Come difendere le piattaforme in cloud dagli attacchi informatici?
Con la digitalizzazione delle aziende, molte organizzazioni hanno iniziato a usare piattaforme cloud-based per le proprie attività. Ciò ha portato diverse criticità per quanto riguarda la cybersecurity. Marco Rottigni, Technical Director di SentinelOne, azienda operante nel settore della sicurezza del cloud, spiega perché le piattaforme in cloud sono il target dei cybercriminali e come proteggerle.
“Nell’ultimo decennio – evidenzia Rottigni – l’adozione di ambienti cloud ha conosciuto una crescita esponenziale. Ciò che, in origine, rappresentava un semplice sistema di archiviazione dei dati, è adesso diventata una piattaforma di computing distribuita su larga scala, di fatto determinando un cambiamento radicale nei modelli di condivisione, archiviazione, ottimizzazione e gestione delle informazioni adottati dalle imprese.
Tuttavia, anche gli attaccanti si sono adeguati a questo cambiamento di paradigma, consapevoli che la digital transformation ed il progressivo passaggio a modelli di lavoro ibridi e tecnologie cloud-based sono ormai un fenomeno avviato e inevitabile.
Questa rivoluzione ha, da una parte, convinto per i servizi cloud estremamente vantaggiosi, e dall’altra ha attirato l’interesse degli hackers, che approfittano dell’elevato volume di dati sensibili condiviso tra le organizzazioni e i loro fornitori di servizi cloud. Opportunisti per natura, i cybercriminali in fase di pianificazione di una campagna APT mirano a trarre vantaggio dall’uso di credenziali deboli, configurazioni applicative errate e del ‘fattore umano’.
Nonostante i crescenti problemi di sicurezza non abbiano rallentato il percorso di adozione del cloud, è fondamentale che le aziende abbiano visibilità delle superfici di attacco delle proprie piattaforme cloud e un piano di contromisure attuabili per metterle in sicurezza.
Il numero degli attacchi cloud è in aumento
Gli attacchi agli ambienti cloud sono aumentati drasticamente negli ultimi anni, anche a causa dalla pandemia COVID-19 che ha spinto le aziende di ogni dimensione e settore ad adattarsi rapidamente a mezzi operativi alternativi.
Secondo Gartner, la pandemia e l’aumento dei servizi digitali hanno reso il cloud il “centro delle nuove esperienze digitali” e il suo fatturato globale ammonterà a 474 miliardi di dollari nel 2022, con un aumento di 66 miliardi di dollari rispetto all’anno precedente. La società di ricerca prevede inoltre che oltre il 95% dei nuovi workload digitali sarà distribuito su piattaforme cloud native, con un aumento del 30% anno su anno.
Le imprese devono pianificare strategie di sicurezza che vadano oltre quelle tradizionali, per poter gestire una superficie di attacco sempre più ampia e i rischi associati ai servizi cloud. Le statistiche che seguono mostrano l’aumento dell’adozione del cloud e quanto questo sia stato oggetto di attacchi negli ultimi anni:
- il 69% delle imprese ha accelerato la migrazione al cloud negli ultimi 12 mesi. Si prevede che la percentuale delle aziende che gestirà la parte più consistente o l’intera l’infrastruttura IT in cloud aumenterà dal 41% al 63% nei prossimi 18 mesi (Foundry, 2022).
- Il 49% dei professionisti IT ha riferito che gli attacchi cloud-based hanno portato a spese ulteriori non preventivate.
- L’80% dei CISO intervistati da PurpleSec non è stato in grado di identificare la presenza di accessi e permessi di accesso massivo ai dati nei propri ambienti cloud.
- Il 79% delle organizzazioni ha subito almeno una violazione dei dati in cloud negli ultimi 18 mesi. Inoltre, il 43% ha riportato 10 o più violazioni nello stesso arco temporale (Emertic, 2021).
- L’83% delle violazioni in cloud deriva da vulnerabilità legate a politiche di gestione degli accessi inadeguate (CyberTalk.org, 2021).
Comprendere i rischi del cloud
L’utilizzo di servizi cloud espone ad accessi non autorizzati, insider threats e rischi a livello di supply chain. Per un attaccante, le vulnerabilità del cloud sono strumenti utili ad ottenere l’accesso, per esfiltrare i dati dalla rete dell’organizzazione presa di mira, sia tramite interruzioni del servizio, ransomware o trasferimento non autorizzato di informazioni. I gruppi criminali più sofisticati possono adottare anche tecniche di lateral movement, di evasione del rilevamento o di appropriazione indebita di account, al fine di stabilire e mantenere dei punti di appoggio e persistenza all’interno dell’infrastruttura.
I rischi più comuni per la sicurezza del cloud includono:
- furto e appropriazione di accounts utente – Sia che le credenziali vengano reperite tramite phishing, brute force o malware, l’assenza di policy di controllo sulla qualità delle passwords spesso porta alla compromissione di accounts utenti.
- Configurazioni errate – I cloud service providers offrono diversi livelli di servizio, a seconda delle esigenze del cliente. Questo permette al cloud di scalare con le esigenze operative delle organizzazioni. Tuttavia, molte imprese non dispongono delle misure di protezione necessarie per garantire la sicurezza di questi servizi attraverso l’intero ciclo di sviluppo e implementazione. Gli applicativi mal configurati rappresentano una delle principali cause di compromissione quando si tratta di attacchi basati in cloud.
- API pubbliche vulnerabili – Le API pubbliche consentono agli utenti autorizzati di interagire con i sistemi in cloud; tuttavia, se esposte a vulnerabilità, possono diventare veicolo preferenziale per l’accesso non autorizzato e l’estrazione di dati sensibili dalle piattaforme, nonché una formidabile backdoor per garantire persistenza agli attaccanti.
- Insider Threats – Anche le organizzazioni con un ecosistema IT in salute e a norma, possono essere vittime di un utente legittimo e malintenzionato a far fuoriuscire dati aziendali. Avendo accesso a dati sensibili, possono intervenire anche nei protocolli di sicurezza e disattivarli. Le architetture Zero Trust e soluzioni di Identity & Access Management (IAM) rappresentano un validissimo approccio in grado di mitigare i rischi di insider threats.
- Attacchi Denial-of-Service (DoS) – Progettati per sovraccaricare un sistema e impedirne l’accesso agli utenti, gli attacchi DoS sono particolarmente devastanti per gli ambienti cloud. A fronte di un sempre crescente carico di lavoro, l’infrastruttura fornisce, in maniera orchestrata ed elastica, ulteriore potenza di calcolo, con la conseguente impossibilità, per gli utenti legittimi, di continuare ad accedere ai propri dati e servizi.
- Terze parti – È importante che le imprese valutino i rischi di terze parti quando utilizzano i servizi dei vendors. Le infrastrutture e le piattaforme cloud sono suscettibili di attacchi alla supply chain quando gli attaccanti si infiltrano in una rete attraverso terze parti non protette, che collaborano con l’organizzazione. Il rischio di sicurezza si propaga quando le organizzazioni scelgono di collaborare con vendors che hanno una postura di cybersecurity più permissiva e debole della propria.
Difendere il cloud – L’importanza della cyber hygiene
La sicurezza in cloud inizia dalle fondamenta. Gli ambienti cloud richiedono pianificazione, implementazione e strategie di sicurezza a breve e lungo termine, e la predisposizione della cyber hygiene ne è il presupposto fondamentale.
Le organizzazioni che dispongono di processi per la gestione delle passwords, l’autenticazione a più fattori, la gestione delle patches, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d’attacco cui puntare.
Proteggersi alla base con lo Zero Trust e la segmentazione
Essere immuni agli attacchi è impossibile ma adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. Gli hackers causano i danni maggiori quando sono in grado di diffondersi attraverso la rete e raccogliendo progressivamente privilegi più elevati lungo il percorso di attacco. Il principio dell’approccio Zero Trust funziona eliminando la ‘trust by default’, richiedendo l’autenticazione e la valutazione contestuale della postura di sicurezza di ogni utente e dispositivo, prima che questi possano accedere ai dati in modalità esclusiva, in base al proprio ruolo.
La segmentazione della rete è importante per una corretta implementazione del concetto di Zero Trust: segmentando la rete in micro-contesti autonomi ed indipendenti, consente agli amministratori di controllare e proteggere i flussi di traffico corrispondenti tramite regole granulari, con il beneficio aggiunto di poter individuare più facilmente eventuali problemi tecnici e di migliorare le attività di monitoraggio.
Elaborare una strategia di gestione del cloud
Le infrastrutture e piattaforme cloud sono state progettate per aiutare le aziende a scalare e ad archiviare dati, non per fornire sicurezza. Per molte organizzazioni, i sistemi e applicativi cloud sono gestiti dai teams DevOps e CloudOps piuttosto che dal team di sicurezza interno. In organizzazioni frammentate, le misure di sicurezza potrebbero non essere uniformi tra i diversi teams e potrebbero causare discrepanze nelle strategie di protezione del cloud. La difesa dell’infrastruttura cloud richiede una strategia integrata e olistica, in cui i dati devono essere raccolti e analizzati da tutte le fonti disponibili, in modo che i team di sicurezza possano analizzarli e interpretarli al meglio.
Semplificare le sfide degli ambienti Multi-Cloud
Molte organizzazioni dispongono di più ambienti cloud per ottimizzare il supporto di un’infrastruttura più ampia, aumentandone però al contempo la complessità ed i costi di gestione. Proteggere gli ambienti multi-cloud significa individuare un modello comune di protezione agnostico rispetto a contesti unici per caratteristiche di deployment, requisiti normativi e politiche di gestione. Gli ambienti multi-cloud diventano più complessi da gestire se sono forniti da vendors diversi, e l’integrazione tra le varie soluzioni cloud può diventare difficile e comportare una perdita del controllo delle configurazioni. Per affrontare queste sfide è necessario considerare il futuro e il presente, procedendo con investimenti tecnologici che potranno integrarsi con quelli di domani. Molte imprese hanno già compreso la necessità di adottare una piattaforma XDR, ma servirà una piattaforma XDR aperta, che integri le soluzioni esistenti e che sia capace di analizzare i dati, ricevere avvisi e gestire in maniera coordinata ed automatica le risposte necessarie.
Conclusioni
L’adozione di infrastrutture e piattaforme cloud-based è una componente significativa della trasformazione digitale in corso a livello globale, e ha permesso alle imprese di ridurre i costi, aumentare l’agilità organizzativa e migliorare la scalabilità a lungo termine. Per anticipare gli attaccanti, le imprese devono comprendere appieno le modalità di implementazione e manutenzione dei servizi cloud. La visibilità all’interno del cloud è fondamentale per capire come viene effettuata la condivisione dei files, il tipo dei dati archiviati e la relativa sicurezza, e a quali utenti e applicazioni sono associati” conclude Rottigni.