Come preservare la sicurezza nel cloud? La facilità e la velocità con cui gli strumenti cloud possono essere implementati rendono in effetti più difficile il controllo da parte dei team di sicurezza su come vengono utilizzati. Le analisi relative agli incidenti di sicurezza verificatisi nell’ultimo anno, inoltre, ha messo in evidenza la tendenza dei criminali informatici a mirare sempre di più gli attacchi verso ambienti cloud, personalizzando malware, ransomware e altre minacce. Per comprendere più chiaramente lo stato dell’arte della sicurezza informatica in un momento in cui le aziende hanno una maggiore predisposizione verso gli ambienti ibridi e multi cloud, IBM Institute for Business Value (IBV) e IBM X-Force Incident Response and Intelligence Services (IRIS) hanno esaminato le sfide e le principali minacce alla sicurezza degli ambienti cloud.
Sicurezza nel cloud i fattori critici
Secondo IDC, più di un terzo delle aziende ha acquistato oltre 30 tipi di servizi cloud da 16 diversi fornitori solo nel 2019. Un’architettura così dispersiva può rendere non chiara la ownership della sicurezza nel cloud, far emergere “punti ciechi” nelle policy e determinare vulnerabilità e configurazioni errate dovute allo Shadow IT.
Nello specifico, nella ricerca emergono quindi i seguenti fattori critici cui prestare attenzione.
- Ownership complessa: il 66% degli intervistati ha dichiarato di affidarsi ai provider dei propri servizi cloud per la gestione e implementazione degli standard di sicurezza di base; tuttavia, la percezione dell’ownership della security da parte degli intervistati varia notevolmente tra piattaforme e applicazioni cloud specifiche.
- Applicazioni cloud come punto di ingresso: per compromettere gli ambienti cloud, il modo più semplice per i criminali informatici è inserirsi nelle applicazioni cloud-based, che rappresentano il 45% degli incidenti rilevati nei casi analizzati da IBM X-Force IRIS. In questi casi, i cybercriminali hanno approfittato degli errori di configurazione e delle vulnerabilità intrinseche alle applicazioni, spesso passate inosservate poiché installate dai dipendenti in totale autonomia, al di fuori dei canali ufficiali.
- Amplificare gli attacchi: l’obiettivo principale degli attacchi cloud è stato il furto di dati, seguito da operazioni di cryptomining e ransomware, effettuate utilizzando risorse cloud per amplificarne l’effetto.
“Il cloud – ha affermato Abhijit Chakravorty, Cloud Security Competency Leader, IBM Security Services – ha un potenziale enorme per l’efficienza e l’innovazione del business, ma può anche creare un wild west fatto di ambienti ampi e distribuiti che le organizzazioni devono saper gestire e proteggere. Se implementato nel modo giusto, il cloud può rendere la sicurezza scalabile e più flessibile, ma per compiere questo passo è necessario che le organizzazioni abbandonino convinzioni obsolete e si orientino verso nuovi approcci alla sicurezza progettati specificamente per questa nuova frontiera della tecnologia, sfruttando l’automazione laddove possibile. Questo percorso deve però avere alla base un quadro chiaro degli obblighi normativi e di conformità, oltre che delle particolari sfide alla sicurezza derivanti sia dalle caratteristiche tecniche che dalle policy e dalle minacce esterne rivolte al cloud.”
Chi è responsabile della sicurezza del cloud?
Secondo un‘indagine dell’IBM Institute for Business Value, le organizzazioni intervistate che si sono affidate ai propri cloud provider per la gestione della cloud security sono state le principali responsabili dei data breach subiti, al netto dei problemi di configurazione, normalmente di responsabilità dei singoli utenti. Tale violazione dei dati ammonta a più dell’85% di tutti i data breach registrati nel 2019 dalle aziende intervistate.
Inoltre, le organizzazioni intervistate hanno una percezione molto diversa in materia di responsabilità della sicurezza in funzione della varietà di piattaforme e applicazioni. Per esempio, la maggior parte degli intervistati (73%) ritiene che i provider di servizi di public cloud siano i principali responsabili della sicurezza nel caso di soluzioni Software-as-a-Service (SaaS), mentre solo il 42% ritiene che questi siano i principali responsabili della sicurezza nel caso di offerte Instrastructure-as-a-Service (IaaS).
Nonostante questo modello di responsabilità condivisa sia indispensabile nell’era ibrida e multi cloud, lo stesso può anche portare a una variabilità di policy di sicurezza e a una mancanza di visibilità attraverso i diversi ambienti cloud. Le organizzazioni in grado di semplificare le operazioni cloud e security possono aiutare a ridurre questo rischio, attraverso policy definite in modo chiaro e applicabili a tutto l’ambiente IT.
Principali minacce nel cloud: furto di dati, cryptomining e ransomware
Gli esperti IRIS di X-Force Incident Response hanno analizzato in modo approfondito gli attacchi indirizzati agli ambienti cloud affrontati nel corso dell’ultimo anno. Di seguito le principali evidenze.
- Cybercriminali: il fattore economico è alla base della maggioranza delle violazioni del cloud rilevate degli esperti di IBM X-Force, sebbene le organizzazioni finanziate da enti governativi rappresentino un fattore persistente di rischio.
- Le app in cloud: il punto di accesso più comune per indirizzare gli attacchi sono state le applicazioni cloud, forzate attraverso azioni volte a sfruttare le vulnerabilità e le configurazioni errate. Le vulnerabilità sono spesso rimaste inosservate a causa dello “Shadow IT”, ovvero l’utilizzo da parte dei dipendenti di app cloud vulnerabili non approvate dall’organizzazione. La gestione delle vulnerabilità dei servizi cloud può rivelarsi complessa, in quanto fino al 2020 tali vulnerabilità non erano disciplinate dal sistema CVE, Common Vulnerabilities and Exposures (CVE).
- Ransomware in cloud sono in crescita: nei casi di incident response affrontati da IBM, gli attacchi ransomware sono stati distribuiti 3 volte più di qualsiasi altro tipo di malware negli ambienti cloud, seguiti da cryptominer e malware botnet.
- Il furto di dati è un classico: al di fuori della distribuzione di malware, il furto di dati ha costituito il tipo di attacco più comune negli ambienti cloud violati nell’ultimo anno. Il tipo di dati sottratti alle organizzazioni, come osservato da IBM, varia dalle informazioni di identificazione personale (PII) ai client di posta.
- Effetti esponenziali: i criminali informatici hanno utilizzato risorse cloud per amplificare l’effetto di attacchi come cryptomining e DDoS. Il cloud è stato inoltre sfruttato per ospitare infrastrutture e operazioni malevole, associate ad azioni volte a impedirne il rilevamento.
“I trend emersi durante l’analisi dei casi di incident response – ha dichiarato Charles DeBeck, IBM X-Force IRIS – evidenzia una possibile e continua espansione ed evoluzioni dei casi di malware in ambito cloud contestualmente a una sempre maggiore adozione di soluzioni cloud. Il nostro team ha osservato come gli sviluppatori di malware abbiano già iniziato a crearne di nuovi in grado di disabilitare le soluzioni di cloud security più diffuse e a progettare malware che sfruttano la scalabilità e la flessibilità offerte dal cloud”.
Elevati livelli di CloudSec migliorano la capacità e la velocità di risposta in caso di attacchi, 6 cose da fare
Le organizzazioni che sono in grado di orientarsi verso un modello di governance più maturo e semplificato saranno in grado di rendere più agile la propria infrastruttura di security e di migliorare le capacità di fronteggiare gli attacchi.
Lo studio di IBM Institute for Business Value rivela che le organizzazioni evolute che abbiano già ampiamente adottato soluzioni cloud e security sono in grado di identificare e contenere i data breach più rapidamente rispetto a quelle ancora all’inizio del percorso di migrazione verso il cloud. Quanto ai tempi di risposta, le organizzazioni con un maggior grado di maturità sono due volte più veloci nelle fasi di identificazione e contenimento delle violazioni rispetto alle organizzazioni meno mature: per le prime, il ciclo di vita medio delle minacce si attesta attorno ai 125 giorni contro 250 giorni per le organizzazioni impreparate.
Oggi il cloud è essenziale per le tutte le organizzazioni. Per questo, IBM Security ha delineato una serie di direzioni utili a migliorare la sicurezza in ambienti ibridi multi cloud:
- stabilire governance e cultura collaborativa: adottare una strategia unificata che combini operazioni cloud e security, coinvolgendo tutti gli attori, dai developer ai dipartimenti di IT Operation e Security. Tale strategia richiede anche che siano delineate politiche e responsabilità chiare per la gestione e il controllo delle risorse cloud esistenti e per l’acquisizione di nuove;
- assumere una visione basata sul rischio: valutare i tipi di workload e di dati per i quali è previsto il passaggio a un ambiente cloud e definire policy di sicurezza appropriate. Il primo passo è mettere a punto una valutazione basata sul rischio di visibilità completa dell’ambiente cloud, per poi creare un processo mirato volto all’adozione graduale del cloud;
- adottare un sistema di strong access management: sfruttare le politiche di access management e gli strumenti per l’accesso alle risorse cloud, inclusa l’autenticazione a più fattori, per prevenire l’infiltrazione attraverso credenziali rubate. È quindi necessario limitare gli account autorizzati e impostare tutti i gruppi di utenti con il minimo dei requisiti necessari per ridurre il rischio di compromissione dell’account (modello “zero-trust”);
- disporre degli strumenti giusti: assicurarsi che gli strumenti per il monitoraggio della sicurezza, la visibilità e la security response siano efficaci su tutte le risorse cloud e on-premise. A questo proposito, è consigliabile considerare il passaggio a tecnologie e standard open che consentono una maggiore interoperabilità;
- automatizzare i processi di sicurezza: per migliorare le capacità di rilevamento e risposta agli eventi, è consigliabile implementare un sistema di sicurezza automatizzato efficace, anziché fare affidamento sull’approccio manuale;
- fare ricorso a simulazioni proattive: simulare vari scenari di attacco può aiutare a identificare falle nella sicurezza e ad affrontare potenziali problemi di natura legale che possono sorgere in caso di indagini sugli attacchi.