La maggior parte delle aziende svizzere non conosce fino in fondo la propria superficie di attacco digitale. Subdomain dimenticati, risorse cloud fuori dal controllo IT e Shadow IT creano punti ciechi che gli aggressori sfruttano con metodo. In questo contributo spieghiamo che cosa significa External Attack Surface Management (EASM), perché la superficie di attacco esterna cresce più rapidamente dei budget di sicurezza e quali passi concreti CISO e consigli di amministrazione dovrebbero ora prioritizzare.
📑 Panoramica dei contenuti
Che cos’è l’External Attack Surface Management? · La vostra superficie di attacco digitale ha punti ciechi: Shadow IT, cloud e asset dimenticati · Scenario delle minacce in Svizzera: numeri e casi · Come l’EASM rende visibile la superficie di attacco digitale · Perché la gestione classica delle vulnerabilità non basta più · Raccomandazioni operative per CISO e consigli di amministrazione · Domande frequenti
Che cos’è l’External Attack Surface Management? Definizione e inquadramento della superficie di attacco digitale
External Attack Surface Management (in breve EASM) è un approccio che consente di individuare, classificare e monitorare in modo continuo la superficie di attacco digitale di un’azienda. Ne fanno parte web server, API, istanze cloud, mail gateway, accessi VPN, subdomain, intervalli IP e, sempre più spesso, anche dispositivi IoT. Il punto decisivo è un altro: l’EASM lavora dall’esterno, quindi dalla prospettiva di un potenziale aggressore, e scopre anche asset ignoti all’IT interna.
A differenza del Vulnerability Management classico, che analizza sistemi noti, l’EASM risponde a una domanda più elementare: quale infrastruttura digitale possiede davvero la mia azienda e quale parte è esposta? Poiché le imprese ampliano continuamente l’IT con migrazioni cloud, acquisizioni e team distribuiti, questa domanda diventa centrale.
La superficie di attacco esterna comprende tutto ciò che un aggressore può vedere da Internet
Perché l’EASM è rilevante per ogni azienda svizzera
La Svizzera figura tra le economie più connesse al mondo. Servizi finanziari, pharma e industria, settore pubblico e un tessuto vivace di PMI gestiscono un’infrastruttura digitale sempre più complessa. Nel frattempo, secondo Check Point, nel primo trimestre 2025 la Svizzera ha registrato l’aumento percentuale più elevato al mondo di cyberattacchi: +113% su base annua, con una media di 1’279 attacchi a settimana per organizzazione.
L’equazione è semplice: più la superficie di attacco digitale è grande e poco governata, più varchi restano a disposizione degli aggressori. Di conseguenza, l’EASM rende questi varchi visibili prima che vengano sfruttati.
La vostra superficie di attacco digitale ha punti ciechi: Shadow IT, cloud e asset dimenticati
La sfida principale, quando si tratta di mappare la superficie di attacco digitale, non è proteggere i sistemi noti. È scoprire quelli ignoti. In quasi ogni azienda esistono asset digitali al di fuori del controllo IT formale. Le cause variano, tuttavia le conseguenze convergono: ogni asset sconosciuto è un potenziale punto di ingresso e aumenta il vostro rischio cyber.
Shadow IT: quando le funzioni creano infrastruttura propria
Team marketing che pubblicano landing page presso fornitori cloud. Sviluppatori che creano ambienti di test in AWS o Azure e, a progetto concluso, non li disattivano. Reparti che usano servizi SaaS senza approvazione IT. Tutto ciò alimenta una Shadow IT in crescita, che non compare nel registro centrale degli asset. Gli studi indicano che, in media, le aziende possiedono dal 30 al 40% di asset raggiungibili dall’esterno in più rispetto a quanto documentato dall’IT. Questi sistemi “dimenticati” non vengono patchati né monitorati e risultano quindi particolarmente vulnerabili. In altre parole, la superficie di attacco digitale si amplia senza che nessuno se ne accorga.
Crescita disordinata del cloud: le configurazioni errate come problema strutturale
Gli ambienti cloud su AWS, Microsoft Azure e Google Cloud Platform crescono in modo organico. I nuovi servizi vengono provisionati rapidamente, tuttavia le configurazioni di sicurezza non sempre seguono con la stessa disciplina. Storage bucket pubblici, database esposti e console di amministrazione non protette non sono eccezioni. Secondo i principali fornitori di cloud security, fino all’80% degli incidenti in ambiente cloud deriva da configurazioni errate, non da tecniche sofisticate. Di conseguenza, all’aggressore spesso basta cercare porte aperte in modo sistematico. Così, la superficie di attacco digitale diventa un obiettivo facile.
Sistemi dimenticati e orfani: eredità tecniche con conseguenze
Fusioni, acquisizioni e riorganizzazioni lasciano tracce digitali. Vecchi webshop, portali sostituiti, server di test di progetti di migrazione e domini di ex controllate restano spesso attivi per anni, senza un responsabile chiaro. Inoltre, scadono certificati SSL e compaiono avvisi nel browser. Nel contempo, restano installazioni CMS obsolete con vulnerabilità note e endpoint API ancora raggiungibili dopo la chiusura del progetto. Queste eredità attirano gli aggressori, perché di regola mostrano la minore maturità di sicurezza. Di conseguenza, aumentano la superficie di attacco digitale proprio dove il controllo è più debole.
Scenario delle minacce in Svizzera: perché dovreste analizzare ora la vostra superficie di attacco digitale
La Svizzera è nel mirino della criminalità informatica internazionale e i numeri parlano chiaro. Le dinamiche seguenti mostrano perché il controllo della superficie di attacco digitale è oggi decisivo.
+113% di cyberattacchi in Svizzera nel Q1 2025 rispetto all’anno precedente: l’aumento percentuale più alto al mondo secondo Check Point Research. In media sono stati registrati 1’279 tentativi a settimana per organizzazione.
222 notifiche obbligatorie al BACS nel primo anno dell’obbligo di notifica per le infrastrutture critiche (dal 1° aprile 2025). È quasi una segnalazione al giorno. Inoltre, la cifra reale potrebbe essere sensibilmente più alta.
175 cyber incident confermati in Svizzera nel solo 2024, tracciabili tramite Darknet leak site e forum underground. I settori più colpiti: beni di consumo, tecnologia, manifattura e servizi finanziari.
58 organizzazioni svizzere sono state confermate come vittime di Ransomware nel 2025. I gruppi più attivi in Svizzera sono attualmente Akira, Qilin e Play.
Esiste un nesso diretto con la superficie di attacco digitale. I gruppi Ransomware e i loro fornitori, i cosiddetti Initial Access Broker, cercano in modo mirato sistemi esposti, accessi RDP aperti, VPN gateway non patchati e web application dimenticate. Perciò, una superficie di attacco non governata non rappresenta una debolezza teorica. È, al contrario, la porta d’ingresso più frequente negli incidenti reali.
Un esempio eloquente delle conseguenze di un controllo esterno insufficiente è il caso Xplain del 2023: presso il fornitore IT bernese che lavorava per autorità federali, il gruppo Play ha sottratto 1,3 milioni di file. 65’000 documenti riguardavano l’amministrazione federale, inclusi materiali classificati. Di conseguenza, la Confederazione ha avviato una revisione approfondita dei contratti con i fornitori IT. Nel frattempo, la fiducia ha subito un danno duraturo.
Come l’EASM rende visibile la superficie di attacco digitale: dalla scoperta alla prioritizzazione
Un External Attack Surface Management moderno opera in quattro fasi consecutive. Insieme formano un ciclo continuo, che rende la superficie di attacco digitale visibile, valutabile e governabile.
Fase 1, Discovery (scoperta): le soluzioni EASM scandagliano l’intero Internet alla ricerca di asset attribuibili alla vostra azienda. Ciò include record DNS, dati WHOIS, certificati SSL, IP range, servizi cloud e repository di codice pubblici. Il punto chiave è che vengono individuati anche asset non presenti nell’inventario ufficiale, per esempio tramite reverse DNS lookup, log di certificate transparency e modelli di apprendimento automatico per l’attribuzione.
Fase 2, inventariazione e attribuzione: tutti gli asset scoperti vengono associati all’azienda, categorizzati (web server, mail gateway, API, IoT ecc.) e inventariati. Le soluzioni avanzate identificano anche cloud provider, location di hosting e dipendenze tecniche.
Fase 3, valutazione del rischio e prioritizzazione: ogni asset viene valutato in base alla sua esposizione. Esistono vulnerabilità note? Il software è obsoleto? Le configurazioni sono errate? Vengono rispettati gli standard di sicurezza? Questa valutazione si arricchisce con una forma di Threat Intelligence, cioè con l’informazione se un vettore d’attacco viene sfruttato attivamente. In seguito, si prioritizza in base alla criticità per il business.
Fase 4, monitoring e alerting: la superficie di attacco digitale cambia ogni giorno. Perciò, l’EASM lavora in modo continuo e allerta in caso di nuove esposizioni, variazioni del punteggio di rischio o comparsa di asset in contesti di minaccia (per esempio su marketplace del Darknet o in log di Infostealer).
Il valore dell’approccio risiede nella prospettiva esterna. L’EASM non mostra come vedete internamente l’IT, bensì come un aggressore vede la vostra superficie di attacco digitale. Di conseguenza, questa prospettiva è indispensabile per governare in modo strategico il vostro rischio cyber.
Perché la gestione classica delle vulnerabilità non basta più
Molte aziende si affidano a processi collaudati: scansioni periodiche delle vulnerabilità, Penetration Test e patch management. Questi strumenti restano importanti. Tuttavia hanno un punto cieco sistematico: possono verificare solo ciò che conoscono.
Approcci classici vs. EASM: quattro differenze decisive
Ambito: il Vulnerability Management classico scansiona IP range e host definiti. L’EASM esplora l’intero Internet alla ricerca della vostra azienda e scopre anche asset sconosciuti.
Prospettiva: i vulnerability scanner operano dall’interno (inside-out). L’EASM opera dall’esterno (outside-in), quindi dal punto di vista dell’aggressore.
Frequenza: i Penetration Test si svolgono di solito a intervalli relativamente lunghi. Il monitoring EASM, invece, è continuo, quindi giornaliero o in tempo reale.
Copertura: gli strumenti interni coprono solo l’infrastruttura gestita. L’EASM copre anche Shadow IT, risorse cloud senza integrazione centrale, eredità post M&A e servizi ospitati esternamente.
Questo non significa che l’EASM sostituisca gli strumenti classici. Li integra con una dimensione decisiva: una visibilità completa sulla superficie di attacco digitale esterna dell’azienda. Solo quando un’organizzazione sa quali asset risultano esposti, può prioritizzare in modo sensato cosa proteggere per primo. In altre parole, la gestione della superficie di attacco digitale diventa finalmente operativa.
Raccomandazioni operative per CISO e consigli di amministrazione
Il controllo della superficie di attacco digitale non è solo un compito tecnico. Riguarda la governance, le decisioni di budget e il modo in cui l’azienda governa strategicamente il rischio cyber. Pertanto, le misure seguenti meritano priorità immediata.
Misure consigliate: dall’inventario all’integrazione nel board
1) Rilevare per la prima volta in modo completo la superficie di attacco digitale esterna: avviate una discovery EASM iniziale. Poi confrontate i risultati con l’inventario asset già noto. La differenza tra sistemi conosciuti e sistemi sconosciuti ma raggiungibili dall’esterno offre un primo indicatore della portata del problema.
2) Affrontare in modo sistematico Shadow IT e cloud: stabilite un processo in cui nuove risorse cloud vengano provisionate solo con registrazione centrale. Coinvolgete le funzioni aziendali. Non come organo di controllo, bensì come partner per un self-service sicuro. Nel frattempo, gli strumenti EASM aiutano a scoprire Shadow IT esistente e a monitorarla in continuo, quindi proteggono la superficie di attacco digitale.
3) Prioritizzare i rischi, non solo elencarli: non ogni esposizione è ugualmente critica. Usate soluzioni che prioritizzano le vulnerabilità in base al contesto, cioè criticità dell’asset, sfruttabilità attiva e Threat Intelligence. Così riducete l’alert fatigue. Inoltre concentrate le risorse su ciò che conta.
4) Monitoring continuo invece di audit puntuali: la superficie di attacco digitale cambia ogni giorno. Perciò, Pentest annuali e scansioni trimestrali non bastano più. Investite in un monitoring EASM continuo, che rilevi e segnali i cambiamenti in tempo reale.
5) Portare la superficie di attacco in consiglio di amministrazione: utilizzate dati EASM e Security Rating per presentare la situazione di rischio in un linguaggio comprensibile al board. Indicatori come numero di asset esposti, andamento del rischio nel tempo e benchmarking di settore supportano decisioni informate al vertice. Di conseguenza, la superficie di attacco digitale diventa un tema di guida, non solo di reparto.
6) Preparare gli obblighi di notifica: dal 1° aprile 2025 in Svizzera vige un obbligo di notifica entro 24 ore per i cyberattacchi alle infrastrutture critiche. Una visibilità completa sulla propria superficie di attacco digitale è una condizione necessaria per riconoscere rapidamente gli incidenti, classificarli e segnalarli nei tempi previsti.
Conclusione
La superficie di attacco digitale della vostra azienda è, con alta probabilità, più ampia di quanto riteniate. Shadow IT, crescita disordinata del cloud e sistemi orfani creano punti ciechi che gli aggressori cercano e sfruttano in modo mirato. In una Svizzera che nel 2025 registra l’aumento più forte al mondo di cyberattacchi e che ha irrigidito i requisiti regolatori con l’obbligo di notifica, il controllo della superficie di attacco esterna non è un’opzione. È una necessità.
L’External Attack Surface Management offre la prospettiva esterna che gli strumenti classici non forniscono. Rende visibile ciò che gli aggressori vedono e consente decisioni solide e prioritarie a livello di CISO e consiglio di amministrazione. Di conseguenza, la superficie di attacco digitale diventa misurabile e governabile.
Conoscere la vostra superficie di attacco esterna
Volete sapere quanto è grande la vostra reale superficie di attacco esterna e dove si concentrano i principali rischi? In qualità di partner di consulenza per l’intelligence sul cyber rischio, vi supportiamo nella prima analisi EASM, nella valutazione dell’esposizione e nello sviluppo di una strategia di monitoring sostenibile. In questo modo, ottenete un quadro affidabile della vostra superficie di attacco digitale.
🎯 Key take-away per decisori
Sintesi per consiglio di amministrazione, direzione e CISO:
✓ La superficie di attacco digitale è più grande del previsto: in genere, il 30-40% degli asset raggiungibili dall’esterno non è noto all’IT.
✓ Svizzera sotto pressione: +113% di cyberattacchi nel Q1 2025, 222 notifiche obbligatorie nel primo anno dell’obbligo BACS, 58 vittime di Ransomware confermate nel 2025.
✓ L’EASM integra, non sostituisce: l’External Attack Surface Management colma il vuoto lasciato dal Vulnerability Management classico e dal Pentesting.
✓ Continuo invece di episodico: gli audit annuali non bastano più, perché la superficie di attacco digitale cambia ogni giorno.
✓ Tema da consiglio di amministrazione: dati EASM e Security Rating creano un linguaggio comune tra sicurezza IT e guida aziendale.
Domande frequenti: FAQ su External Attack Surface Management
Che cos’è l’External Attack Surface Management (EASM)?
L’External Attack Surface Management è l’identificazione, l’inventariazione e il monitoraggio continui di tutti gli asset digitali raggiungibili da Internet di un’azienda. L’EASM lavora dalla prospettiva di un aggressore e scopre anche sistemi sconosciuti come Shadow IT, subdomain dimenticati e risorse cloud, valutandone il rischio. In questo modo, rende gestibile la superficie di attacco digitale.
Qual è la differenza tra EASM e la gestione classica delle vulnerabilità?
Il Vulnerability Management scansiona i sistemi noti e gestiti alla ricerca di vulnerabilità. L’EASM fa un passo ulteriore: prima scopre tutti gli asset raggiungibili dall’esterno, inclusi quelli sconosciuti, e poi ne valuta il rischio. Di conseguenza, l’EASM integra il Vulnerability Management con la prospettiva “outside-in” e colma una lacuna critica nell’architettura di sicurezza. Così, la superficie di attacco digitale diventa realmente visibile.
L’EASM è rilevante anche per le PMI svizzere?
Sì. Le PMI spesso hanno una superficie di attacco esterna sorprendentemente ampia, che deve essere monitorata con risorse IT limitate. Inoltre, le PMI svizzere sono sempre più bersaglio di attacchi Ransomware, perché gli aggressori si aspettano misure di protezione inferiori. L’EASM consente di identificare le esposizioni principali con un impegno sostenibile e di intervenire in modo mirato. Così riducete la superficie di attacco digitale dove conta di più.
Che relazione c’è tra EASM e l’obbligo di notifica in Svizzera?
Dal 1° aprile 2025, i gestori di infrastrutture critiche devono notificare al BACS i cyberattacchi entro 24 ore. Una visibilità completa sulla propria superficie di attacco è necessaria per individuare rapidamente gli incidenti, classificarli e notificarli nei tempi previsti. Senza EASM spesso manca la base per un’Incident Detection efficace, soprattutto quando gli asset colpiti non erano noti all’IT. In pratica, senza una mappa affidabile della superficie di attacco digitale, anche la risposta si indebolisce.
