TECHTARGET

Giocare d’anticipo per vincere le sfide “forensi” nel cloud

Quando si riesce a stendere un quadro dettagliato che regoli le modalità e la velocità di condivisione delle informazioni da parte dei Cloud Server Provider, generalmente si riscontra un minor di problemi associati alla raccolta dei dati forensi. Vale la pena di adottare questa strategia, valida anche su altri piani

Pubblicato il 17 Ott 2023

Immagine di vs148 su Shutterstock

Quando si spostano o si creano direttamente le proprie infrastrutture nel mondo del cloud, si finisce per cedere ai fornitori di servizi cloud (CSP – Cloud Services Provider) una parte consistente di controlli e processi di sicurezza tradizionalmente gestiti da risorse e con modalità interne. Per molti questo “passaggio di consegne” rappresenta un vantaggio non da poco, e per certi versi lo è davvero. In ogni caso, pur continuando a vedere il bicchiere mezzo pieno, è necessario restare cauti e, implementando un modello di sharing responsability, non trascurare problematiche importanti come il forensics nel cloud.

Le organizzazioni sono responsabili dell’acquisizione e dell’archiviazione delle risorse nelle implementazioni PaaS e IaaS, ma i CSP lo sono dell’infrastruttura back-end. Questa ridistribuzione può disorientate il team di sicurezza quando deve raccogliere i dati forensi nel cloud. Si tratta di una vera e propria sfida, ed è affrontabile: basta avere metodo.

La prima mossa da compiere consiste nel definire un quadro di riferimento che determini in maniera univoca, condivisa e chiara le modalità di condivisione dei dati da parte dei CSP. Allo stesso tempo, questo nuovo framework dovrebbe dare indicazioni anche sulla strategia di management della forensica del cloud all’interno delle infrastrutture di cui l’organizzazione è responsabile.

Le prove considerate importanti possono essere di diverse tipologie, per orientarsi al meglio chi si occupa di sicurezza e le deve gestire può utilizzare le best practice più comuni e gli approcci cloud ispirati a standard internazionali di forensics.

Cloud forensics con i CSP

È meglio affrontare subito questo tema con i fornitori di servizi cloud, prima ancora che diventino effettivamente fornitori. Durante la fase preliminare, per esempio, si possono già porre loro alcune domande sulla cloud forensics e sui dati, introducendo poi anche alcuni vincoli a livello contrattuale, se lo si ritiene opportuno.

I principali nodi da sciogliere sono i seguenti.

  • Quale tipo di dati può e vuole fornire il CSP, sia regolarmente – preferibile per i team forensi più grandi e maturi – sia solo quando le indagini lo richiedono. Si può trattare di dati come
  • Registri del server web.
  • Registri dei server applicativi.
  • Registri dei database.
  • Registri di accesso all’host dell’hypervisor di virtualizzazione.
  • Registri della piattaforma di gestione della virtualizzazione e del portale SaaS.
  • Network capture.
  • Registri di fatturazione.
  • Registri del portale di gestione.
  • Registri di accesso API.
  • Registri della rete perimetrale del cloud o del provider di rete.
  • Registri dei server DNS.
    • Quali tipi di prove sono disponibili presso il CSP e quando, in particolare nell’ambito degli accordi sui livelli di servizio? Quali registri e altre informazioni sono disponibili per i sistemi di runtime dei container e le piattaforme di hosting serverless?
    • Che tipo di policy e processi del ciclo di vita di conservazione e smaltimento dei dati sono previsti per gli eventi di sicurezza e altre informazioni correlate?
    • Quali processi di forensics e di risposta sono stati implementati per gestire internamente le infrastrutture virtuali e le piattaforme di gestione del cloud? Per esempio, il CSP utilizza snapshot di macchine virtuali per l’acquisizione di prove? Come vengono sovrascritti i file dei dischi virtuali per i carichi di lavoro IaaS tradizionali?

Cloud forensic con l’infrastruttura cloud interna

I dati forensi gestiti dai CSP sono solo una parte dell’equazione. Anche i team di sicurezza interni alle organizzazioni sono chiamati ad adattare gli strumenti e le pratiche forensi all’infrastruttura cloud di cui sono loro stessi direttamente responsabili. Questo comporta ulteriori sfide per la cloud forensic, le principali sono:

> L’imaging del disco. È un processo forense comune e le copie del disco sono artefatti standard. Mentre le macchine virtuali standard, tra cui le istanze di Elastic Compute Cloud e le macchine virtuali di Azure, offrono semplici processi di snapshot, i team devono creare nuove procedure attorno a questi passaggi, documentarle e garantire che le immagini del disco siano trasferite e archiviate in conformità con le pratiche di chain-of-custody e di integrità delle prove.

> Le immagini di memoria. Per la maggior parte dei team di sicurezza moderni, rappresentano un pilastro delle prove forensi. Spesso la loro acquisizione richiede l’accesso al kernel del sistema operativo che potrebbe non essere disponibile in un’ampia gamma di modelli di carico di lavoro cloud, in particolare container e serverless. Anche per le macchine virtuali tradizionali, le istantanee della memoria di solito richiedono la presenza di un agente preinstallato, che potrebbe non essere sempre pratico.

> Risorse on-premise. La maggior parte sono state attivate e gestite per mesi o anni, di default, consentendo alle organizzazioni di identificarle e classificarle più facilmente, nonché di acquisire prove forensi su base ad hoc. Molti carichi di lavoro nel cloud sono in gran parte effimeri e durano solo pochi minuti o ore, o al massimo giorni o settimane. Ciò significa che l’identificazione delle minacce e la raccolta di prove forensi devono essere altamente automatizzate. La creazione di una strategia di monitoraggio continuo e di raccolta automatizzata può richiedere molto tempo e competenze più approfondite quando riguarda l’ambito cloud.

Inoltre, i team che si occupano di sicurezza del cloud dovrebbero creare una risorsa dedicata con ampie capacità di registrazione e auditing in cui copiare e archiviare le prove. In caso di contenzioso legale, deve infatti esserci la possibilità di dimostrare che le prove forensi del cloud sono state ottenute correttamente, copiate in modo sicuro in un luogo sicuro e non manomesse in seguito. Questo tipo di procedure richiede una conoscenza approfondita del cloud, oltre a tempo e impegno operativo.

In generale, è quindi possibile superare le sfide della cloud forensics, ma in ogni circostanza conviene pianificare attentamente le proprie strategie con anticipo e lungimiranza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4