Le esposizioni che non fanno scattare allarmi
Una parte del rischio non si manifesta con un incidente. Si forma fuori dal perimetro, resta in silenzio e non passa mai dai sistemi che sorvegli.
In un’azienda ben gestita, quando qualcosa attraversa il perimetro, viene visto, analizzato, eventualmente bloccato.
Esiste però una categoria di rischio che si comporta in modo diverso. Non attraversa il perimetro, non genera un evento negli strumenti, non arriva mai al SIEM. Si forma e resta all’esterno, sulla rete pubblica, nei mercati dove circolano i dati, nei registri dei domini. È rischio vero e proprio, e la sua caratteristica distintiva è che non fa rumore.
Perché il monitoraggio interno non la intercetta
I sistemi di rilevamento sono costruiti attorno a ciò che passa dall’infrastruttura. È il loro compito, ed è giusto che sia così. Questo però definisce anche il loro campo visivo. Un evento che accade interamente all’esterno, senza toccare la rete, non ha nulla da far scattare. Ciò che si muove sulla superficie esterna, prima ancora di diventare un tentativo di accesso, resta fuori dal loro angolo di ripresa.
Come si manifesta il rischio silenzioso
Tre casi tra i più ricorrenti aiutano a inquadrare di cosa parliamo.
Credenziali già in circolazione. Account aziendali finiti in un data leak o raccolti da un infostealer, disponibili in liste che passano di mano. Una credenziale valida ferma in un elenco non produce alcun segnale finché qualcuno non la usa. E quando viene usata, somiglia a un accesso legittimo, perché tecnicamente lo è.
Superficie esterna catalogata. Sottodomini, ambienti rimasti online, servizi raggiungibili da internet vengono mappati di continuo dalle scansioni automatiche che percorrono la rete. Finire in quei cataloghi è un’informazione utile per chi cerca un punto d’ingresso, e non lascia alcuna traccia dalla vostra parte.
Domini che imitano il tuo. Un dominio molto simile al tuo, registrato per scrivere ai tuoi clienti o fornitori. L’attività colpisce qualcun altro usando il tuo nome, e la prima notizia arriva quasi sempre da fuori, da un cliente che chiede conferma di una richiesta insolita.
Nessuno di questi tre fa scattare un allarme nella tua rete, per una ragione semplice. Nessuno dei tre entra nella tua rete.
Il tempo lavora dalla loro parte
Il silenzio di queste esposizioni non è temporaneo. Una credenziale trapelata resta valida finché quella password non viene cambiata. Un servizio catalogato resta in elenco. Un dominio clone resta registrato e pronto all’uso. Il tempo non le porta a galla, le lascia sedimentare, e più a lungo restano fuori dai radar più diventano preziose per chi le ha individuate per primo.
Rendere visibile ciò che è silenzioso
Contro un rischio che vive all’esterno serve uno sguardo puntato all’esterno, che affianca e completa il monitoraggio interno. Significa osservare l’azienda dallo stesso lato da cui la osserva un attaccante e riportare dentro ciò che accade fuori.
È esattamente ciò che fa CyberSonar. Analizza di continuo la superficie esterna, individua le credenziali esposte e i domini che imitano il tuo, controlla i certificati, le porte aperte gli asset e le vulnerabilità e traduce quello che trova in un quadro leggibile, con le priorità in evidenza. Porta alla luce la parte di rischio che, per come è fatta, non sarebbe mai arrivata fino a voi.
La prima scansione della superficie esterna è gratuita, ed è il modo più diretto per vedere ciò che oggi resta silenzioso.
Cosa sanno di te là fuori? Richiedi la tua scansione gratuita.
—
Leggi anche: Guarda la tua azienda con gli occhi di un attaccante: la ricognizione in pratica — le cinque domande per mappare la propria superficie esterna.

