La complessità del cloud e l’implementazione frettolosa hanno aperto varchi nelle infrastrutture aziendali. Il punto della situazione.
Autore: Massimiliano Galvagna
Negli ultimi anni, le aziende e i responsabili della sicurezza si sono concentrati su come gestire e proteggere al meglio l’infrastruttura cloud, nel bel mezzo di un’ondata di cambiamenti legati all’evoluzione e all’aumento degli attacchi informatici ai danni delle aziende.
Secondo l’ultimo rapporto del Clusit, nel 2021 in Italia si è osservata una crescita continua di malware e botnet, con un numero di server compromessi aumentato del 58% rispetto all’anno precedente. La ricerca di Vectra ha rilevato che il 64% dei responsabili IT italiani ritiene possibile o probabile che la propria organizzazione abbia subito una violazione senza che questa sia stata rilevata, il 62% ha subìto un incidente di sicurezza significativo che ha richiesto un intervento di risposta e il 40% ammette di non riuscire a rilevare le moderne minacce informatiche.
Il ransomware rimane tra i principali argomenti di discussione tra i professionisti della sicurezza informatica. Altro tema ricorrente è quello degli attacchi alla supply chain, che chiamano in causa sia i prodotti tradizionali on-premise sia i servizi forniti tramite cloud. La migrazione verso il cloud e il SaaS e l’incapacità di reperire talenti esperti in grado di comprendere le implicazioni di sicurezza del cloud sono anch’esse questioni collegate.
Esiste una tensione tra le aziende che vogliono diventare agili con l'adozione del cloud e i team di sicurezza che cercano di ottenere visibilità e implementare la sicurezza in questi ambienti. In un mondo perfetto, questa tensione si risolverebbe in modo equilibrato, ma spesso l'imperativo aziendale di lanciare rapidamente nuovi servizi supera la capacità delle organizzazioni di farlo in modo sicuro.
Non molto tempo fa, le reti on-premise erano aperte agli aggressori e i professionisti della sicurezza si sono concentrati su questo aspetto. Ora il traffico dei dipendenti riguarda prevalentemente le applicazioni via Internet e ciò significa che occorre esaminare i log delle piattaforme cloud come Amazon Web Services (AWS), Azure e Google Cloud Platform (GCP), i sistemi di identità cloud come Azure AD e Okta e le applicazioni di collaborazione come Microsoft 365 e Google Workspace.
La pandemia ha spinto le aziende a passare a configurazioni multi-cloud o ibride, non per questioni strategiche ma per necessità impellente. Di conseguenza, servizi come Microsoft 365 e le piattaforme di e-commerce sono stati implementati rapidamente, senza considerare l’impatto sull’infrastruttura o sulla sicurezza. Inoltre, diverse unità aziendali o dipartimenti si sono spesso evoluti in direzioni diverse, aggiungendo livelli di complessità. Ora ci troviamo alla resa dei conti: dobbiamo capire qual è la realtà della situazione e come risolverla.
Il passaggio al cloud ha offerto ai criminali informatici dei varchi su cui fare leva per trovare un punto di accesso alla rete e gli attaccanti stanno iniziando a trarne il massimo vantaggio. Se un criminale informatico vuole criptare i dati di un'azienda on premise, deve passare attraverso il laborioso esercizio di connettersi a un server, estrarre tutti i dati attraverso la rete, crittografarli e riscriverli sul server, per poi cancellare la copia originale.
Per avere successo, gli autori di un attacco ransomware cercano, quindi, di agganciare il maggior numero di posti possibili e di crittografare il più possibile. Nel cloud, invece, possono sfruttare la crittografia lato server fornita dalle piattaforme cloud, potendo crittografare i dati in modo molto più rapido e senza dover ricorrere a operazioni pesanti.
Massimiliano Galvagna è Country Manager per l’Italia di Vectra AI