Guarda la tua azienda con gli occhi di un attaccante: la ricognizione in pratica

Le 5 domande per analizzare la superficie di attacco della tua azienda — CyberSonar Digimetrica

Guarda la tua azienda con gli occhi di un attaccante: la ricognizione in pratica

Quando pensiamo a un attacco informatico immaginiamo il momento dell’exploit: la vulnerabilità sfruttata, il ransomware che parte, lo schermo bloccato. Ma quel momento è solo la fine di una storia cominciata molto prima, in silenzio, senza che nessun sistema aziendale venisse toccato. È la fase di ricognizione: quella in cui l’attaccante ti studia.

Che cos’è nel dettaglio questa fase — la prima delle sette dello schema Cyber Kill Chain — e come la conduce un attaccante lo abbiamo già raccontato in Come avviene una ricognizione pre-attacco. Prendiamo quella stessa logica e spostiamola dalla parte della difesa. Dalla teoria alla pratica.

Perché la buona notizia è che questa ricognizione della tua superficie di attacco puoi farla anche tu, sulla tua azienda, prima che la faccia qualcun altro. Non servono strumenti offensivi né competenze da penetration tester per iniziare: bastano cinque domande. Sono le stesse che si pone un attaccante nella prima ora. Fattele prima tu.

1. Quanti domini e sottodomini ho davvero online?

Quasi tutte le PMI hanno più presenza online di quanta ne ricordino. Oltre al sito principale ci sono i sottodomini: il portale del gestionale, l’area riservata, il vecchio blog, l’ambiente di un progetto chiuso due anni fa, il webmail. Molti sono stati creati al volo e poi dimenticati.

Parti dal tuo dominio e prova a elencare tutto ciò che ci gira attorno. Ogni sottodominio è un pezzo della tua superficie di attacco, e i più pericolosi sono proprio quelli che non ricordi di avere: nessuno li aggiorna, nessuno li controlla, ma rispondono ancora. Per un attaccante sono il punto di ingresso ideale, perché sa che non li stai guardando.

2. Quali servizi sono esposti su internet?

Un conto è avere un sito web; un altro è avere servizi raggiungibili dall’esterno: VPN, desktop remoto (RDP), pannelli di amministrazione, server di posta, dispositivi di rete con l’interfaccia di gestione aperta.

La domanda da farsi è: cosa risponde, se qualcuno bussa dall’esterno? Attenzione a un punto tecnico importante: essere esposti non significa automaticamente essere vulnerabili. Un servizio aggiornato e ben configurato può stare online in sicurezza. Ma ogni servizio esposto è un candidato che un attaccante andrà a testare — e più cose esponi, più bersagli gli offri e più superfici devi presidiare tu. La regola pratica è: esponi solo ciò che serve davvero, e sappi esattamente cosa hai esposto.

3. I miei certificati sono validi e aggiornati?

I certificati TLS (quelli del lucchetto “https”) raccontano molto più di quanto sembri. Un certificato scaduto è un segnale di trascuratezza che un attaccante nota subito: se non presidi nemmeno quello, probabilmente non presidi altro. Inoltre i certificati elencano spesso i nomi di dominio a cui sono associati, e diventano una mappa involontaria dei tuoi servizi.

Controlla scadenze, algoritmi usati e a quali host sono legati. È un check veloce che dice, in pochi minuti, quanto è curata (o trascurata) la tua igiene digitale.

4. Ci sono ambienti di sviluppo o test pubblici?

È una delle esposizioni più frequenti e più sottovalutate. Durante un progetto si mette online un ambiente di staging, una copia del sito, un’istanza di prova “solo per due giorni”. Poi il progetto finisce, ma l’ambiente resta lì, spesso con dati reali, credenziali di default e zero manutenzione.

Per un attaccante un ambiente di test pubblico è un regalo: stessa applicazione della produzione, ma con le difese abbassate. Vai a cercare i tuoi “solo per due giorni” di qualche anno fa. Probabilmente ce n’è almeno uno ancora acceso.

5. Quali email aziendali sono già in rete?

Gli indirizzi email dei tuoi collaboratori sono ovunque: firme, siti, registri pubblici, LinkedIn. Ma il problema vero non sono gli indirizzi in sé — è quando quelle email, con le relative password, sono finite dentro un data leak o nei log di un infostealer e vengono vendute o scambiate.

Quando succede, l’attaccante non ha nemmeno bisogno di un exploit: gli basta accedere con credenziali valide. È il motivo per cui questo è forse il punto più delicato dei cinque, ed è anche quello che l’auto-check da soli non riesce quasi mai a coprire — perché richiede di guardare dove le credenziali finiscono, cioè fuori dai tuoi sistemi.

Perché farlo da soli si ferma a metà

Rispondere a queste cinque domande è già un enorme passo avanti: significa smettere di sperare che sia tutto a posto e cominciare a misurare. Ma un auto-check manuale ha tre limiti che conviene conoscere.

Il primo è che è una fotografia. La tua superficie esterna cambia in continuazione: un nuovo servizio, un certificato che scade, un fornitore che pubblica qualcosa a tuo nome. Quello che oggi è pulito, tra tre settimane potrebbe non esserlo più. Un controllo una tantum invecchia in fretta.

Il secondo è che una parte del quadro non è visibile “da fuori” con mezzi ordinari. Le credenziali trapelate, i dati sul dark web, i domini clone registrati per colpire i tuoi clienti: richiedono intelligence, cioè andare a guardare in posti che un check manuale non raggiunge.

Il terzo è che trovare non è la stessa cosa di capire. Una lista di esposizioni non è un piano d’azione. Serve leggere il dato, distinguere ciò che è rischio reale da ciò che è rumore, e stabilire cosa affrontare per primo. È qui che la differenza la fa la competenza, non lo strumento.

Il passo successivo

Le cinque domande sono il modo giusto per iniziare. Il modo giusto per non fermarsi a metà è renderle continue e affidarle a occhi esperti.

È esattamente ciò che fa CyberSonar: analizza la tua superficie esterna in modo passivo e non intrusivo, in continuo, e integra l’intelligence che un check manuale non vede — credenziali trapelate, domini clone, servizi dimenticati. E dietro non c’è un tool che sputa un PDF, ma il team tecnico di Digimetrica che legge i risultati e ti dice cosa conta davvero.

La prima scansione della tua superficie esterna è gratuita. È il modo più concreto per vedere la tua azienda con gli occhi di chi ti attacca — prima che lo faccia lui.

Cosa sanno di te là fuori? Richiedi la tua scansione CyberSonar gratuita.


Leggi anche: Come avviene una ricognizione pre-attacco — la stessa fase raccontata dal punto di vista dell’attaccante e il suo posto nella Cyber Kill Chain.

Hai bisogno di una consulenza? Contattaci!