Quando si spostano o si creano direttamente le proprie infrastrutture nel mondo del cloud, si finisce per cedere ai fornitori di servizi cloud (CSP – Cloud Services Provider) una parte consistente di controlli e processi di sicurezza tradizionalmente gestiti da risorse e con modalità interne. Per molti questo “passaggio di consegne” rappresenta un vantaggio non da poco, e per certi versi lo è davvero. In ogni caso, pur continuando a vedere il bicchiere mezzo pieno, è necessario restare cauti e, implementando un modello di sharing responsability, non trascurare problematiche importanti come il forensics nel cloud.
Le organizzazioni sono responsabili dell’acquisizione e dell’archiviazione delle risorse nelle implementazioni PaaS e IaaS, ma i CSP lo sono dell’infrastruttura back-end. Questa ridistribuzione può disorientate il team di sicurezza quando deve raccogliere i dati forensi nel cloud. Si tratta di una vera e propria sfida, ed è affrontabile: basta avere metodo.
La prima mossa da compiere consiste nel definire un quadro di riferimento che determini in maniera univoca, condivisa e chiara le modalità di condivisione dei dati da parte dei CSP. Allo stesso tempo, questo nuovo framework dovrebbe dare indicazioni anche sulla strategia di management della forensica del cloud all’interno delle infrastrutture di cui l’organizzazione è responsabile.
Le prove considerate importanti possono essere di diverse tipologie, per orientarsi al meglio chi si occupa di sicurezza e le deve gestire può utilizzare le best practice più comuni e gli approcci cloud ispirati a standard internazionali di forensics.
Cloud forensics con i CSP
È meglio affrontare subito questo tema con i fornitori di servizi cloud, prima ancora che diventino effettivamente fornitori. Durante la fase preliminare, per esempio, si possono già porre loro alcune domande sulla cloud forensics e sui dati, introducendo poi anche alcuni vincoli a livello contrattuale, se lo si ritiene opportuno.
I principali nodi da sciogliere sono i seguenti.
- Quale tipo di dati può e vuole fornire il CSP, sia regolarmente – preferibile per i team forensi più grandi e maturi – sia solo quando le indagini lo richiedono. Si può trattare di dati come
- Registri del server web.
- Registri dei server applicativi.
- Registri dei database.
- Registri di accesso all’host dell’hypervisor di virtualizzazione.
- Registri della piattaforma di gestione della virtualizzazione e del portale SaaS.
- Network capture.
- Registri di fatturazione.
- Registri del portale di gestione.
- Registri di accesso API.
- Registri della rete perimetrale del cloud o del provider di rete.
- Registri dei server DNS.
- Quali tipi di prove sono disponibili presso il CSP e quando, in particolare nell’ambito degli accordi sui livelli di servizio? Quali registri e altre informazioni sono disponibili per i sistemi di runtime dei container e le piattaforme di hosting serverless?
- Che tipo di policy e processi del ciclo di vita di conservazione e smaltimento dei dati sono previsti per gli eventi di sicurezza e altre informazioni correlate?
- Quali processi di forensics e di risposta sono stati implementati per gestire internamente le infrastrutture virtuali e le piattaforme di gestione del cloud? Per esempio, il CSP utilizza snapshot di macchine virtuali per l’acquisizione di prove? Come vengono sovrascritti i file dei dischi virtuali per i carichi di lavoro IaaS tradizionali?
Cloud forensic con l’infrastruttura cloud interna
I dati forensi gestiti dai CSP sono solo una parte dell’equazione. Anche i team di sicurezza interni alle organizzazioni sono chiamati ad adattare gli strumenti e le pratiche forensi all’infrastruttura cloud di cui sono loro stessi direttamente responsabili. Questo comporta ulteriori sfide per la cloud forensic, le principali sono:
> L’imaging del disco. È un processo forense comune e le copie del disco sono artefatti standard. Mentre le macchine virtuali standard, tra cui le istanze di Elastic Compute Cloud e le macchine virtuali di Azure, offrono semplici processi di snapshot, i team devono creare nuove procedure attorno a questi passaggi, documentarle e garantire che le immagini del disco siano trasferite e archiviate in conformità con le pratiche di chain-of-custody e di integrità delle prove.
> Le immagini di memoria. Per la maggior parte dei team di sicurezza moderni, rappresentano un pilastro delle prove forensi. Spesso la loro acquisizione richiede l’accesso al kernel del sistema operativo che potrebbe non essere disponibile in un’ampia gamma di modelli di carico di lavoro cloud, in particolare container e serverless. Anche per le macchine virtuali tradizionali, le istantanee della memoria di solito richiedono la presenza di un agente preinstallato, che potrebbe non essere sempre pratico.
> Risorse on-premise. La maggior parte sono state attivate e gestite per mesi o anni, di default, consentendo alle organizzazioni di identificarle e classificarle più facilmente, nonché di acquisire prove forensi su base ad hoc. Molti carichi di lavoro nel cloud sono in gran parte effimeri e durano solo pochi minuti o ore, o al massimo giorni o settimane. Ciò significa che l’identificazione delle minacce e la raccolta di prove forensi devono essere altamente automatizzate. La creazione di una strategia di monitoraggio continuo e di raccolta automatizzata può richiedere molto tempo e competenze più approfondite quando riguarda l’ambito cloud.
Inoltre, i team che si occupano di sicurezza del cloud dovrebbero creare una risorsa dedicata con ampie capacità di registrazione e auditing in cui copiare e archiviare le prove. In caso di contenzioso legale, deve infatti esserci la possibilità di dimostrare che le prove forensi del cloud sono state ottenute correttamente, copiate in modo sicuro in un luogo sicuro e non manomesse in seguito. Questo tipo di procedure richiede una conoscenza approfondita del cloud, oltre a tempo e impegno operativo.
In generale, è quindi possibile superare le sfide della cloud forensics, ma in ogni circostanza conviene pianificare attentamente le proprie strategie con anticipo e lungimiranza.