Durante la pandemia le organizzazioni grandi e piccole hanno forzato il ricorso a servizi cloud non sempre adottando o rafforzando di pari passo le prassi di sicurezza informatica. Comprendere le minacce più significative che gravano potenzialmente sui sistemi e le reti nell’ecosistema cloud è necessario per predisporre le difese correlate in termini preventivi adottando prassi standard di approccio.
Un caso di esempio in questo contesto permette di comprendere alcune esigenze di base e trarre delle lezioni per il futuro.
Indice degli argomenti
Attacchi propri dell’ecosistema cloud
Alcune minacce di sicurezza informatica nel contesto cloud sono legate ai dati in transito da e verso il cloud oppure sono legate alle applicazioni cloud stesse. Le violazioni dei dati e/o e gli usi impropri si verificano quando persone non autorizzate accedono ai sistemi cloud e interferiscono con i dati in essi archiviati.
La causa principale delle violazioni dei dati è l’errore umano. La mancanza di conoscenza o la mancata istruzione del personale su come mantenere i dati al sicuro è spesso motivo di compromissione. Infatti, talvolta oltre agli attaccanti esterni all’organizzazione è anche opportuno considerare gli “insider” ovvero personale interno all’organizzazione che generalmente è dotato di accesso legittimo ai sistemi cloud.
Indipendentemente dal fatto che si verifichino intenzionalmente o in modo dannoso, le minacce causate da “insider” causano dei danni ed è quindi essenziale rilevarli, indagare e rimediare a tali eventi il più rapidamente possibile. Altre casistiche frequenti riguardano:
- sottrazione delle credenziali utente o hijacking degli account: a seconda dell’intento dell’attaccante e del modo in cui utilizza le informazioni a cui riesce ad accede, la violazione di credenziali altrui e il loro uso distorto può avere conseguenze devastanti per l’’azienda specialmente in relazione ad attività di falsificazione o di divulgazione di informazioni sensibili all’esterno dell’organizzazione vittima;
- exploiting delle vulnerabilità di applicazioni e API: le interfacce utente e le API del software sono generalmente responsabili della fornitura, del monitoraggio e della gestione dei servizi cloud. La velocità di produzione di interfacce e l’adozione di API non verificate in termini di sicurezza, ha portato nel tempo un aumento delle vulnerabilità nel codice abilitante. Queste vulnerabilità aprono la strada a violazioni basate su autorizzazioni improprie, password utilizzate in precedenza e accesso anonimo;
- sfruttamento di configurazioni errate: l’errata configurazione è una delle principali cause che apre la strada agli attacchi in cloud. La maggior parte delle aziende che adotta sistemi e/o servizi in cloud non ha esperienza delle impostazioni e configurazioni proprie di questi ambienti e questo li rende vulnerabili;
- negazione del servizio (DoS): In un attacco denial-of-service, un hacker inonda un sistema con più traffico web di quello che può gestire nella “fase di picco”. Ciò si traduce in un blocco totale delle operazioni, con utenti interni e clienti che non possono accedere al sistema, rendendolo incapace di gestire l’attività.
Le minacce di sicurezza sono in continua evoluzione e si raccomanda di non considerare queste liste come esaustive, ma di mantenersi continuamente aggiornati sulle minacce in cloud.
Impostare la sicurezza nell’ambito del cloud
Date le minacce di sicurezza sopracitate si potrebbe pensare che siano sufficienti solo alcune buone prassi base come, ad esempio, il monitoraggio della sicurezza per intervenire nelle prime fasi dell’attacco ed evitare danni gravi, attivare il monitoraggio in orario continuato 24×7 con analisti di sicurezza certificati e strumenti di AI e ML, effettuare il controllo e la risoluzione delle vulnerabilità e proteggere gli account con Multi Factor Autentication.
Anche se queste prassi sono fondamentali la complessità dei sistemi cloud e i modelli di adozione del cloud disponibili (Infrastructure as a Service, Platform as a service e Software as a service), richiedono una valutazione da diversi punti di vista, quattordici per la precisione, come indicato dal National Cyber Security Center del Governo inglese:
- protezione dei dati in transito;
- protezione degli assett in cloud e garanzia della loro resilienza;
- separazione tra utenti;
- quadro di governance complessivo della sicurezza;
- sicurezza operativa;
- sicurezza del personale;
- sviluppo sicuro;
- sicurezza della catena di approvvigionamento;
- gestione sicura degli utenti;
- identità e autenticazione;
- protezione dell’interfaccia esterna;
- amministrazione sicura del servizio;
- informazioni di audit per gli utenti;
- utilizzo sicuro del servizio.
Per approfondire alcune o tutte delle sopraccitate prassi di sicurezza si rimanda alla spiegazione estesa di ciascuno dei quattordici principi di sicurezza contenuta nel “Cloud security guidance” del National Cyber Security Center” e al “Cloud Security best Practices” pubblicato dal Ministero indiano per l’elettronica e l’IT.
Come ultima prassi è sempre fondamentale fornire una formazione accurata sulla protezione dei dati ai dipendenti, poiché proprio le persone con i loro comportamenti virtuosi e accorti possono ridurre significativamente i rischi potenziali di eventi ed incidenti di sicurezza informatica
Per verificare la propria situazione e valutare lo stato dei controlli di sicurezza si consiglia di utilizzare il CSA Cloud Controls Matrix (CCM) un framework di controllo della sicurezza informatica per il cloud computing, composto da 197 obiettivi di controllo strutturati in 17 domini che coprono tutti gli aspetti chiave della tecnologia cloud. Il framework può essere utilizzato come strumento per la valutazione sistematica di un’implementazione cloud e fornisce una guida su quali controlli di sicurezza dovrebbero essere implementati da quale attore all’interno della catena di approvvigionamento del cloud.
Il framework dei controlli è allineato alla CSA Security Guidance for Cloud Computing ed è considerato uno standard de facto per la garanzia e la conformità della sicurezza del cloud.
Progettualità in ambito cloud: un case di esempio
Analizzare un caso progettuale reale può aiutare a comprendere meglio quanto problematiche e soluzioni di sicurezza possano essere applicabili a tutte le PMI anche se operanti in settori diversi. Il caso analizzato è relativo a un’azienda del Padovano che progetta soluzioni cloud dedicate alle imprese per rendere più efficiente la gestione e la distribuzione dei contenuti digitali.
Beneficiare dell’esempio significa evitare di prendere coscienza delle tematiche di sicurezza informatica solo a valle di un evento incidente ed aprirsi alla eventualità di considerare l’outsourcing come una opzione possibile di servizio gestito nella sicurezza informatica. Andrea Toneguzzi di Brainwise spiega che “il case progettuale di cloud security affrontato, era legato agli obiettivi di aumentare il livello di sicurezza di applicazione e dati in cloud, di semplificare la gestione del monitoraggio di sicurezza e di migliorare la capacità d’individuare e risolvere le vulnerabilità negli ambienti in cloud“.
“Il cliente aveva anche l’esigenza di garantire migliore continuità di servizio e sicurezza dei dati per i propri clienti coniugando velocità di intervento (aveva SLA molto stringenti) e mantenendo una alta collaborazione fra gli analisti. Attraverso la partnership con Secureworks per la gestione del rilevamento e della risposta agli allarmi critici relativi alle reti, abbiamo proposto e attivato, un servizio di Security Operation Center (SOC) in modalità managed per erogare servizi di eXtended Detection & Response (XDR) con operatività 24x7x365. Il perimetro delle attività di monitoraggio ha ricompreso tutti gli ambienti: area cloud application, porzione dell’infrastruttura on-premise, endpoint degli utenti sviluppatori, compresi i servizi di collaboration cloud Office365, per garantire la supervisione di tutto il perimetro ove possono risiedere informazioni o elementi di rischio. Gli strumenti utilizzati in questa progettualità sfruttano motori di intelligenza artificiale e machine learning per evidenziare le minacce anche se sono in una fase di attacco iniziale, ignorando i falsi positivi e sviluppando l’analisi comportamentale e contestuale”.
“I framework di riferimento utilizzati sono stati NIST, CIS20 e MITRE ATT&CK. Il cliente ne ha tratto dei vantaggi: protezione della continuità di business, riduzione dei tempi di discovery e remediation, riduzione dei falsi positivi, riduzione del tempo impiegato nella gestione degli strumenti di sicurezza, accelerazione dei processi di vulnerability mitigation, riduzione dei costi di gestione della security”.
Quale lezione impariamo
L’impostazione alla sicurezza dovrebbe cambiare anche in ambito PMI, con una maggiore consapevolezza in relazione a come la sicurezza informatica consente di abilitare e mantenere l’operatività del business della propria organizzazione. Infatti, gli interventi di sicurezza informatica gestiti reattivamente solo dopo un incidente apportano impatti e danni economici molto significativi.
Andrea Toneguzzi, in questo contesto, specifica che “le PMI italiane hanno le stesse complessità delle grandi aziende e spesso sono delle piccole multinazionali che hanno bisogno di servizi di sicurezza non artigianali ed improvvisati, ma di livello enterprise pur se rispettosi dei budget a disposizione. Il servizio deve prevenire gli attacchi perché è importante proteggere sia la continuità del business che nell’era digitale dipende fortemente dall’IT, sia la reputazione che può essere compromessa notevolmente in caso d’attacco. La consapevolezza e la volontà di intervento sono fondamentali in questo periodo in cui gli attacchi puntano anche alle PMI ed il giro d’affari criminale è cresciuto di sei volte nel corso dell’ultimo anno”.
Sfide per la sicurezza dei dati cloud
Il 48% dei CISO segnala che la pressione aziendale per una rapida digitalizzazione, trasformazione e crescita li distrae dalla sicurezza dei dati.
Le prime tre sfide che le organizzazioni hanno dichiarato di dover superare sono i team IT con personale ridotto (52%), la mancanza di budget (47%) e la mancanza di esperienza nella sicurezza cloud (44%).
Contributo editoriale sviluppato in collaborazione con Brainwise