Dimenticate gli aggressori oscuri che distribuiscono exploit zero-day su misura da lontano. Un rischio molto più concreto per le aziende che si imbarcano in ambiziosi progetti di trasformazione digitale è l’errore umano. Secondo Verizon, infatti, lo scorso anno gli “errori vari” hanno rappresentato il 17% delle violazioni di dati. Quando si parla di cloud, c’è una tendenza particolare che spicca su tutte le altre: l’errata configurazione. È responsabile della perdita di miliardi di dati ogni anno e rimane una minaccia importante per la sicurezza, la reputazione e i profitti delle aziende.
Per mitigare questa minaccia persistente di forma umana, le aziende dovranno concentrarsi sull’acquisizione di una migliore visibilità e di un maggiore controllo dei loro ambienti cloud, utilizzando, ove possibile, strumenti automatizzati.
Quanto sono gravi le perdite di dati nel cloud?
La trasformazione digitale ha salvato molte organizzazioni durante la pandemia. E ora è considerata la chiave del successo per uscire dalla crisi economica globale. Gli investimenti nel cloud sono al centro di questi progetti, a supporto di applicazioni e processi aziendali progettati per offrire nuove esperienze ai clienti e nuove efficienze operative. Secondo Gartner, si prevede che la spesa globale per i servizi cloud pubblici crescerà del 18,4% nel 2021 per un totale di quasi 305 miliardi di dollari, per poi aumentare di un ulteriore 19% l’anno successivo.
Tuttavia, questo apre la porta all’errore umano, in quanto le configurazioni errate espongono i dati sensibili a soggetti malintenzionati. A volte questi dati contengono informazioni di identificazione personale (PII), come nel caso della fuga di notizie che ha colpito milioni di persone presso uno sviluppatore spagnolo di software di prenotazione alberghiera lo scorso anno. Tuttavia, a volte sono probabilmente ancora più sensibili. Proprio il mese scorso è emerso che una lista classificata di terroristi statunitensi è stata esposta a Internet.
La cattiva notizia per le organizzazioni è che gli attori delle minacce sono sempre più alla ricerca di questi database esposti. In passato, sono stati cancellati e tenuti in ostaggio, o addirittura bersagliati con codici di scrematura digitale del web.
La portata di queste falle è sorprendente: uno studio IBM dello scorso anno ha rilevato che oltre l’85% degli 8,5 miliardi di record violati segnalati nel 2019 erano dovuti a server cloud mal configurati e ad altri sistemi non correttamente configurati. Si tratta di un aumento rispetto a meno della metà del 2018. È probabile che la cifra continui a salire finché le organizzazioni non prenderanno provvedimenti.
Qual è il problema?
Gartner ha previsto che entro il 2020 il 95% degli incidenti di sicurezza del cloud sarà colpa del cliente. Quindi, di chi è la colpa? La colpa è di una serie di fattori, tra cui la mancanza di supervisione, la scarsa consapevolezza delle policy, l’assenza di un monitoraggio continuo e il numero eccessivo di API e sistemi cloud da gestire. Quest’ultimo aspetto è particolarmente sentito quando le aziende investono in più ambienti cloud ibridi. Le stime indicano che oggi il 92% delle aziende ha una strategia multi-cloud, mentre l’82% ha una strategia di cloud ibrido che sta aumentando la complessità.
Le errate configurazioni del cloud possono assumere diverse forme, tra cui:
· Mancanza di restrizioni di accesso. Questo include il problema comune dell’accesso pubblico ai bucket di storage AWS S3, che potrebbe consentire agli aggressori remoti di accedere ai dati e scrivere sugli account cloud.
· Politiche dei gruppi di sicurezza troppo permissive. Ciò potrebbe includere la possibilità di rendere i server AWS EC2 accessibili da Internet tramite la porta 22 di SSH, consentendo attacchi remoti.
· Mancanza di controlli sulle autorizzazioni. La mancata limitazione degli utenti e degli account al minimo privilegio può esporre l’organizzazione a maggiori rischi.
· Percorsi di connettività Internet non compresi
· Funzioni di rete virtualizzate mal configurate
Anche lo Shadow IT può aumentare le probabilità che si verifichino i casi sopra descritti, poiché l’IT non sa se i sistemi cloud sono stati configurati correttamente o meno.
Come risolvere la configurazione errata del cloud
La chiave per le organizzazioni è individuare e risolvere automaticamente qualsiasi problema nel più breve tempo possibile. Ma non ci riescono. Secondo un rapporto, un utente malintenzionato è in grado di rilevare le configurazioni errate entro 10 minuti, ma solo il 10% delle organizzazioni rimedia a questi problemi entro questo tempo. In realtà, la metà (45%) delle organizzazioni corregge le configurazioni errate tra un’ora e una settimana dopo.
Cosa si può fare per migliorare la situazione? Il primo passo consiste nel comprendere il modello di responsabilità condivisa per la sicurezza del cloud. Questo modello indica quali sono i compiti di cui si occupa il fornitore di servizi cloud (CSP) e quali sono di competenza del cliente. Mentre i CSP sono responsabili della sicurezza del cloud (hardware, software, rete e altre infrastrutture), i clienti devono occuparsi della sicurezza nel cloud, che comprende la configurazione delle loro risorse.
Una volta stabilito questo aspetto, ecco alcuni consigli di best practice:
· Limitare le autorizzazioni: Applicare il principio del minimo privilegio agli utenti e agli account cloud, riducendo così al minimo l’esposizione al rischio.
· Crittografare i dati: Applicare una crittografia forte ai dati business-critical o altamente regolamentati per mitigare l’impatto di una perdita.
· Verificare la conformità prima del provisioning: Dare priorità all’infrastructure-as-code e automatizzare i controlli di configurazione dei criteri il più presto possibile nel ciclo di vita dello sviluppo.
· Verifica continua: Le risorse cloud sono notoriamente effimere e mutevoli, mentre i requisiti di conformità si evolvono nel tempo. Per questo motivo, i controlli continui della configurazione rispetto ai criteri sono essenziali. Considerate gli strumenti di Cloud Security Posture Management (CSPM) per automatizzare e semplificare questo processo.
Con la giusta strategia, sarete in grado di gestire il rischio di sicurezza del cloud in modo più efficace e di liberare il personale per renderlo più produttivo altrove. Poiché gli attori delle minacce sono sempre più bravi a trovare i dati esposti nel cloud, non c’è tempo da perdere.