Perché le piattaforme cloud sono un obiettivo per gli hacker e come difendersi
Nell’ultimo decennio, l’adozione di ambienti cloud ha conosciuto una crescita esponenziale. Ciò che, in origine, rappresentava un semplice sistema di archiviazione dei dati, è adesso diventata una piattaforma di computing distribuita su larga scala, di fatto determinando un cambiamento radicale nei modelli di condivisione, archiviazione, ottimizzazione e gestione delle informazioni adottati dalle imprese.
Tuttavia, anche gli attaccanti si sono adeguati a questo cambiamento di paradigma, consapevoli che la digital transformation ed il progressivo passaggio a modelli di lavoro ibridi e tecnologie cloud-based sono ormai un fenomeno avviato e inevitabile.
Questa rivoluzione ha da una parte convinto per i servizi cloud estremamente vantaggiosi e dall’altra ha attirato l’interesse degli hacker, che approfittano dell’elevato volume di dati sensibili condiviso tra le organizzazioni e i loro fornitori di servizi cloud. Opportunisti per natura, i cyber criminali in fase di pianificazione di una campagna APT mirano a trarre vantaggio dall’uso di credenziali deboli, configurazioni applicative errate e del “fattore umano”.
Nonostante i crescenti problemi di sicurezza non abbiano rallentato il percorso di adozione del cloud, è fondamentale che le aziende abbiano visibilità delle superfici di attacco delle proprie piattaforme cloud e un piano di contromisure attuabili per metterle in sicurezza.
Il numero degli attacchi cloud è in aumento
Gli attacchi agli ambienti cloud sono aumentati drasticamente negli ultimi anni, anche a causa dalla pandemia COVID-19 che ha spinto le aziende di ogni dimensione e settore ad adattarsi rapidamente a mezzi operativi alternativi.
Secondo Gartner, la pandemia e l’aumento dei servizi digitali hanno reso il cloud il “centro delle nuove esperienze digitali” e il suo fatturato globale ammonterà a 474 miliardi di dollari nel 2022, con un aumento di 66 miliardi di dollari rispetto all’anno precedente. La società di ricerca prevede inoltre che oltre il 95% dei nuovi workload digitali sarà distribuito su piattaforme cloud native, con un aumento del 30% anno su anno.
Le imprese devono pianificare strategie di sicurezza che vadano oltre quelle tradizionali, per poter gestire una superficie di attacco sempre più ampia e i rischi associati ai servizi cloud. Le statistiche che seguono mostrano l’aumento dell’adozione del cloud e quanto questo sia stato oggetto di attacchi negli ultimi anni:
- Il 69% delle imprese ha accelerato la migrazione al cloud negli ultimi 12 mesi. Si prevede che la percentuale delle aziende che gestirà la parte più consistente o l’intera l’infrastruttura IT in cloud aumenterà dal 41% al 63% nei prossimi 18 mesi (Foundry, 2022).
- Il 49% dei professionisti IT ha riferito che gli attacchi cloud-based hanno portato a spese ulteriori non preventivate.
- L’80% dei CISO intervistati da PurpleSec non è stato in grado di identificare la presenza di accessi e permessi di accesso massivo ai dati nei propri ambienti cloud.
- Il 79% delle organizzazioni ha subito almeno una violazione dei dati in cloud negli ultimi 18 mesi. Inoltre, il 43% ha riportato 10 o più violazioni nello stesso arco temporale (Emertic, 2021).
- L’83% delle violazioni in cloud deriva da vulnerabilità legate a politiche di gestione degli accessi inadeguate (CyberTalk.org, 2021).
Comprendere i rischi del cloud
L’utilizzo di servizi cloud espone ad accessi non autorizzati, insider threat e rischi a livello di supply chain. Per un attaccante, le vulnerabilità del cloud sono strumenti utili ad ottenere l’accesso, per esfiltrare i dati dalla rete dell’organizzazione presa di mira, sia tramite interruzioni del servizio, ransomware o trasferimento non autorizzato di informazioni. I gruppi criminali più sofisticati possono adottare anche tecniche di lateral movement, di evasione del rilevamento o di appropriazione indebita di account, al fine di stabilire e mantenere dei punti di appoggio e persistenza all’interno dell’infrastruttura.
I rischi più comuni per la sicurezza del cloud includono:
- Furto e appropriazione di account utente – Sia che le credenziali vengano reperite tramite phishing, brute force o malware, l’assenza di policy di controllo sulla qualità delle password spesso porta alla compromissione di account utenti.
- Configurazioni errate – I cloud service provider offrono diversi livelli di servizio, a seconda delle esigenze del cliente. Questo permette al cloud di scalare con le esigenze operative delle organizzazioni. Tuttavia, molte imprese non dispongono delle misure di protezione necessarie per garantire la sicurezza di questi servizi attraverso l’intero ciclo di sviluppo e implementazione. Gli applicativi mal configurati rappresentano una delle principali cause di compromissione quando si tratta di attacchi basati in cloud.
- API pubbliche vulnerabili – Le API pubbliche consentono agli utenti autorizzati di interagire con i sistemi in cloud; tuttavia, se esposte a vulnerabilità, possono diventare veicolo preferenziale per l’accesso non autorizzato e l’estrazione di dati sensibili dalle piattaforme, nonché una formidabile backdoor per garantire persistenza agli attaccanti.
- Insider Threat – Anche le organizzazioni con un ecosistema IT in salute e a norma, possono essere vittime di un utente legittimo e malintenzionato a far fuoriuscire dati aziendali. Avendo accessi a dati sensibili, possono intervenire anche nei protocolli di sicurezza e disattivarli. Le architetture Zero Trust e soluzioni di Identity & Access Management (IAM) rappresentano un validissimo approccio in grado di mitigare i rischi di insider threat.
- Attacchi Denial-of-Service (DoS) – Progettati per sovraccaricare un sistema e impedirne l’accesso agli utenti, gli attacchi DoS sono particolarmente devastanti per gli ambienti cloud. A fronte di un sempre crescente carico di lavoro, l’infrastruttura fornisce, in maniera orchestrata ed elastica, ulteriore potenza di calcolo, con la conseguente impossibilità, per gli utenti legittimi, di continuare ad accedere ai propri dati e servizi.
- Terze parti – È importante che le imprese valutino i rischi di terze parti quando utilizzano i servizi dei vendor. Le infrastrutture e le piattaforme cloud sono suscettibili di attacchi alla supply chain quando gli attaccanti si infiltrano in una rete attraverso terze parti non protette, che collaborano con l’organizzazione. Il rischio di sicurezza si propaga quando le organizzazioni scelgono di collaborare con vendor che hanno una postura di cybersecurity più permissiva e debole della propria.
Difendere il cloud – L’importanza della “cyber hygiene”
La sicurezza in cloud inizia dalle fondamenta. Gli ambienti cloud richiedono pianificazione, implementazione e strategie di sicurezza a breve e lungo termine, e la predisposizione della cyber hygiene ne è il presupposto fondamentale.
Le organizzazioni che dispongono di processi per la gestione delle password, l’autenticazione a più fattori, la gestione delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d’attacco cui puntare.
Proteggersi alla base con lo Zero Trust e la segmentazione
Essere immuni agli attacchi è impossibile ma adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. Gli hacker causano i danni maggiori quando sono in grado di diffondersi attraverso la rete e raccogliendo progressivamente privilegi più elevati lungo il percorso di attacco. Il principio dell’approccio Zero Trust funziona eliminando la “trust by default“, richiedendo l’autenticazione e la valutazione contestuale della postura di sicurezza di ogni utente e dispositivo, prima che questi possano accedere ai dati in modalità esclusiva, in base al proprio ruolo.
La segmentazione della rete è importante per una corretta implementazione del concetto di Zero Trust: segmentando la rete in micro-contesti autonomi ed indipendenti, consente agli amministratori di controllare e proteggere i flussi di traffico corrispondenti tramite regole granulari, con il beneficio aggiunto di poter individuare più facilmente eventuali problemi tecnici e di migliorare le attività di monitoraggio.
Elaborare una strategia di gestione del cloud
Le infrastrutture e piattaforme cloud sono state progettate per aiutare le aziende a scalare e ad archiviare dati, non per fornire sicurezza. Per molte organizzazioni, i sistemi e applicativi cloud sono gestiti dai team DevOps e CloudOps piuttosto che dal team di sicurezza interno. In organizzazioni frammentate, le misure di sicurezza potrebbero non essere uniformi tra i diversi team e potrebbero causare discrepanze nelle strategie di protezione del cloud. La difesa dell’infrastruttura cloud richiede una strategia integrata e olistica, in cui i dati devono essere raccolti e analizzati da tutte le fonti disponibili, in modo che i team di sicurezza possano analizzarli e interpretarli al meglio.
Semplificare le sfide degli ambienti Multi-Cloud
Molte organizzazioni dispongono di più ambienti cloud per ottimizzare il supporto di un’infrastruttura più ampia, aumentandone però al contempo la complessità ed i costi di gestione. Proteggere gli ambienti multi-cloud significa individuare un modello comune di protezione agnostico rispetto a contesti unici per caratteristiche di deployment, requisiti normativi e politiche di gestione. Gli ambienti multi-cloud diventano più complessi da gestire se sono forniti da vendor diversi, e l’integrazione tra le varie soluzioni cloud può diventare difficile e comportare una perdita del controllo delle configurazioni. Per affrontare queste sfide è necessario considerare il futuro e il presente, procedendo con investimenti tecnologici che potranno integrarsi con quelli di domani. Molte imprese hanno già compreso la necessità di adottare una piattaforma XDR, ma servirà una piattaforma XDR aperta, che integri le soluzioni esistenti e che sia capace di analizzare i dati, ricevere avvisi e gestire in maniera coordinata ed automatica le risposte necessarie.
Conclusioni
L’adozione di infrastrutture e piattaforme cloud based è una componente significativa della trasformazione digitale in corso a livello globale, e ha permesso alle imprese di ridurre i costi, aumentare l’agilità organizzativa e migliorare la scalabilità a lungo termine. Per anticipare gli attaccanti, le imprese devono comprendere appieno le modalità di implementazione e manutenzione dei servizi cloud. La visibilità all’interno del cloud è fondamentale per capire come viene effettuata la condivisione dei file, il tipo dei dati archiviati e la relativa sicurezza, e a quali utenti e applicazioni sono associati.
SentinelOne aiuta le organizzazioni a migliorare la strategia di sicurezza del cloud attraverso una piattaforma unificata che unisce funzionalità di detection e response degli endpoint (EDR), threat hunting autonomo e sicurezza a runtime contro gli agenti di minaccia cloud based, senza compromettere l’agilità, continuità e disponibilità operativa.
Per ulteriori informazioni consultare SentinelOne Singularity Cloud.
A cura di Marco Rottigni
Technical Director di SentinelOne