I motivi del moltiplicarsi degli attacchi cyber contro le piattaforme cloud, e soprattutto alcuni suggerimenti per abbassare la soglia di rischio.
Autore: Redazione SecurityOpenLab
Secondo Gartner, la pandemia e l'aumento dei servizi digitali hanno reso il cloud il "centro delle nuove esperienze digitali" e il suo fatturato globale ammonterà a 474 miliardi di dollari nel 2022, con un aumento di 66 miliardi di dollari rispetto all’anno precedente. La società di ricerca prevede inoltre che oltre il 95% dei nuovi workload digitali sarà distribuito su piattaforme cloud native, con un aumento del 30% anno su anno.
Vantaggi che tutti conoscono e apprezzano, ma che non sono passati inosservati ai cybercriminali, che studiano di continuo modi nuovi e sempre più efficienti e per approfittare dell'elevato volume di dati sensibili condiviso tra le organizzazioni e i loro fornitori di servizi cloud. Credenziali deboli, configurazioni errate e “fattore umano” sono i tre filoni principali a cui gli attaccanti sono ricorsi, con un successo sempre crescente.
I dati delle più quotate ricerche di mercato confermano questo trend: il 49% dei professionisti IT ha riferito che gli attacchi cloud-based hanno portato a spese ulteriori non preventivate. Secondo una ricerca PurpleSec l'80% dei CISO non è stato in grado di identificare la presenza di accessi e permessi di accesso massivo ai dati nei propri ambienti cloud. Emertic ha calcolato che il 79% delle organizzazioni ha subito almeno una violazione dei dati in cloud negli ultimi 18 mesi. Inoltre, il 43% ha riportato 10 o più violazioni nello stesso arco temporale. Non ultimo, CyberTalk.org stima che l'83% delle violazioni cloud derivi da vulnerabilità legate a policy inadeguate di gestione degli accessi.
I numeri riportati sopra sono il chiaro segnale che le imprese devono pianificare strategie di sicurezza che vadano oltre quelle tradizionali, per poter gestire una superficie di attacco sempre più ampia e i rischi associati ai servizi cloud.
L'utilizzo di servizi cloud espone ad accessi non autorizzati, insider threat e rischi a livello di supply chain. Per un attaccante, le vulnerabilità del cloud sono strumenti utili ad ottenere l'accesso, per esfiltrare i dati dalla rete dell'organizzazione presa di mira, sia tramite interruzioni del servizio, ransomware o trasferimento non autorizzato di informazioni. I gruppi criminali più sofisticati possono adottare anche tecniche di lateral movement, di evasione del rilevamento o di appropriazione indebita di account, al fine di stabilire e mantenere dei punti di appoggio e persistenza all’interno dell’infrastruttura.
Marco Rottigni,Technical Director di SentinelOne, evidenzia i rischi più comuni per la sicurezza del cloud:
La sicurezza in cloud inizia dalle fondamenta. Gli ambienti cloud richiedono pianificazione, implementazione e strategie di sicurezza a breve e lungo termine, e la predisposizione della cyber hygiene ne è il presupposto fondamentale. Le organizzazioni che dispongono di processi per la gestione delle password, l'autenticazione a più fattori, la gestione delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d'attacco cui puntare.
Essere immuni agli attacchi è impossibile, ma adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. La segmentazione della rete è importante per una corretta implementazione del concetto di Zero Trust: segmentando la rete in micro-contesti autonomi ed indipendenti, consente agli amministratori di controllare e proteggere i flussi di traffico corrispondenti tramite regole granulari, con il beneficio aggiunto di poter individuare più facilmente eventuali problemi tecnici e di migliorare le attività di monitoraggio.
È inoltre indispensabile dare in gestione i sistemi e applicativi cloud al team di sicurezza interno anziché ai team DevOps e CloudOps, per uniformare le misure di sicurezza ed evitare discrepanze nelle strategie di protezione del cloud.
Ultimo e importante consiglio è semplificare le sfide degli ambienti multicloud individuando un modello comune di protezione agnostico rispetto a contesti unici per caratteristiche di deployment, requisiti normativi e politiche di gestione. Gli ambienti multicloud diventano più complessi da gestire se sono forniti da vendor diversi, e l’integrazione tra le varie soluzioni cloud può diventare difficile e comportare una perdita del controllo delle configurazioni. Per questo molte imprese hanno già compreso la necessità di adottare una piattaforma XDR, ma servirà una piattaforma XDR aperta, che integri le soluzioni esistenti e che sia capace di analizzare i dati, ricevere avvisi e gestire in maniera coordinata ed automatica le risposte necessarie.