Da quando il cloud è entrato nella vita della maggior parte delle organizzazioni abbiamo assistito a un continuo trasferimento di dati e risorse sensibili dall’on-premises a questo ambiente. Ora la maggior parte si trova quasi sempre lì e il cybercrime lo ha notato da tempo, tenendone conto nelle proprie strategie.
È diventato quindi essenziale conoscere i pericoli che minacciano il cloud e che cambiano in modo costante. L’unico modo per tenersi aggiornati è utilizzare dati e informazioni che le descrivono, analizzandoli regolarmente. Tutto questo si definisce in inglese con il termine di threat intelligence, intendendo al contempo la raccolta, la classificazione e lo sfruttamento di tutte le informazioni reperibili sugli avversari e sulle loro mosse. Se ne possono ricavare da diverse fonti: i registri, i controlli di sicurezza e i feed di intelligence sulle minacce di terze parti, per esempio. I responsabili della sicurezza devono poi analizzarle in modo da minimizzare i rischi.
All’interno di questo processo di individuazione e analisi dei rischi, il cloud non può non esserci, data l’importanza che oggi ricopre all’interno dell’ecosistema IT di quasi ogni organizzazione. I team di security, se non lo hanno già fatto, devono investire tempo e risorse per sviluppare, raccogliere e implementare threat intelligence specifiche per questo ambiente che mostra caratteristiche diverse dall’on-premises. Per raccogliere informazioni sulle minacce specifiche in tal senso, si può guardare ai fornitori di servizi cloud (CSP – Cloud Services Provider), ai fornitori di informazioni sulle minacce e ai fornitori di servizi di sicurezza gestiti. Tanto per cominciare.
Informazioni strategiche e operative sui pericoli del cloud
Sia le minacce strategiche che le minacce operative vanno prese in considerazione. Le prime riguardano le attività dei dirigenti e degli stakeholder non tecnici: di tutti coloro che generalmente prendono decisioni sulla gestione del rischio.
Esempi di intelligence strategica sulle minacce del cloud sono:
- trend e campagne di attacco attuali rivolte a un CSP esistente, come quelli ipoteticamente sponsorizzati dalla Cina che hanno preso di mira Microsoft nel 2022 e 2023.
- cambiamenti nella reputation dei servizi cloud che potrebbero impattare sull’organizzazione dell’utente
- nuove vulnerabilità o attacchi mirati a specifici carichi di lavoro cloud o tipi di servizi in uso, come serverless, Kubernetes o container.
Guardando invece alle minacce operative, si entra in una dimensione più tattica. Le informazioni a riguardo servono a supportare infatti le attività dei centri operativi di sicurezza (SOC), di threat hunting e di DevOps e IT.
Esempi di intelligence operativa sulle minacce sono:
- modelli specifici di attacchi contro le risorse del cloud, tra cui lo spraying di password, l’abuso e l’uso improprio di chiavi API e ruoli privilegiati e l’implementazione e il funzionamento di miner di criptovaluta nei container
- uso del cloud storage e di altri servizi per ospitare e diffondere malware
- registri del CSP e dati di eventi che potrebbero indicare un uso illecito delle risorse come, per esempio, tentativi di accesso insoliti o di connettività in uscita per l’esfiltrazione dei dati o il comando e controllo, ecc)
“Bozza di programma” di threat intelligence per il cloud
Per implementare efficacemente l’intelligence sulle minacce che riguardano l’ambiente cloud, è necessario disporre di team e tecnologie adeguati. Le persone che se ne occupano, a seconda delle dimensioni e della tipologia di ogni organizzazione, dovrebbero avere background molto vari per formare una squadra composta da:
- un team di architettura e ingegneria del cloud
- specialisti DevOps
- esperti di architettura e ingegneria della sicurezza
- un team SOC
- ruoli dedicati di threat intelligence o threat hunting
Assieme a questi specialisti, potrebbero essere coinvolti anche i team interni di gestione del rischio e la leadership esecutiva, ma in seconda battuta. Anche gli analisti di terze parti possono inoltre fornire informazioni preziose sulle minacce e sulla sicurezza del cloud.
Per facilitare la creazione di un database di informazioni coerenti e utili relative alle minacce del cloud, ci sono alcune tecnologie da implementare e monitorare:
- Servizi di creazione e raccolta di log nel cloud, come AWS CloudTrail o Amazon CloudWatch, Azure Monitor e Google Cloud Logging.
- Strumenti di raccolta di dati sui flussi di rete in tutti i principali cloud IaaS.
- Servizi di sicurezza che si allineano o forniscono informazioni sulle minacce negli ambienti CSP, come Microsoft Sentinel, Amazon GuardDuty o Google Cloud Security Command Center
- Piattaforme di protezione di workload in uso, come i principali strumenti di rilevamento e risposta degli endpoint o le piattaforme di protezione delle applicazioni cloud-native
- Piattaforme di gestione della postura di sicurezza del cloud e di broker della sicurezza dell’accesso al cloud che forniscono informazioni e contesto sullo stato della configurazione e sui comportamenti interattivi del cloud.
I team di sicurezza devono definire i casi d’uso e sviluppare playbook di integrazione per rendere accessibili e fruibili i dati raccolti. Solo in questo modo si arriva a poter prendere decisioni informate sui rischi e svolgere indagini più accurate e mirate per l’identificazione e la risposta alle minacce.
Anche la creazione di una dashboard con le variazioni del rischio rilevate e monitorate nel tempo può aiutare a diffondere le informazioni sulle minacce del cloud in metriche e KPI verso i manager.
