Risorse · Guida · CTI · 5 min di lettura

Perché l'attack surface management: vedere prima dell'attaccante

In breve

Non puoi difendere ciò che non sai di avere. Ogni azienda espone più di quanto creda: sottodomini dimenticati, servizi di test online, VPN e portali legacy, asset di shadow IT, credenziali in repository pubblici. L'attack surface management mappa in continuo questa superficie esposta, con lo stesso sguardo di un attaccante, perché è esattamente da lì che parte la ricognizione prima di un attacco. Ciò che è invisibile a te è già visibile a chi ti studia.

La tesi: l’attaccante vede ciò che tu non vedi

La prima mossa di un threat actor non è l’attacco: è la ricognizione. Prima di colpire, studia. Cerca ciò che esponi senza saperlo, perché è la via più facile: un servizio dimenticato non ha né patch né monitoraggio. L’attack surface management ribalta questo vantaggio. Guarda la tua azienda dall’esterno, con lo stesso sguardo dell’avversario, e ti mostra le porte aperte prima che le trovi qualcun altro.

Il principio è semplice e scomodo: non puoi difendere ciò che non sai di avere. E ciò che è invisibile all’inventario interno è spesso già visibile a chi ti sta studiando.

Cosa resta fuori dalla tua mappa

La superficie esposta cresce da sola, senza che nessuno decida di farla crescere. Ecco gli asset che più spesso diventano il punto di ingresso reale, proprio perché nessuno sa che esistono:

  • Sottodomini e servizi dimenticati. Una vecchia campagna, un ambiente di staging pubblicato e mai rimosso, un microservizio di un progetto chiuso: vivono online senza presidio.
  • Shadow IT. Servizi cloud attivati da un reparto senza passare dall'IT: mai censiti, mai monitorati, fuori da ogni inventario ufficiale.
  • VPN e portali legacy. Accessi remoti e portali datati, spesso senza patch, che restano esposti dopo essere stati sostituiti ma mai dismessi.
  • Credenziali e chiavi esposte. Segreti, token e chiavi API finiti in repository pubblici o in configurazioni online: una porta aperta che non richiede nemmeno un exploit.

Il ciclo dell’attack surface management

L’ASM non è una fotografia: è un ciclo che si ripete in continuo, perché la superficie cambia ogni settimana. Le quattro fasi, dalla scoperta alla riduzione del rischio:

CICLO ASM · CONTINUO SCOPERTA vista esterna asset sconosciuti INVENTARIO perimetro reale classificazione PRIORITIZZAZIONE rischio + esposizione cosa chiudere prima RIDUZIONE superficie chiusa meno punti ciechi la superficie cambia · il ciclo ricomincia
Scoperta, inventario, prioritizzazione, riduzione: un ciclo continuo. La superficie esposta cambia, quindi la mappa va rifatta in continuo, non una volta sola.

Il valore non sta in una singola fase, ma nel loop: la riduzione di oggi diventa la baseline di domani, e ogni nuovo asset esposto rientra nella scoperta successiva. Una mappa statica invecchia in settimane; un ciclo continuo no.

L'ASM scopre, il vulnerability scan verifica. Lo scan cerca falle su asset noti; l'ASM prima trova gli asset, anche quelli fuori inventario. Sono complementari: senza ASM, lo scan lavora su un perimetro incompleto, e i punti ciechi restano aperti.

Il costo del non vederlo

Un ambiente di test pubblicato e dimenticato, un sottodominio di una vecchia campagna, una VPN legacy mai dismessa, una chiave finita in un repository: sono asset che nessuno presidia perché nessuno sa che esistono, e sono spesso il punto di ingresso reale di una violazione. L’inventario interno non li vede; l’attaccante sì. La superficie cresce in fretta proprio dove non guardi: cloud multipli, fusioni, fornitori, crescita rapida.

La maggior parte delle violazioni entra da un asset fuori inventario. Non da un sistema critico ben presidiato, ma dalla porta che nessuno sapeva fosse aperta. È il motivo per cui mappare la superficie dall'esterno conta più di blindare meglio ciò che già conosci.

Cosa fornisce di unico l’ASM

Mappatura continua della superficie internet-facing dal punto di vista dell’avversario: scoperta di asset sconosciuti, esposizioni prioritizzate per rischio reale, monitoraggio del cambiamento nel tempo. Non è un report una tantum: è intelligence applicata alla prevenzione, alimentata dalla stessa ricerca che attribuisce gli attori (come Nebula Broker). Lo stesso sguardo che il team Fortgale usa per mappare l’infrastruttura di un threat actor, rivolto verso di voi, mappa ciò che esponete prima che lo faccia un attaccante.

Quando serve davvero (e quando basta meno)

Diventa essenziale con cloud multipli, crescita rapida, fusioni e acquisizioni, ecosistema di fornitori: tutti fattori che gonfiano la superficie esposta. Se invece gestite pochi asset, tutti censiti e senza cloud sparso, il ritorno è minore e la priorità può stare sull’hardening di base. Onestamente: l’ASM serve a chi è cresciuto più in fretta della propria mappa. Vedi anche cos’è la CTI e il ruolo della CTI nella difesa.


Vedere la propria superficie con gli occhi dell'avversario è il primo atto della difesa. Conoscere l'avversario è il primo atto, fermarlo in tempo è il secondo: l'ASM chiude le porte prima che qualcuno bussi.

Confronto

Inventario interno vs attack surface management

Inventario internoAttack Surface Management
Punto di vistaCiò che sai di avereCiò che vede l'attaccante
Shadow IT / legacySpesso assenteScoperto e mappato
AggiornamentoPeriodico, staticoContinuo
EsitoLista di asset notiEsposizioni reali da chiudere, prioritizzate
Prova field-observed · lo sguardo dell'attaccante

Mappando l'infrastruttura dell'attore Nebula Broker (poi confermato da Mandiant come UNC4990) e gli 800 domini della piattaforma Kali365, il team Fortgale ha sviluppato il metodo per ragionare come l'avversario: lo stesso sguardo che, rivolto verso di voi, mappa la superficie esposta prima che lo faccia un attaccante.

Leggi la ricerca →
FAQ

Domande frequenti.

Cosa scopre tipicamente l'attack surface management?

Sottodomini e servizi dimenticati, ambienti di test esposti, portali e VPN legacy, certificati scaduti, porte aperte, asset di shadow IT mai censiti, credenziali o chiavi finite in repository pubblici. Le porte che nessuno presidia perché nessuno sapeva fossero aperte.

In cosa è diverso da un vulnerability scan?

Il vulnerability scan cerca falle su asset noti; l'ASM prima scopre gli asset, anche quelli che non sapevi di avere. Sono complementari: l'ASM definisce il perimetro reale, lo scan lo verifica.

Perché conta 'lo sguardo dell'attaccante'?

Perché l'attaccante non attacca il vostro organigramma IT, attacca ciò che trova esposto. Mappare la superficie dall'esterno, come fa lui, rivela i punti ciechi che un inventario interno non vede.

L'ASM è uno scan una tantum o un processo continuo?

È un processo continuo. La superficie esposta cambia ogni settimana: un nuovo servizio cloud, un sottodominio pubblicato, una fusione che porta asset altrui. Una mappa fatta a gennaio è già incompleta a marzo. Il valore dell'ASM sta nel monitorare il cambiamento nel tempo, non in una fotografia statica.

Quando è meno prioritario?

Con una superficie minima e ben governata (pochi asset, tutto censito, niente cloud sparso) il ritorno è minore. Ma appena ci sono cloud multipli, fusioni, fornitori e crescita rapida, la superficie esposta cresce in fretta e l'ASM diventa essenziale.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Attack Surface Management.

Risorse correlate: Cos'è la CTI · Il ruolo della CTI nella difesa · Cos'è un MDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.