Secondo gli esperti di cyber security, un approccio olistico alla sicurezza IT dovrebbe sempre includere anche una fase di penetration test, ovvero la simulazione di un attacco informatico a un sistema IT o a una rete. Grazie ai penetration test infatti è possibile garantire la sicurezza dei propri sistemi, grazie ad attacchi creati appositamente per verificarne la robustezza delle reti e di tutti i sitistemi informativi, e prevenire possibili attacchi e minacce non desiderati.
Questa fase, infatti non solo è una buona pratica da condurre regolarmente su tutti i sistemi IT aziendali, ma è spesso anche un requisito per mantenere la conformità con PCI DSS o altre normative.
Con il diffondersi dell’impiego della tecnologia cloud, tuttavia, possono sorgere alcune complicazioni relative a tale attività. I fornitori di servizi cloud come Amazon Web Services, Microsoft Azure e Google gestiscono la sicurezza e la disponibilità della loro infrastruttura cloud come qualsiasi grande impresa, ovvero monitorando la sicurezza IT e indagando su eventuali incidenti.
Tali provider devono essere in grado di distinguere tra penetration test e attacchi veri e propri: in caso di equivoco, infatti, un sito potrebbe essere bloccato o eliminato dai sistemi di protezione anti DDoS o di prevenzione delle intrusioni. Questo potrebbe costare al Cloud service provider non solo tempo e risorse preziose ma, data a natura condivisa dell’ambiente Cloud, potrebbe avere anche un impatto negativo su altri utenti.
Penetration test sul cloud: l’importanza della comunicazione nella cyber security
Avvisare prontamente il Cloud service provider che si sta per effettuare un penetration test prima è senza dubbio la soluzione più semplice e banale, ma secondo gli esperti ci sono alcune cose su cui riflettere. Se la comunicazione, infatti, è la chiave affinché tutto si svolga per il meglio occorre tenere a mente che il modo in cui si comunica qualcosa è importante tanto quanto il messaggio stesso che si vuole trasmettere. Il Cloud service provider dovrà essere avvisato in modo tempestivo, chiaro e preciso: la notifica dovrà includere le tempistiche esatte e la portata del test previsto e la prova effettiva non dovrebbe discostarsi da quanto comunicato.
A questo proposito, la maggior parte dei provider come Amazon e Microsoft offre sui propri siti istruzioni e moduli di richiesta di autorizzazione. Google, invece, ha un approccio un po’ diverso: non occorre contattarlo quando si avvia un penetration test sul cloud, purché si aderisca alle relative norme di utilizzo e alle condizioni di servizio.
Limitazioni e responsabilità dei penetration test sul cloud
Gli esperti raccomandano di considerare limitazioni e responsabilità relative ai penetration test sul cloud: la configurazione del sistema di destinazione – IaaS, PaaS o SaaS – determinerà il livello di responsabilità del tester. Ad esempio, ai sistemi IaaS sarà consentito avviare test molto più invadenti ed estesi rispetto a quanto permesso ai sistemi SaaS, a causa della differenza nel livello di responsabilità e del rischio potenziale per i sistemi multi-tenant condivisi. Inoltre, in una configurazione IaaS il sistema operativo di un server di destinazione è gestito dal cliente e a lui dedicato, cosa che non avviene nelle configurazioni SaaS.
Un penetration test potrebbe compromettere il sistema di destinazione e causare un’interruzione anche per altri clienti che utilizzano lo stesso sistema condiviso. Un altro aspetto da considerare quando si pianifica un penetration test all’interno di una piattaforma cloud è se sia necessario o meno il pivoting, una comune tecnica di attacco in cui un sistema viene compromesso per attaccare un altro sistema tramite l’accesso ottenuto. Questo potrebbe, per esempio, aggirare il filtro del firewall o consentire all’hacker di sfruttare un servizio affidabile tra due host o per saltare su un’altra rete tramite un tunnel VPN o interfacce di rete multiple.
Gli esperti sottolineano che il pivoting da un host cloud-based compromesso verso un sistema esterno non Cloud di solito non è consentito dai Cloud service provider. Anche gli attacchi DDoS, di solito, non sono consentiti nei penetration test svolti su piattaforme Cloud: tali tipi di attacchi, infatti, per le loro caratteristiche distribuite sono difficili da distinguere e separare da quelli non autorizzati.
Le tecniche di penetration test nel Cloud
Per condurre le attività di penetrationt testing i diversi Cloud service provider possono sia avere un team interno, sia rivolgersi a terze parti. Microsoft, per esempio, all’interno della sua piattaforma Azure dispone di un team di attacco e di un team di difesa: questo garantisce la sicurezza per la piattaforma stessa, ma i sistemi dei clienti e le applicazioni sono fuori dal campo di applicazione del provider.
Alcuni Cloud service provider offrono ai clienti la possibilità di avvalersi a pagamento del supporto del proprio penetration testing team interno; questo toglie ai clienti molte preoccupazioni relative a pianificazione e comunicazionee riduce anche il numero di limitazioni obbligatorie per i metodi di prova. Molte grandi aziende di sicurezza, inoltre, oggi offrono un servizio specializzato di cloud penetration testing.