Nell’ultimo decennio, l’adozione di ambienti cloud ha conosciuto una crescita esponenziale. Ciò che, in origine, rappresentava un semplice sistema di archiviazione dei dati, è adesso diventata una piattaforma di computing distribuita su larga scala, di fatto determinando un cambiamento radicale nei modelli di condivisione, archiviazione, ottimizzazione e gestione delle informazioni adottati dalle imprese.
Tuttavia, anche gli attaccanti si sono adeguati a questo cambiamento di paradigma, consapevoli che la digital transformation ed il progressivo passaggio a modelli di lavoro ibridi e tecnologie cloud-based sono ormai un fenomeno avviato e inevitabile.
Questa rivoluzione ha da una parte convinto per i servizi cloud estremamente vantaggiosi e dall’altra ha attirato l’interesse degli hacker, che approfittano dell’elevato volume di dati sensibili condiviso tra le organizzazioni e i loro fornitori di servizi cloud. Opportunisti per natura, i cyber criminali in fase di pianificazione di una campagna APT mirano a trarre vantaggio dall’uso di credenziali deboli, configurazioni applicative errate e del “fattore umano”.
Nonostante i crescenti problemi di sicurezza non abbiano rallentato il percorso di adozione del cloud, è fondamentale che le aziende abbiano visibilità delle superfici di attacco delle proprie piattaforme cloud e un piano di contromisure attuabili per metterle in sicurezza.
Gli attacchi agli ambienti cloud sono aumentati drasticamente negli ultimi anni, anche a causa dalla pandemia COVID-19 che ha spinto le aziende di ogni dimensione e settore ad adattarsi rapidamente a mezzi operativi alternativi.
Secondo Gartner, la pandemia e l’aumento dei servizi digitali hanno reso il cloud il “centro delle nuove esperienze digitali” e il suo fatturato globale ammonterà a 474 miliardi di dollari nel 2022, con un aumento di 66 miliardi di dollari rispetto all’anno precedente. La società di ricerca prevede inoltre che oltre il 95% dei nuovi workload digitali sarà distribuito su piattaforme cloud native, con un aumento del 30% anno su anno.
Le imprese devono pianificare strategie di sicurezza che vadano oltre quelle tradizionali, per poter gestire una superficie di attacco sempre più ampia e i rischi associati ai servizi cloud. Le statistiche che seguono mostrano l’aumento dell’adozione del cloud e quanto questo sia stato oggetto di attacchi negli ultimi anni:
L’utilizzo di servizi cloud espone ad accessi non autorizzati, insider threat e rischi a livello di supply chain. Per un attaccante, le vulnerabilità del cloud sono strumenti utili ad ottenere l’accesso, per esfiltrare i dati dalla rete dell’organizzazione presa di mira, sia tramite interruzioni del servizio, ransomware o trasferimento non autorizzato di informazioni. I gruppi criminali più sofisticati possono adottare anche tecniche di lateral movement, di evasione del rilevamento o di appropriazione indebita di account, al fine di stabilire e mantenere dei punti di appoggio e persistenza all’interno dell’infrastruttura.
I rischi più comuni per la sicurezza del cloud includono:
La sicurezza in cloud inizia dalle fondamenta. Gli ambienti cloud richiedono pianificazione, implementazione e strategie di sicurezza a breve e lungo termine, e la predisposizione della cyber hygiene ne è il presupposto fondamentale.
Le organizzazioni che dispongono di processi per la gestione delle password, l’autenticazione a più fattori, la gestione delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d’attacco cui puntare.
Essere immuni agli attacchi è impossibile ma adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. Gli hacker causano i danni maggiori quando sono in grado di diffondersi attraverso la rete e raccogliendo progressivamente privilegi più elevati lungo il percorso di attacco. Il principio dell’approccio Zero Trust funziona eliminando la “trust by default“, richiedendo l’autenticazione e la valutazione contestuale della postura di sicurezza di ogni utente e dispositivo, prima che questi possano accedere ai dati in modalità esclusiva, in base al proprio ruolo.
La segmentazione della rete è importante per una corretta implementazione del concetto di Zero Trust: segmentando la rete in micro-contesti autonomi ed indipendenti, consente agli amministratori di controllare e proteggere i flussi di traffico corrispondenti tramite regole granulari, con il beneficio aggiunto di poter individuare più facilmente eventuali problemi tecnici e di migliorare le attività di monitoraggio.
Le infrastrutture e piattaforme cloud sono state progettate per aiutare le aziende a scalare e ad archiviare dati, non per fornire sicurezza. Per molte organizzazioni, i sistemi e applicativi cloud sono gestiti dai team DevOps e CloudOps piuttosto che dal team di sicurezza interno. In organizzazioni frammentate, le misure di sicurezza potrebbero non essere uniformi tra i diversi team e potrebbero causare discrepanze nelle strategie di protezione del cloud. La difesa dell’infrastruttura cloud richiede una strategia integrata e olistica, in cui i dati devono essere raccolti e analizzati da tutte le fonti disponibili, in modo che i team di sicurezza possano analizzarli e interpretarli al meglio.
Molte organizzazioni dispongono di più ambienti cloud per ottimizzare il supporto di un’infrastruttura più ampia, aumentandone però al contempo la complessità ed i costi di gestione. Proteggere gli ambienti multi-cloud significa individuare un modello comune di protezione agnostico rispetto a contesti unici per caratteristiche di deployment, requisiti normativi e politiche di gestione. Gli ambienti multi-cloud diventano più complessi da gestire se sono forniti da vendor diversi, e l’integrazione tra le varie soluzioni cloud può diventare difficile e comportare una perdita del controllo delle configurazioni. Per affrontare queste sfide è necessario considerare il futuro e il presente, procedendo con investimenti tecnologici che potranno integrarsi con quelli di domani. Molte imprese hanno già compreso la necessità di adottare una piattaforma XDR, ma servirà una piattaforma XDR aperta, che integri le soluzioni esistenti e che sia capace di analizzare i dati, ricevere avvisi e gestire in maniera coordinata ed automatica le risposte necessarie.
L’adozione di infrastrutture e piattaforme cloud based è una componente significativa della trasformazione digitale in corso a livello globale, e ha permesso alle imprese di ridurre i costi, aumentare l’agilità organizzativa e migliorare la scalabilità a lungo termine. Per anticipare gli attaccanti, le imprese devono comprendere appieno le modalità di implementazione e manutenzione dei servizi cloud. La visibilità all’interno del cloud è fondamentale per capire come viene effettuata la condivisione dei file, il tipo dei dati archiviati e la relativa sicurezza, e a quali utenti e applicazioni sono associati.
SentinelOne aiuta le organizzazioni a migliorare la strategia di sicurezza del cloud attraverso una piattaforma unificata che unisce funzionalità di detection e response degli endpoint (EDR), threat hunting autonomo e sicurezza a runtime contro gli agenti di minaccia cloud based, senza compromettere l’agilità, continuità e disponibilità operativa.
Per ulteriori informazioni consultare SentinelOne Singularity Cloud.
A cura di Marco Rottigni
Arrestato a Parigi il CEO di Telegram: cosa significa in termini di responsabilità delle piattaforme…
Introduzione In un contesto in cui la digitalizzazione sta crescendo costantemente, è importante sapere come…
Casi come Cellebrite Ufed v. Signal pongono in luce come la cybersecurity sia un fattore…
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…