La digital transformation e il successo del cloud hanno portato tanti dipartimenti IT aziendali ad avere in produzione una pluralità di tecnologie e di ambienti informatici, solo parzialmente sotto il controllo del dipartimento tecnologie e sempre meno ospitati all’interno di data center di proprietà.
Diventa quindi complicato sia per i direttori IT che per i CSO e i CISO aziendali avere un quadro chiaro del livello di rischio dei propri digital asset, quando molti di questi si trovano in cloud pubblici o hybrid.
Indice degli argomenti
Il problema di SaaS e Shadow IT
La situazione dal punto di vista del rischio informatico, ma anche della compliance normativa (si pensi a PCI-DSS, ISO 2700x), è aggravata dal fatto che in molte aziende sono in uso soluzioni SaaS e applicazioni “Shadow IT” create da altre funzioni aziendali senza il coinvolgimento diretto dell’IT.
Diventa quindi importante per i direttori IT e CSO/CISO avere un quadro chiaro degli asset digitali nella loro interezza, indipendentemente dal fatto che siano sotto il controllo loro o di terze parti.
Un primo modo per avere un quadro completo dei propri asset IT esposti su Internet (si pensi a siti web, app mobile oppure API gestite mediante web services) è quello di fare un inventario mediante tool di on-line security rating.
Questi sistemi/servizi di online risk-scoring consentono di effettuare una misurazione continua dell’efficacia dei controlli di sicurezza. Tali sistemi permettono l’identificazione delle lacune e vulnerabilità informatiche (per esempio certificati scaduti, obsolescenza tecnologica, sistemi web privi di encryption, piattaforme senza patch update) e consentono ai CSO/CISO di predisporre delle azioni di “remediation” per chiudere i gap di sicurezza evidenziati dal report.
I vantaggi dei benchmark
Un’altra utile funzionalità è quella di poter facilmente effettuare il benchmark con aziende dello stesso settore; sapere se si è sopra o sotto la media aiuta a definire una priorità sul proprio piano di “risk mitigation”, investendo prima sulle aree che permettono di “recuperare terreno” più velocemente rispetto ai concorrenti di mercato.
Gli strumenti di risk score on line permettono anche di poter configurare i propri fornitori critici dal punto di vista Cyber Security e di Business Continuity, consentendo quindi di fare non solo un monitoraggio del proprio livello di rischio ma anche di quello dei propri fornitori più importanti.
Accanto a questo strumenti, ne esistono di più specifici dedicati al monitoraggio del mondo dei SaaS o dello sviluppo web in ottica “agile” eseguito direttamente su piattaforme on line.
Sistemi di SaaS Security Posture Management (SSPM) forniscono, per esempio, il monitoraggio continuo automatizzato delle applicazioni Software-as-a-Service (SaaS) basate su cloud come Microsoft 365, Slack, Salesforce. Il loro obiettivo è di ridurre al minimo le configurazioni rischiose e identificare prontamente dei problemi di configurazione che espongono in maniera non voluta dati on line, con conseguente rischio di data breach.
Gli errori dei clienti
La stessa Gartner, parlando di Cloud Security Posture Management (CSPM), afferma che: “Quasi tutti gli attacchi riusciti ai servizi cloud sono il risultato di errori di configurazione dei clienti”; il report prevede inoltre che fino al 2023 almeno il 99% dei fallimenti della sicurezza del Cloud sarà legato a errori effettuati dai clienti.
In effetti gli approcci tradizionali alla sicurezza delle applicazioni (eseguire periodici vulnerability assessment e penetration test) non riescono a tenere il passo con gli ambienti multi-cloud in continua evoluzione e i processi DevSecOps in rapido movimento. I tempi lunghi di scansione infrastrutturale ed applicativa e l’alto numero di “false positive” generati, fanno sì che alcune mis-configurazioni non vengano prontamente rilevate.
Caratteristiche dei CSPM
Le caratteristiche principali, e più diffuse, negli strumenti di CSPM includono la capacità di:
- rilevare e correggere automaticamente le configurazioni errate del cloud;
- mantenere un inventario delle “best practices” per diverse configurazioni e servizi cloud;
- mappare gli stati di configurazione correnti e confrontarlo con un framework di controllo di sicurezza o su uno standard normativo;
- lavorare con piattaforme IaaS, SaaS e PaaS in ambienti “containerizzati”, cloud ibrido e multi-cloud
- monitorare i “bucket” di archiviazione, la crittografia e le autorizzazioni degli account per configurazioni errate e rischi per la conformità.
A differenza dei servizi di risk score e supplier risk management, che lavorando su dati OSINT ed informazioni pubbliche disponibili su web, gli strumenti di CSPM forniscono il massimo di efficacia se integrati con gli ambienti di sviluppo applicativo e spesso richiedono l’installazione di agenti e/o la disponibilità di account privilegianti in ambiente Multi-Cloud (Microsoft Azure, Amazon AWS, Google Cloud Platform).
Per approfondire ulteriormente il tema dello sviluppo di codice sicuro in ambito DevSecOps, suggerisco di leggere l’ottimo l’articolo della collega Valentini pubblicato su questa rivista online.
Dal vulnerability assessment al DevSecOps: come creare un sistema informativo sicuro
Una combinazione efficace di servizi di risk score e di CSPM deve quindi far parte delle strategie di cyber-security di tutte quelle aziende che hanno abbracciato con convinzione la strada della “digital transformation” e del hybrid/multi cloud, così da affiancare ai sistemi di monitoraggio di sicurezza on-premise, un efficace controllo dei rischi Cloud ed avere così una visone omnicomprensiva di rischi e minacce dei propri asset IT.
