Autore: Redazione SecurityOpenLab
L'emergenza sanitaria ha accelerato il passaggio delle aziende al cloud. Le infrastrutture cloud tuttavia non sono un porto sicuro: devono essere protette. Quali sono gli errori che possono compromettere la sicurezza dei dati, tenendo conto che nella maggior parte dei casi le aziende gestiscono infrastrutture ibride?
Con la necessaria affermazione dello smart working, abbiamo assistito ad una corsa verso il rinnovamento e adeguamento dei sistemi aziendali, che ha comportato anche un incremento della migrazione verso soluzioni e servizi in cloud. Da una parte, questi sono più convenienti, dall’altra, tuttavia, mettono in luce nuove criticità nella gestione della sicurezza dei dati. Prima di tutto, bisogna essere consapevoli del diverso approccio alla responsabilità della protezione delle informazioni.
Spesso, infatti, le organizzazioni credono che i cloud service provider siano responsabili di tutti gli aspetti della sicurezza del cloud. Ma non è così. Dobbiamo parlare, infatti, di modello di responsabilità condivisa, ovvero, per farla semplice, tutti i contenuti caricati sul cloud sono di responsabilità dell’organizzazione fruitrice del servizio. Il provider invece, ha la responsabilità della sicurezza della piattaforma. I CIO e il team IT quindi devono avere una chiara visione della propria posizione e livello di rischio rispetto alla sicurezza del cloud, oltre ad essere aggiornati sul panorama delle minacce, per essere in grado di definire una strategia efficace. Tutto parte sempre da qui.
Con l’avvento dei servizi in cloud, il perimetro non è più così definito e l’IT non ha più piena visibilità sugli eventi che si svolgono sulla rete. Ad esempio, se un dipendente viene ingannato da una truffa di phishing e scarica un file infetto da malware o visita un sito web malevolo che infetta il suo dispositivo, l’IT spesso non sa che ciò è avvenuto fino alla fine dell’evento. Come fare? Alla base di qualsiasi strategia di cyber security si colloca sempre, come dicevamo, la conoscenza del contesto interno ed esterno.
Tra le principali minacce relative ai servizi cloud troviamo l’hijacking dell’account o delle credenziali, la configurazione errata dei servizi, attacchi DoS, esfiltrazione di dati sensibili, errori dell’utente, abuso dei privilegi degli utenti, oltre agli immancabili malware e ransomware. Se un servizio cloud è configurato in modo errato, per esempio, un utente malintenzionato può utilizzarlo per ottenere l’accesso alle risorse. Una volta che sono dentro, gli attaccanti possono quindi cercare i punti deboli che consentiranno loro di espandere il loro accesso, trovare i dati sensibili ed esfiltrarli. Inoltre, il 94% del malware viene ancora distribuito via email.
Oggi, l'accesso all'account email di un utente spesso consente di accedere a una vasta gamma di servizi disponibili e questo significa che agli attaccanti può essere sufficiente impadronirsi di un unico set di credenziali per ottenere un effetto a cascata sull’intera organizzazione. Gli attacchi sono diventati più sofisticati e mirati, sfruttando le tecniche di social engineering per portare avanti una campagna di phishing. In passato, il recapito di codici binari malevoli avveniva principalmente con file .exe, Java e Flash allegati direttamente ai messaggi email per indurre gli utenti ad aprire gli eseguibili. I controlli preventivi sono diventati più sofisticati, per cui gli attaccanti hanno dovuto modificare le loro tattiche, tecniche e procedure d'attacco. Oggi è molto più probabile che il malware venga distribuito attraverso URL o documenti aziendali allegati meno sospetti che vengono comunemente inviati nei normali scambi di email o tramite altre applicazioni. Basta un’azione sbagliata in risposta a questa email e il gioco è fatto.
Quali sono le tecnologie e le opzioni migliori per la protezione e la corretta configurazione dei dati in cloud?
Considerata la gamma di minacce e la loro crescente portata, abbiamo identificato quattro aspetti fondamentali da tenere presenti per proteggere l’ambiente cloud, che riguardano la gestione dell’accesso ai dati sensibili, la gestione della configurazione dei servizi cloud, l’utilizzo degli strumenti di sicurezza nativi delle applicazioni cloud e la scansione del contenuto caricato in cloud.
Gestione dell’accesso: il modo migliore per proteggersi da una minaccia interna è semplicemente assicurarsi che nessun membro interno sia in grado di diventare una minaccia. Come? Gestendo i diritti di accesso di un dipendente, ad esempio in base a ruolo, tipo di contenuto o metodo di accesso, è possibile creare una serie di policy che possono essere gestite in modo efficace. Se un dipendente può accedere solo ai contenuti necessari per svolgere il proprio lavoro, il rischio di un attacco dall’interno è notevolmente ridotto. Assicurarsi di utilizzare gli strumenti di controllo degli accessi offerti dal fornitore di servizi cloud e di limitare le autorizzazioni il più strettamente possibile migliorerà ulteriormente la posizione di sicurezza dell’azienda. La gestione degli accessi include procedure di autenticazione a più fattori. Più è difficile per un utente malintenzionato falsificare un’identità, meno è probabile che l’attacco buchi il sistema.
Gestione della configurazione: errori nella configurazione dei servizi cloud possono esporre a una violazione. Pertanto, assicurarsi che i servizi cloud siano configurati correttamente è una delle difese più importanti che sia possibile implementare. La configurazione manuale aumenta le possibilità che si verifichi questo tipo di errore. L’uso di strumenti di gestione della configurazione predefiniti può aiutare regolando automaticamente le impostazioni quando necessario. Suggeriamo di utilizzare le impostazioni di configurazione consigliate dal fornitore di servizi cloud.
Uso di strumenti di sicurezza nativi: i cloud service provider offrono strumenti di logging che tengono traccia dei dettagli su chi ha avuto accesso al servizio e potrebbero essere preziosi in caso di attacco. Questi dettagli includono informazioni come l’indirizzo IP di ogni chiamante API e l’ora della chiamata. Sfortunatamente, alcune organizzazioni non comprendono il vantaggio di utilizzare questi strumenti, riducendo così la propria visibilità sugli eventi e di conseguenza la propria capacità di rispondere a una violazione nel modo più efficiente. Un altro meccanismo di difesa chiave consigliato è la crittografia dei dati. Se i dati archiviati nel cloud non sono crittografati, chiunque riesca ad accedere a tali dati ha libero accesso ad essi. Se invece i dati sono crittografati, un attaccante che riesce ad accedere non avrà nulla da poter utilizzare.
Verifica del contenuto caricato dagli utenti: il monitoraggio del contenuto caricato negli ambienti cloud è estremamente importante. Se uno degli account di un dipendente viene compromesso e utilizzato per condividere un file malevolo che viene distribuito all’intera organizzazione, le conseguenze possono essere devastanti. È necessario adottare una tecnologia in grado di analizzare tutti gli URL e i file caricati e scaricati dal tuo ambiente cloud e di rilevare qualsiasi elemento minaccioso o addirittura solo sospetto. Ciò aggiunge un ulteriore livello di sicurezza in aggiunta alle altre soluzioni di protezione degli endpoint. Sfortunatamente, questo tipo di funzionalità spesso non è incluso nella maggior parte delle versioni base del software cloud, o talvolta non lo è affatto. Per aiutare i nostri clienti a proteggere i loro ambienti cloud, abbiamo creato due soluzioni, ovvero F-Secure Cloud Protection for Salesforce e F-Secure Cloud Protection for Microsoft Office 365.
La prima, progettata in collaborazione con Salesforce, sfrutta real-time threat intelligence, funzionalità avanzate di antivirus e smart cloud sandboxing per verificare la sicurezza di file e link condivisi, senza impattare sulle performance della piattaforma. La seconda, invece, integra le funzionalità native di sicurezza dell’email di Office 365, garantendo una protezione multilivello completa contro gli attacchi mirati più sofisticati, phishing e contenuti malevoli.