App cloud security come tassello strategico di un governo più ampio ed esteso della sicurezza dell’ecosistema cloud. Ciò nonostante, i ricercatori confermano come la sicurezza sia l’ultima ruota del carro dei task organizzativi associati ai cicli di sviluppo delle app in cloud.
In particolare, una ricerca condotta dagli analisti di ESG (Enterprise Strategy Group) fotografa le lacune che sussistono nell’ambito dello sviluppo di software cloud-native, evidenziando quali sono i problemi che dovrebbero essere risolti il prima possibile.
Cloud app security tra Detection and Response
La cloud app security impone anche vision più esperte rispetto all’evolutiva dei paradigmi di controllo. Questo perché negli ultimi anni categoria degli strumenti di rilevamento e risposta si è progressivamente diversificato, con l’arrivo:
- degli EDR (Endpoint Detection and Response) focalizzati sui carichi di lavoro
- degli NDR (Network Detection and Response), finalizzati a presidiare le attività di rete
- degli XDR (Extended Detection and Response), ulteriore potenziamento del rilevamento e della risposta che, oltre a integrare EDR e NDR, incorporano il SIEM
- dei CDR (Cloud Detection and Response) che spostano il controllo su una serie di meccanismi che caratterizzano la nuvola
In che modo il CDR differisce da EDR NDR e XDR
La differenza più significativa tra CDR e gli altri tre sistemi di Detection and Response è la sua interdipendenza dalla struttura del cloud, fornendo una barriera di applicazioni automatizzate di controllo della sicurezza software-based. Il filo rosso dell’App cloud security è nel livello di automazione del CDR che, attraverso i servizi e le API dei provider cloud, monitora i carichi di lavoro cloud di tutti i tipi (VM, container e serverless), reti cloud, nodi di archiviazione e via dicendo.
Concentrandosi anche sull’elaborazione di eventi su larga scala e sull’analisi automatizzata dei rischi attraverso l’apprendimento automatico, il Cloud Detection and Response passa al vaglio tutti gli aspetti legati alla visibilità della sicurezza per facilitare il rilevamento e la risposta attraverso un tessuto cloud interconnesso, fornendo così una gamma più completa di funzionalità e controlli. Valutando continuamente la configurazione del cloud stesso, oltre alle sue varie risorse distribuite, è così che il CDR fornisce report aggiornati sui rischi derivanti da servizi e risorse mal configurati. Inoltre, gli strumenti CDR possono adattarsi a questi modelli di carico di lavoro per rilevare modelli di attacco specifici del cloud come l’escalation dei privilegi di gestione delle identità e degli accessi, l’abuso delle API cloud e altro ancora.
Come le aziende stanno adottando il cloud
Tornando ai risultati della ricerca, gli analisti hanno evidenziato come le organizzazioni stiano implementando il cloud computing andando a mappare i gap rispetto al rilevamento e alla risposta alle minacce cloud.
Un dato interessante della survey è che, oltre ad aumentare e spostare i carichi di lavoro esistenti, le organizzazioni stanno implementando in modo sempre più consistente applicazioni cloud-native. Infatti, l’80% delle organizzazioni ha adottato un modello DevOps e ben il 75% mette in produzione le nuove build di software almeno una volta alla settimana. Tutto questo sviluppo in cloud è molto impegnativo da gestire per i team di sicurezza. Un elemento di stress, in particolare, è il ritmo serrato delle nuove build di software che spesso porta a trascurare le buone regole della sicurezza. Presidiare l’App cloud security richiede non solo maggior consapevolezza ma anche una maggiore collaborazione interaziendale.
App cloud security: cosa dicono gli analisti
I ricercatori hanno chiesto a un panel di professionisti della sicurezza cloud provenienti da organizzazioni con più di 1.000 dipendenti di identificare le sfide più grandi causate dalla rapida accelerazione dei cicli di sviluppo software. I risultati?
35% – Oltre 1 azienda su 3 sostiene che il team di sicurezza non ha visibilità e controllo all’interno del processo di sviluppo
34% – Oltre 1 azienda su 3 afferma che il software viene spesso rilasciato senza essere sottoposto a controlli o test di sicurezza
33% – Oltre 1 azienda su 3 dichiara di non avere processi di sicurezza coerenti tra i diversi team di sviluppo.
33% – Oltre 1 azienda su 3 afferma che gli sviluppatori saltano i processi di sicurezza per rispettare le scadenze
31% Quasi 1 azienda su 3 ammette che le nuove build vengono implementate in produzione con configurazioni errate, vulnerabilità e altri problemi di sicurezza.
Dalla fotografia dei ricercatori emerge come i team di sicurezza e i team di sviluppo cloud siano estremamente disallineati. Riconoscendo che i CISO non possono frenare lo sviluppo del cloud e non vogliono il soprannome di Dr. No, cosa si può fare per correggere una situazione inaccettabile?
Dare maggiore evidenza dei rischi associati a pratiche errate
Tematizzare l’app coud security per i CISO significa acquisire parametri che dimostrino quanto rischioso mantenere comportamenti errati, comunicandoli ai dirigenti e al consiglio di amministrazione. Nella survey viene rilevato che il 99% delle organizzazioni intervistate ha subito almeno un attacco informatico correlato specificamente ad applicazioni e infrastrutture ospitate nel cloud nell’ultimo anno e che configurazioni errate, vulnerabilità del software e uso improprio di account privilegiati sono stati i principali vettori di attacco iniziale. Tutti questi vettori di attacco possono essere ricondotti a processi di sviluppo non sicuri e alla scarsa igiene delle applicazioni cloud. Una volta che i dirigenti e il consiglio di amministrazione avranno compreso i rischi, probabilmente chiederanno un piano d’azione per la mitigazione del rischio informatico delle applicazioni cloud.
App cloud security: una guida in 5 punti
Con il cloud computing che continua a dominare il panorama IT, la sicurezza deve far parte del processo di sviluppo già a partire dalla fase di pianificazione. I CISO dovrebbero seguire alcune best practices:
- Alfabetizzare gli sviluppatori sulla sicurezza, azzerando la situazione conflittuale tra sicurezza e sviluppo del software. I CISO dovrebbero promuovere una formazione continua sulla sicurezza per i team di sviluppo software in modo che comprendano i rischi, nonché la mitigazione del rischio e i controlli compensativi.
- Offrire incentivi finanziari per il miglioramento della sicurezza. Offrire piccoli incentivi ai team di sicurezza e sviluppo in base ai miglioramenti delle metriche, aggiungendo elementi di gamification rende la competizione più ingaggiante e attrattiva.
- Creare/adottare un framework di sviluppo software sicuro. Sono disponibili numerosi modelli, tra cui il NIST Secure Software Development Framework. In generale, è opportuno valutare diversi framework e scegliere le linee guida che meglio si adattano alle esigenze aziendali e di sicurezza.
- Accelerare gli sforzi di DevSecOps. Molte organizzazioni stiano istituendo gruppi e processi DevSecOps, che seguono quelli dei team DevOps. È tempo di recuperare il ritardo, facendo in modo che tutti parlino la stessa lingua e promuovano l’automazione e l’integrazione degli strumenti.
- Stabilire traguardi di sicurezza realistici. In altre parole, nulla viene inviato alla produzione a meno che non superi test di sicurezza specifici.