande silenziosamente quella che potremmo definire “policy surface area”, ovvero uno strato invisibile di rischio che poche organizzazioni misurano o gestiscono attivamente.
Come dovrebbero quindi gestire questo rischio i responsabili della sicurezza? Credo che la complessità delle politiche su larga scala sia difficile, ma gestirla non deve necessariamente esserlo.
Mappare non è sufficiente
La maggior parte delle organizzazioni comprende l’importanza della visibilità. Investono in strumenti di rilevamento delle risorse, mantengono inventari e generano report. Si tratta di attività utili, ma solo fino a un certo punto. La visibilità non equivale alla riduzione del rischio. Mappare ciò che è disponibile non riduce il rischio, ma conferma solo l’ampiezza dell’area da gestire.
La superficie di attacco tipica di un’azienda comprende una combinazione di componenti noti e sconosciuti. Applicazioni legacy ancora in esecuzione in background. Account utente inutilizzati con privilegi di alto livello. Software di terze parti collegati tramite API dimenticate. Dispositivi IoT senza un proprietario chiaro. Ogni elemento amplia la superficie di attacco disponibile, spesso senza scatenare preoccupazione immediata.
In molti casi, il rischio è visibile. Ma in contesti caratterizzati da frammentazione e applicazione incoerente delle policy, la visibilità non si traduce necessariamente in azione. Quando la titolarità non è chiara, la responsabilità è distribuita e le policy stesse sono diventate così estese quanto i sistemi che regolano. E così la proliferazione della superficie di attacco resta: l’abbiamo mappata e la monitoriamo, ma per lo più rimane non gestita.
Rischio ai margini
A rendere davvero insidiosa la proliferazione della superficie d’attacco è la sua natura subdola: non sempre si fa notare con vulnerabilità evidenti. Al contrario, crea le condizioni in cui piccole negligenze possono trasformarsi in incidenti gravi.
In un ambiente complesso, anche piccole lacune possono diventare punti di accesso praticabili, soprattutto quando gli aggressori sono alla ricerca proprio di questo tipo di deviazioni.
Secondo un rapporto del 2024, il costo medio per riprendersi da un attacco ransomware, escluso il pagamento del riscatto stesso, supera ormai 1,8 milioni di dollari. Molte di queste violazioni non iniziano con tecniche avanzate, ma con lo sfruttamento di risorse comuni non gestite o politiche eccessivamente permissive.
Anche quando gli strumenti di monitoraggio segnalano potenziali problemi, i team di sicurezza sono spesso sopraffatti dal volume. In ambienti estesi, ogni avviso sembra urgente. Ogni anomalia richiede un’indagine. La definizione delle priorità diventa reattiva e i tempi di risposta ne risentono.
La riduzione come strategia di sicurezza
La riduzione della superficie di attacco non è una funzionalità o un set di strumenti. È un approccio strategico per controllare la complessità e, di conseguenza, ridurre al minimo i rischi. I CISO e i responsabili della sicurezza devono adottare questa mentalità per ripristinare la struttura e la responsabilità in ambienti in cui la complessità spesso oscura l’esposizione e i rischi reali.
Il primo passo è la scoperta continua degli asset. Questo deve andare oltre un audit trimestrale e diventare un’attività costante, integrata nelle operazioni di sicurezza. Le aziende cambiano continuamente, e senza una visibilità in tempo reale su ciò che viene introdotto, la superficie di attacco continuerà ad ampliarsi senza essere notata.
Ma la sola scoperta non è sufficiente. Ciò che conta davvero è ciò che accade dopo.
Gli asset e gli accessi devono essere valutati non solo in base al rischio, ma anche alla loro rilevanza. Se un sistema, una policy o un’integrazione non servono attivamente al business, diventano una vulnerabilità. I software legacy, le applicazioni orfane e gli endpoint obsoleti contribuiscono alla proliferazione, ma lo fanno anche le regole di policy obsolete, i controlli ridondanti e le definizioni di ruolo che non rispecchiano più i comportamenti reali.
In questo contesto, il benchmarking e la visibilità continua diventano elementi chiave — non solo per documentare ciò che esiste, ma per stabilire priorità e intervenire sulle esposizioni. I programmi di sicurezza maturi riconoscono che sapere dove si trova il rischio è solo l’inizio; il miglioramento misurabile dipende dalla capacità di ridurre in modo coerente e verificabile sia la superficie tecnica sia quella determinata dalle policy.
I controlli di accesso devono riflettere la realtà, non solo la policy. Le autorizzazioni basate sui ruoli, revisionate e aggiornate regolarmente, prevengono i movimenti laterali in caso di violazione. Quando i dipendenti lasciano l’azienda o cambiano ruolo, le credenziali devono essere rimosse o riassegnate.
I protocolli di autenticazione devono seguire la stessa logica. L’autenticazione multi-fattore, l’accesso tramite VPN e una gestione sicura delle password rappresentano i requisiti minimi di sicurezza. Tuttavia, la loro applicazione rimane disomogenea, soprattutto nei sistemi legacy e nelle integrazioni con terze parti.
Il rafforzamento dei sistemi deve procedere di pari passo con la riduzione degli asset e delle policy. Ciò include la correzione delle vulnerabilità note, la chiusura delle porte inutilizzate e l’eliminazione delle configurazioni predefinite che spesso rimangono attive dopo il rilascio. Significa anche investire in soluzioni di sicurezza per gli endpoint in grado di scalare insieme all’ambiente.
E al centro di tutto questo c’è il fattore umano. L’ingegneria sociale continua ad avere successo perché sfrutta il comportamento, non il codice. Formazione, consapevolezza e un allineamento culturale sulla segnalazione degli incidenti sono componenti essenziali di qualsiasi strategia di riduzione del rischio che voglia abbracciare l’intero spettro delle minacce aziendali.
Meno controllo, più fiducia
I benefici derivanti dalla riduzione della superficie di attacco vanno ben oltre la semplice diminuzione della probabilità di una violazione. Ridurre la superficie di attacco, sia in termini di sistemi che di policy, può anche accelerare la risposta agli incidenti, semplificare i report e ridurre il carico di conformità. Quando ci sono meno sistemi da monitorare, meno credenziali in circolazione e meno regole o eccezioni non controllate, l’intera postura di sicurezza diventa più gestibile e più resiliente.
La riduzione della superficie di attacco innesca una catena di benefici moltiplicatori. Man mano che le organizzazioni acquisiscono un controllo più rigoroso, riducono la loro esposizione all’incertezza. Con meno incertezza arriva una maggiore responsabilità. Con una responsabilità più chiara arrivano azioni più rapide e decisive. Ogni miglioramento rafforza il successivo, creando un modello di sicurezza più reattivo e disciplinato.
Questo è particolarmente rilevante per le imprese ibride e remote, in cui utenti, dispositivi e servizi sono distribuiti tra sedi e reti diverse. In questi ambienti, i confini tradizionali non valgono più ma la disciplina sì.
Per i CISO, la riduzione della superficie di attacco non significa fare di meno, ma fare ciò che conta, e farlo bene. Più l’ambiente diventa vasto e complesso, più è fondamentale concentrare le risorse limitate sulla riduzione dell’esposizione, non solo sulla sua documentazione.
Ecco perché la vera domanda non è come monitorare tutto, ma come ridurre ciò che richiede attenzione fin dall’inizio — inclusa la superficie delle policy “invisibili”, che aumentano silenziosamente il rischio senza mai generare un allarme.
