Affidare i propri desktop virtali e la continuità operativa delle proprie infrastrutture a un provider non è solo una questione di fiducia. La posta in gioco è molto alta dal momento che si parla di un perimetro di sicurezza ad alto tasso di vulnerabilità.
Non solo i criminali informatici sono molto diligenti nei loro tentativi di scassinamento dei servizi in cloud, Desktop as a Service compreso, sferrando attacchi abili e sofisticati.
I competitor e il personale che lavora con i service provider o i gestori dei contratti di abbonamento possono hackerare i dati e le informazioni aziendali sensibili.
Fidarsi è bene. Non fidarsi è meglio
I cyberattacchi ogni giorno diventano più subdoli e vengono sferrati su più fronti. Ad esempio, un malware può infiltrarsi nel processo di avviamento di una macchina, oppure infiltrarsi all’interno di una stringa associata al profilo utente, a livello di impostazioni.
I professionisti IT non dovrebbero fidarsi del protocollo Secure Sockets Layer (SSL) così come non dovrebbe fidarsi completamente dell’autenticazione a due fattori che, è noto, non costituisce garanzia assoluta contro l’accesso non autorizzato.
Inoltre, gli amministratori non dovrebbero far riferimento a un unico strumento antimalware per la protezione da ogni possibile minaccia. Il malware può lavorare attraverso ambienti virtuali così come attraverso le reti fisiche. Certo il livello di virtualizzazione potrebbe essere in grado di scongiurare alcuni attacchi o almeno rallentarli, ma nessun sistema può definirsi davvero immune.
Le vulnerabilità del Desktop as a Service
Sempre parlando di sicurezza DAAS, a peggiorare le cose un ulteriore fattore di destabilizzazione: i potenziali aggressori, infatti, possono utilizzare la potenza di calcolo resa disponibile dai servizi cloud per effettuare operazioni come decodificare le chiavi di crittografia o distribuire malware.
E queste sono minacce già note. A queste si aggiungono quelle non ancora note come, ad esempio, le minacce a innesco zero-day in attesa di scattare non appena si verifica una falla nel perimetro di sicurezza.
Un altro problema di sicurezza legato alla gestione in cloud del DaaS è la combinazione hypervisor/multi-tenancy. Se i servizi hypervisor sono compromessi e l’isolamento si interrompe, il rischio ricade a cascata su tutte le macchine virtuali (VM) di ogni organizzazione che aderisce a tale servizio.
Gli attacchi side-channel
La minaccia di attacchi side-channel è un’altra preoccupazione crescente, soprattutto nella variante del timing attack.
In dettaglio, se l’attacco Side Channel Analysis sfrutta informazioni relative ai tempi, ai consumi di energia o altre cose utili a recuperare informazioni sul sistema di crittografia,Il timing attack, invece, analizza le variazioni dei tempi necessari nelle operazioni crittografiche.
In sintesi, in questo secondo caso l’attacco viene sferrato da un utente malintezionato che riesce ad accedere alle chiavi di cifratura private utilizzate da altre macchine virtuali sullo stesso server. Anche senza il vantaggio delle informazioni legate al side-channel, un hacker che vuole colpire i desktop virtuali potrebbe accedere ad una vasta gamma di risorse aziendali così come a informazioni sensibili.
E poi ci sono sempre gli utenti…
In ogni caso non importa quanto duramente i solution provider e i fornitori di software lavorino per rendere i loro ambienti virtuali sicuri. A minare i loro sforzi, oltre ai cybercriminali, si aggiungono gli errori degli utenti, che rimangono uno degli anelli più deboli della catena di sicurezza.
Gli amministratori di sistema hanno molti strumenti che li aiutano a limitare gli errori più grossolani, ma ci sono alcuni dipendenti che senza volerlo mettono a rischio le risorse aziendali.
Qualche esempio, tra i più comuni? Usano applicazioni non approvate per trasferire i dati, scrivono le password su foglietti di carta, aprono gli allegati sospetti che sono nella loro posta elettronica, accedono ai social network sulla rete aziendale e visitano siti Web che non c’entrano con il business aziendale.
Sono esattamente queste le azioni che li rendono preda degli hacker. Una volta che un cybercriminale riesce a mettere le mani sulle credenziali dell’account, può accedere all’ambiente DaaS, comprese le risorse aziendali sicure e ai dati sensibili aziendali.
Anche i desktop che servono come thin client per l’accesso DaaS possono essere infettati tramite un semplice registratore di tasti che raccoglie informazioni riservate.
Infine va ricordato che molte minacce interne sono altrettanto pericolose rispetto a quelle esterne. È il caso di un dipendente, scontento per una serie di ragioni, semplicemente di un collaboratore poco onesto, che può intravedere una opportunità di fare soldi.
In quanto interni all’azienda, questo tipo di utenti hanno accesso ai sistemi aziendali e forse anche di alto livello, per cui ha strada facile nel rubare o distruggere dati e causare una straordinaria quantità di danni prima di essere mai catturato.
DaaS come una soluzione
Raccontata così la virtualizzaizone dei desktop, nota come DaaS, può sembrare pericolosa ma un servizio cloud non è di per sè un pericolo. Certo, rispetto a tutto il parlare gartneriano dei vantaggi associati al DaaS, soprattutto in materia di sicurezza, bisogna essere cauti e identificare bene i tre attori in campo, ovvero il fornitore del servizio, il cybercriminale e l’utente.
I DaaS provider e i venditori che si occupano dello sviluppo del substrato tecnologico hanno tutti interesse affinché tutto funzioni alla perfezione. Se i servizi offerti non sono efficienti, convenienti e sicuri, avranno vita dura perché nessuno si rivolgerà a loro.
Il DaaS e il cloud sono diventate business molto importanti, e questo garantisce che i fornitori faranno tutto il possibile per rendere questi sistemi altamente sicuri e funzionali.
Certo non esiste tecnologia senza che ci sia una sfida. I desktop fisici sono pieni di vulnerabilità. Il consiglio degli esperti è di valutare bene le scelte e i rischi tra fisico e virtuale, prima di tuffarsi a capofitto nel DaaS.