Per far fronte alle crescenti esigenze di sicurezza attorno ai dati custoditi nel cloud pubblico, la difesa in profondità (defense in depth) si sta rivelando un elemento fondamentale in molte strategie aziendali. È una possibile risposta all’aumento delle sfide di data protection legato alla crescente quantità di informazioni che vengono “stipate” nelle nuvole pubbliche come in quelle private.
Secondo una ricerca dell’Enterprise Strategy Group di TechTarget, le organizzazioni sono più fiduciose nella propria capacità di proteggere i dati “in casa”, rispetto a quelli salvati nel cloud. Il 54% di quelle intervistate ritiene infatti che le proprie strategie di sicurezza in ambienti on premises siano più efficaci di quelle messe in atto quando per dati custoditi nelle infrastrutture di cloud pubblico.
Questo non dovrebbe sorprendere. Le organizzazioni hanno una conoscenza e un controllo completi dell’infrastruttura IT on premises e hanno sviluppato rapporti di fiducia con molti fornitori di sicurezza di terze parti di cui conoscono bene le capacità.
Non si può dire lo stesso tempo quando i dati risiedono nel cloud. In questo caso diventa necessario valutare l’efficacia e l’affidabilità degli strumenti e dei controlli nativi del Cloud Service Provider (CSP). Dallo studio emerge come gli intervistati siano fiduciosi nelle capacità di monitoraggio, registrazione e auditing del loro CSP e meno per quanto riguarda altre attività chiave tra cui le valutazioni del rischio, la crittografia e i criteri di accesso.
Salgono le quote della difesa in profondità
Quando si approfondiscono le modalità con cui le organizzazioni proteggono attualmente i dati residenti nel cloud, emerge chiaramente un problema di fiducia in merito ai controlli nativi del CSP per la protezione dei dati sensibili. Sembra infatti che reputino migliori gli strumenti di terze parti, apprezzandone le varie funzionalità di sicurezza.
Più della metà (51%) utilizza per esempio una combinazione di controlli nativi del CSP e di controlli di terze parti, mentre quasi un quarto si affida a un fornitore di servizi gestiti (MSP) per alcuni o addirittura tutti i controlli di cybersecurity.
L’impiego congiunto di più strumenti, di CSP e di terze parti, riflette la preferenza per la presenza di fornitori terzi, ma non solo. È anche la dimostrazione di come puntino su strategie di difesa in profondità per migliorare la capacità di proteggere i dati sensibili nel cloud.
I successi della Defense in Depth
Questa strategia di difesa aiuta a ridurre le violazioni dei dati. La ricerca ha rilevato affidandosi solo ai controlli CSP native si ha il doppio delle probabilità (55%) di perdere i dati rispetto a quando si punta su una combinazione di strumenti CSP native e di terze parti.
SaaS, IaaS e PaaS sono ambienti cloud complessi, con ampie superfici di attacco. Strumenti multipli, spesso sovrapposti, offrono un risultato migliore in termini di sicurezza e permettono di risolvere alcuni problemi tra cui:
- Configurazione errata
- Il 33% ha perso dati a causa di configurazioni errate di SaaS.
- Il 32% ha perso dati a causa di configurazioni errate di IaaS e PaaS.
- Violazioni delle policy
- Il 33% ha avuto un evento di esposizione dei dati a causa di un’errata classificazione dei dati.
- Il 26% ha esposto i dati tramite applicazioni o servizi non autorizzati.
- Il 25% aveva politiche di sicurezza errate o insufficienti.
- Controlli degli accessi
- Il 26% ha perso dati a causa di un aggressore fintosi dipendente attraverso credenziali rubate.
- Il 23% ha perso dati a causa di un accesso non autorizzato da parte di un account over-provisioned.
È difficile che un unico strumento di sicurezza si dimostri efficace di fronte alla miriade di modi in cui i dati vengono persi. L’utilizzo di più livelli di difesa sovrapposti si rivela quindi molto più vantaggioso rispetto all’affidarsi a un singolo punto di difesa.
Con MSP il livello di difesa aumenta
Le organizzazioni che si sono affidate solo ai controlli CSP native hanno avuto una probabilità tre volte maggiore di perdere i dati rispetto a quelle che hanno utilizzato una combinazione di strumenti CSP native e di strumenti di terze parti gestiti da un MSP.
Gli MSP presentano due principali vantaggi: hanno tempo, personale e risorse per diventare esperti di ogni strumento di sicurezza e possono sfruttare la propria esperienza in più ambienti, per sviluppare strategie vincenti.
“La marea che sale solleva tutte le barche”: è proprio così che accade per gli MSP. La loro efficacia nell’identificare, rispondere e mitigare un attacco contro uno dei loro clienti può rivelarsi utile anche per gli altri, prima che vengano presi di mira dallo stesso criminale o con un attacco simile.
Dal momento che molte organizzazioni mostrano pesanti riserve nell’affidarsi esclusivamente ai controlli di sicurezza dei dati dei CSP, le strategie di difesa in profondità stanno prendendo piede. E per ora risultano fino a due volte più efficaci nel prevenire la perdita di dati.
Va comunque tenuto conto che non esiste una strategia di difesa in profondità perfetta. Spesso può richiedere investimenti aggiuntivi in strumenti, persone che li gestiscono e persone che li inseriscono in uno stack coerente di cybersecurity. I CISO devono imprescindibilmente valutarne l’adozione stando attenti a bilanciare gli investimenti in relazione ai risultati desiderati.