Piattaforme cloud sotto attacco: motivi e tecniche di difesa

Secondo Gartner, la pandemia e l'aumento dei servizi digitali hanno reso il cloud il "centro delle nuove esperienze digitali" e il suo fatturato globale ammonterà a 474 miliardi di dollari nel 2022, con un aumento di 66 miliardi di dollari rispetto all’anno precedente. La società di ricerca prevede inoltre che oltre il 95% dei nuovi workload digitali sarà distribuito su piattaforme cloud native, con un aumento del 30% anno su anno.

Vantaggi che tutti conoscono e apprezzano, ma che non sono passati inosservati ai cybercriminali, che studiano di continuo modi nuovi e sempre più efficienti e per approfittare dell'elevato volume di dati sensibili condiviso tra le organizzazioni e i loro fornitori di servizi cloud. Credenziali deboli, configurazioni errate e “fattore umano” sono i tre filoni principali a cui gli attaccanti sono ricorsi, con un successo sempre crescente.

I dati delle più quotate ricerche di mercato confermano questo trend: il 49% dei professionisti IT ha riferito che gli attacchi cloud-based hanno portato a spese ulteriori non preventivate. Secondo una ricerca PurpleSec l'80% dei CISO non è stato in grado di identificare la presenza di accessi e permessi di accesso massivo ai dati nei propri ambienti cloud. Emertic ha calcolato che il 79% delle organizzazioni ha subito almeno una violazione dei dati in cloud negli ultimi 18 mesi. Inoltre, il 43% ha riportato 10 o più violazioni nello stesso arco temporale. Non ultimo, CyberTalk.org stima che l'83% delle violazioni cloud derivi da vulnerabilità legate a policy inadeguate di gestione degli accessi.

Comprendere i rischi del cloud

I numeri riportati sopra sono il chiaro segnale che le imprese devono pianificare strategie di sicurezza che vadano oltre quelle tradizionali, per poter gestire una superficie di attacco sempre più ampia e i rischi associati ai servizi cloud.

L'utilizzo di servizi cloud espone ad accessi non autorizzati, insider threat e rischi a livello di supply chain. Per un attaccante, le vulnerabilità del cloud sono strumenti utili ad ottenere l'accesso, per esfiltrare i dati dalla rete dell'organizzazione presa di mira, sia tramite interruzioni del servizio, ransomware o trasferimento non autorizzato di informazioni. I gruppi criminali più sofisticati possono adottare anche tecniche di lateral movement, di evasione del rilevamento o di appropriazione indebita di account, al fine di stabilire e mantenere dei punti di appoggio e persistenza all’interno dell’infrastruttura.

Marco Rottigni,Technical Director di SentinelOne, evidenzia i rischi più comuni per la sicurezza del cloud:

• Furto e appropriazione di account utente - Sia che le credenziali vengano reperite tramite phishing, brute force o malware, l’assenza di policy di controllo sulla qualità delle password spesso porta alla compromissione di account utenti.
• Configurazioni errate - I cloud service provider offrono diversi livelli di servizio, a seconda delle esigenze del cliente. Questo permette al cloud di scalare con le esigenze operative delle organizzazioni. Tuttavia, molte imprese non dispongono delle misure di protezione necessarie per garantire la sicurezza di questi servizi attraverso l’intero ciclo di sviluppo e implementazione. Gli applicativi mal configurati rappresentano una delle principali cause di compromissione quando si tratta di attacchi basati in cloud.
• API pubbliche vulnerabili - Le API pubbliche consentono agli utenti autorizzati di interagire con i sistemi in cloud; tuttavia, se esposte a vulnerabilità, possono diventare veicolo preferenziale per l’accesso non autorizzato e l’estrazione di dati sensibili dalle piattaforme, nonché una formidabile backdoor per garantire persistenza agli attaccanti.
• Insider Threat - Anche le organizzazioni con un ecosistema IT in salute e a norma possono essere vittime di un utente legittimo e malintenzionato a far fuoriuscire dati aziendali. Avendo accessi a dati sensibili, possono intervenire anche nei protocolli di sicurezza e disattivarli. Le architetture Zero Trust e soluzioni di Identity & Access Management (IAM) rappresentano un validissimo approccio in grado di mitigare i rischi di insider threat.
• Attacchi Denial-of-Service (DoS) - Progettati per sovraccaricare un sistema e impedirne l’accesso agli utenti, gli attacchi DoS sono particolarmente devastanti per gli ambienti cloud. A fronte di un sempre crescente carico di lavoro, l’infrastruttura fornisce, in maniera orchestrata ed elastica, ulteriore potenza di calcolo, con la conseguente impossibilità, per gli utenti legittimi, di continuare ad accedere ai propri dati e servizi.
• Terze parti - È importante che le imprese valutino i rischi di terze parti quando utilizzano i servizi dei vendor. Le infrastrutture e le piattaforme cloud sono suscettibili di attacchi alla supply chain quando gli attaccanti si infiltrano in una rete attraverso terze parti non protette, che collaborano con l'organizzazione. Il rischio di sicurezza si propaga quando le organizzazioni scelgono di collaborare con vendor che hanno una postura di cybersecurity più permissiva e debole della propria.

Difendere il cloud

La sicurezza in cloud inizia dalle fondamenta. Gli ambienti cloud richiedono pianificazione, implementazione e strategie di sicurezza a breve e lungo termine, e la predisposizione della cyber hygiene ne è il presupposto fondamentale. Le organizzazioni che dispongono di processi per la gestione delle password, l'autenticazione a più fattori, la gestione delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d'attacco cui puntare.

Essere immuni agli attacchi è impossibile, ma adottare un approccio Zero Trust è sicuramente di grande aiuto, nell’ambito di una strategia di difesa olistica. La segmentazione della rete è importante per una corretta implementazione del concetto di Zero Trust: segmentando la rete in micro-contesti autonomi ed indipendenti, consente agli amministratori di controllare e proteggere i flussi di traffico corrispondenti tramite regole granulari, con il beneficio aggiunto di poter individuare più facilmente eventuali problemi tecnici e di migliorare le attività di monitoraggio.

È inoltre indispensabile dare in gestione i sistemi e applicativi cloud al team di sicurezza interno anziché ai team DevOps e CloudOps, per uniformare le misure di sicurezza ed evitare discrepanze nelle strategie di protezione del cloud.

Ultimo e importante consiglio è semplificare le sfide degli ambienti multicloud individuando un modello comune di protezione agnostico rispetto a contesti unici per caratteristiche di deployment, requisiti normativi e politiche di gestione. Gli ambienti multicloud diventano più complessi da gestire se sono forniti da vendor diversi, e l’integrazione tra le varie soluzioni cloud può diventare difficile e comportare una perdita del controllo delle configurazioni. Per questo molte imprese hanno già compreso la necessità di adottare una piattaforma XDR, ma servirà una piattaforma XDR aperta, che integri le soluzioni esistenti e che sia capace di analizzare i dati, ricevere avvisi e gestire in maniera coordinata ed automatica le risposte necessarie.