Cyber risk: Yoroi “inventa" la formula che valuta l'esposizione dell'impresa - CorCom

IL PROGETTO

Cyber risk: Yoroi “inventa” la formula che valuta l’esposizione dell’impresa

L’azienda italiana propone tre misure per calcolare il rischio web aziendale davanti a possibili attacchi informatici: numero di servizi esposti, score delle vulnerabilità e data leakage. Ne fuoriesce un index di esposizione che favorisce anche le analisi preventive della supply chain

02 Lug 2021

Veronica Balocco

Si chiama Yoroi cyber exposure index il dato che potrebbe dare una svolta alle politiche aziendali in tema di cybersicurezza. A svilupparlo è stata Yoroi, azienda italiana di cybersecurity certificata, che ha avuto l’intuizione di dar vita a un indice in grado di valutare il grado di esposizione delle imprese sulla base di tre variabili: il numero di servizi esposti, lo score delle vulnerabilità e l’indice di data leakage.

“Per ogni organizzazione, ente o azienda oggi è cruciale avere informazioni tempestive sulla propria postura di sicurezza, prima che eventuali vulnerabilità vengano sfruttate da attaccanti malevoli – afferma Marco Castaldo, consigliere delegato di Yoroi -. Per valutare correttamente quella postura bisogna analizzare quell’organizzazione dall’interno, certo, ma anche all’esterno, alla ricerca delle sue esposizioni”. Il valore finale dell’indice comparato a quello di società simili per dimensioni, attività e servizi, permetterà inoltre di arrivare a dei veri e propri benchmark di riferimento.

Un’analisi dei vari scenari di attacco

L’indice si basa su eventi già accaduti, come un attacco informatico di successo, sfrutta informazioni raccolte nei forum hacker del deep web e analizza i dati in vendita nei marketplace illegali del dark web. Il risultato è anche la base per dare sostanza al concetto di analisi preventiva della supply chain aziendale, cioè alla necessità di valutare la potenziale “insicurezza” del proprio ecosistema di riferimento, elemento fondamentale di un sistema di sicurezza integrato.
Si tratta, a conti fatti, di un dato che può rivelarsi letteralmente cruciale. “Un’azienda che vedrà un numero ‘alto’ come indice di esposizione – continua Castaldo – potrà decidere se approfondire l’indice di rischio attuale con un’analisi interna. Le esposizioni tracciate dal nostro sistema di analisi ci consentiranno tra l’altro di consigliare a quella organizzazione le azioni più mirate per poter massimizzare il ritorno dall’investimento in strumenti di difesa cyber”.

Ma come funziona concretamente l’Index?

Lo Yoroi cyber exposure index analizza l’esposizione aziendale senza alcuna azione attiva sull’organizzazione indicizzata, su tre diverse dimensioni: il numero di servizi esposti, le vulnerabilità note presenti e il numero di data leak legati al dominio aziendale. Più elevato è il numero di servizi raggiungibili su internet, più varie sono le tecniche che un attaccante può sfruttare per ottenere un accesso non autorizzato. Più vulnerabilità sono sfruttabili da un attaccante, più sarà facile compromettere un host. Infine, più data leaks sono presenti, più facilmente l’attaccante sarà in grado di ottenere informazioni sfruttabili per portare a termine un attacco. Questi tre aspetti cercano di riassumere i vari scenari di attacco da parte di un attaccante esterno.

Un indice fondato su tre variabili

Ma vediamo le tre variabili nel dettaglio.
Numero di servizi esposti: questo valore cerca di dare un’indicazione della superficie di attacco esterna, ed è calcolato dalla somma dei differenti IP, porte e protocolli associati all’azienda e accessibili dall’esterno. Per ridurre questo indice, un’azienda dovrebbe analizzare tutti gli IP e servizi esposti all’esterno e ridurre l’accesso solo a quelli strettamente necessari.

Score delle vulnerabilità: con questo indice si vuole stimare la facilità con cui un attaccante può compromettere il perimetro aziendale, sfruttando vulnerabilità da remoto. Per questo motivo, consideriamo unicamente le vulnerabilità note che sono identificabili e sfruttabili da remoto. Per ridurre questo indice, un’azienda dovrebbe aggiornare i software vulnerabili, dando precedenza a tutti i servizi esposti in rete.

Indice di data leakage: la terza e ultima componente misura quanti leak contenenti account aziendali sono disponibili ad un attaccante. Un leak potrebbe includere solamente informazioni personali, ma anche password protette (hash), o addirittura password in chiaro. L’Index prende in considerazioni questi aspetti stabilendo uno score di partenza che è fatto decadere nel tempo a partire dalla data presunta del leak. Questo indice non si può ridurre attivamente, ma può essere solo visto come un’indicazione di quante informazioni possono essere disponibili ad un attaccante. È possibile ridurre il numero di leak futuri, ad esempio, riducendo il numero di account esterni creati, utilizzare password diverse per ogni servizio e controllare periodicamente le proprie password per verificare se siano compromesse o meno.

“Il focus del Cyber exposure index – dice Marco Ramilli, Ceo di Yoroi – non è quello di giudicare l’organizzazione indicizzata ma di offrire una ‘vista di esposizione’ che un attaccante può utilizzare come step iniziale, è indicativo della probabilità di riuscita dell’attaccante, e si modificherà nel tempo in funzione delle azioni messe in campo per proteggersi. Ma intanto bisogna conoscerlo”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4