La gestione della postura di sicurezza dei dati (Data Security Posture Management, DSPM) fornisce visibilità sui dati, in particolare su dove si trovano i dati sensibili, chi vi ha accesso, come vengono utilizzati e dove potrebbero essere esposti. Sebbene non sia un concetto nuovo, DSPM è diventato sempre più popolare grazie al passaggio di molte organizzazioni al cloud e alle complessità legate alla protezione dei dati che ne derivano.
Se da un lato il cloud aiuta le organizzazioni a collaborare, dall’altro presenta anche sfide uniche per la sicurezza dei dati: molteplici impostazioni di autorizzazione, dati sensibili sovra condivisi, account vulnerabili e obsoleti e impostazioni configurate in modo errato ampliano il raggio d’azione di un potenziale attacco.
Per valutare il reale stato della sicurezza dei dati negli ambienti cloud ibridi, Varonis ha analizzato 15 miliardi di file e più di un miliardo di cartelle, esaminando 180.000 account di oltre 300 organizzazioni, da cui sono emersi quattro risultati chiave:
- Quasi il 50% dei file condivisi con tutti gli utenti contengono informazioni sensibili: gli autori delle minacce potrebbero quindi accedere alle informazioni sensibili compromettendo un solo account.
- Il 35% degli account obsoleti ha ancora autorizzazioni attive. Questi utenti fantasma infestano le reti, offrendo agli attaccanti un via per accedere all’interno delle aziende.
- Quasi un terzo delle autorizzazioni per i dati sensibili sono obsolete. I dipendenti hanno un accesso molto maggiore di quello di cui hanno realmente bisogno per svolgere il loro lavoro.
- In media, il 60% degli account amministratore non ha l’autenticazione a più fattori (MFA) abilitata. Gli account amministratore senza MFA sono bersagli preziosi per gli attaccanti.
Indice degli argomenti
Blast radius in espansione
L’opzione “fai clic per condividere” (click to share) è una delle funzionalità tecnologiche più utili per le aziende, utilizzata sia nei social media che nelle vendite e per ottimizzare alcune attività sul posto di lavoro. Tuttavia, questa comoda funzionalità crea un problema di sicurezza a causa della condivisione eccessiva delle informazioni, creando un blast radius enorme e crescente che indebolisce la postura di sicurezza dei dati.
Quando gli utenti hanno accesso a file, e in particolare a file sensibili di cui non hanno bisogno, si aprono vie di accesso ai dati che gli attaccanti possono sfruttare. Nell’organizzazione media, basterebbe compromettere un utente perché l’attaccante abbia un’alta probabilità di trovare dati sensibili nei file che sono stati condivisi con l’utente compromesso.
Il modo migliore per ridurre i rischi derivanti dalla condivisione eccessiva dei collegamenti è limitare l’accesso solo a coloro che ne hanno veramente bisogno. Avere visibilità delle attività aiuta anche a identificare dati non aggiornati o accessi che potrebbero involontariamente espandere ulteriormente il raggio di violazione.
Utenti fantasma: un rischio nascosto che minaccia i dati
Gli utenti fantasma sono account che appartengono a dipendenti o fornitori che non fanno più parte dell’organizzazione. Quando i vecchi account mantengono l’accesso alle risorse aziendali, si crea un rischio inutile e aumenta la probabilità che gli autori delle minacce accedano ai sistemi aziendali.
I vecchi account sono più facili da compromettere perché di solito non sono monitorati, offrendo agli attaccanti maggiori opportunità di violare le credenziali.
Gli utenti fantasma con accesso ad applicazioni e dati consentono agli attaccanti di tentare silenziosamente un attacco brute force senza far scattare gli allarmi.
In questo scenario, l’igiene informatica di routine, come la disabilitazione degli account utente immediatamente dopo che dipendenti e consulenti lasciano l’organizzazione, riduce drasticamente il rischio informatico di un’azienda. È chiaro quindi quanto sia importante configurare e applicare processi per l’offboarding degli utenti.
La crescente adozione di applicazioni e servizi SaaS aumenta le probabilità di utenti fantasma. Occorre quindi revocare anche le autorizzazioni sui servizi cloud ogni volta che dipendenti o collaboratori lasciano l’azienda.
I problemi dei dati obsoleti e dell’accesso obsoleto
Sia gli individui che i team creano costantemente nuove informazioni e le condividono ampiamente. Sfortunatamente, la mancata eliminazione e archiviazione dei dati e la mancata rimozione dell’accesso al termine di un progetto aumentano la probabilità di una violazione. Anche lo spostamento dei dati obsoleti in una soluzione di archiviazione a lungo termine, anziché la loro eliminazione, può ridurre significativamente i rischi e i costi associati.
Un accesso obsoleto appesantisce la postura di sicurezza informatica di un’azienda, fornendo allo stesso tempo un elemento a basso costo per gli autori delle minacce. Negli ultimi anni numerose violazioni di dati di alto profilo hanno coinvolto attaccanti che hanno abusato delle autorizzazioni obsolete di un’azienda.
Il privilegio minimo automatizzato può ridurre e rimuovere i privilegi obsoleti, impedendo agli account compromessi di fornire agli autori delle minacce un facile accesso ai dati sensibili.
Account amministrativi non protetti
Gli account privi di controlli di sicurezza di base come l’MFA, inclusi gli account amministratore, sono più facili da violare. Gli attaccanti possono violare le applicazioni SaaS e rubare dati esposti internamente. L’MFA aggiunge un ulteriore livello di sicurezza agli account utente, rendendo molto più difficile l’accesso per gli attaccanti, anche se sono in possesso della password.
Senza l’attivazione dell’MFA, gli attaccanti hanno un percorso semplice per compromettere un’organizzazione.
Gruppi di criminali informatici come EvilProxy, LAPSUS$ e altri spesso utilizzano credenziali rubate per accedere alle reti delle vittime. Secondo uno studio di Zippia, l’MFA può aiutare a prevenire il 99% degli attacchi informatici automatizzati e fino al 76% degli attacchi informatici mirati.
È importante quindi abilitare l’MFA nelle applicazioni e nei servizi cloud in uso in azienda, in particolare negli account di servizio/amministrativi.
Occorre anche rendere obbligatoria l’MFA e non offrire agli utenti la possibilità di disattivarla. Questo semplice passaggio è fondamentale, ma spesso trascurato; troppe organizzazioni consentono l’autenticazione a fattore singolo sui servizi connessi a Internet.
Migliorare il livello di sicurezza dei dati
Le organizzazioni stanno lasciando sul tavolo la possibilità di applicare un forte approccio alla sicurezza dei dati non automatizzando o incorporando i processi aziendali e le migliori pratiche di sicurezza informatica.
Le minacce elencate in questo report non sono vulnerabilità complicate, sono tutte sotto il controllo di un’organizzazione.
Affidarsi a Varonis, il DSPM numero 1 secondo Gartner Peer Insights, può aiutare poiché è l’unica soluzione che risolve automaticamente i rischi, applica policy e rileva le minacce in tempo reale.
Contributo editoriale sviluppato in collaborazione con Varonis
