La maggior parte delle aziende non sa cosa di sé è raggiungibile da internet. Non per negligenza: perché la superficie esposta cresce da sola, un sottodominio alla volta, un deploy alla volta. Ecco cosa emerge da una scansione passiva tipica, ricostruita da casi reali e resa anonima.
01Passiva vuol dire passiva
Prima una precisazione tecnica che conta. HUGIN non attacca niente. Non invia pacchetti ai tuoi server, non prova exploit, non fa rumore. Raccoglie solo quello che è già pubblico: registri DNS, certificati trasparenti, archivi di codice aperti, banche dati di scansioni internet.
È la stessa informazione che un attaccante raccoglie nella fase di ricognizione, prima ancora di toccarti. La differenza è che noi te la mostriamo, lui no.
02Il dominio che pensavi di conoscere
Si parte dal dominio principale e si enumera. Quasi sempre il numero di sottodomini attivi sorprende il cliente. Ecco un output tipico, ricostruito:
Ventiquattro sottodomini, di cui il cliente ne ricordava forse otto. Gli altri sono il residuo di progetti vecchi, ambienti di test, fornitori che hanno creato un host e non l'hanno mai spento.
03I tre problemi che escono sempre
La porta dimenticata
vpn-test.acme-spa.it con la porta 3389 aperta significa un servizio di desktop remoto (RDP) raggiungibile da internet. Era un test, doveva durare un pomeriggio, è online da due anni. RDP esposto è uno dei vettori di ransomware più sfruttati in assoluto. Costo per chiuderlo: cinque minuti. Costo se lo trova qualcun altro prima: potenzialmente l'azienda.
Il certificato scaduto
acme-staging.it con un certificato scaduto da mesi racconta due cose. Primo, che quell'ambiente non è monitorato. Secondo, che probabilmente gira una versione vecchia e non aggiornata dell'applicazione. Gli ambienti di staging dimenticati sono una porta laterale classica: meno protetti del sito principale, ma spesso con accesso agli stessi dati.
Le chiavi nel codice
Tre chiavi API trovate in un archivio pubblico su GitHub. Capita quando uno sviluppatore committa una configurazione di test senza accorgersene. Se quelle chiavi sono ancora valide, chiunque le legga può usare i servizi che proteggono. È il finding che fa svegliare di notte un CISO.
04Perché la fotografia conta
Il punto della scansione non è spaventare. È rendere visibile qualcosa che esiste già. La superficie d'attacco non aumenta perché qualcuno ti prende di mira. Aumenta da sola, come polvere, mentre il team fa il suo lavoro e crea host, deploy, integrazioni.
05Come si chiude, in ordine
Una volta che hai la lista, la remediation è banale nella forma, disciplinata nella sostanza:
- Spegni quello che non serve. Ogni host vivo è una superficie. Se nessuno lo usa, va spento, non lasciato "per sicurezza".
- Chiudi le porte di gestione. RDP, SSH, pannelli admin non vanno mai esposti direttamente. Si raggiungono da VPN, non da internet aperto.
- Ruota i segreti esposti. Una chiave finita in pubblico è bruciata. Va revocata e rigenerata, non "tenuta d'occhio".
- Metti il monitoraggio. La superficie cambia ogni settimana. Una fotografia singola invecchia. Serve guardarla in continuo.
L'ultimo punto è il motivo per cui HUGIN esiste come servizio e non solo come demo. La scansione gratuita è la prima foto. Il valore vero è non perdere mai di vista cosa esponi, mentre l'azienda continua a crescere.