Permessi di amministrazione dell'ambiente cloud ad utenti esterni, errori di configurazione, mancanza di soluzioni per la protezione cyber. Ecco come le aziende agevolano gli attacchi cyber al cloud.
Autore: Redazione SecurityOpenLab
Cloud e cybersecurity continuano ad avere un rapporto difficile all’interno delle aziende, anche a causa delle dinamiche d’uso non ben comprese, che aprono le porte agli attacchi cyber. Non è un caso se la maggior parte dei vendor di security quest’anno mette l’accento sulla sicurezza cloud. Ed è da chiarire che quando si parla di sicurezza cloud non s’intende solo la protezione mediante piattaforme di threat detect and response.
Cloud security significa assenza di misconfigurazioni, significa un approccio strutturato alla progettazione e alla gestione di cloud e multicloud con la profonda comprensione e coscienza di tutte le condizioni d’uso da parte di hyperscaler e provider. E significa anche come si dispone delle risorse cloud dall’interno.
Proprio su questi temi verte il "2022 State of Cloud (In)Security Report" di Zscaler, da cui emerge proprio che molte aziende faticano a riconoscere i rischi legati all'utilizzo della tecnologia cloud e per questo subiscono attacchi correlati. Il report ovviamente approfondisce la natura di problemi e lacune; in particolare risulta che il 98,6% delle aziende dispone di infrastrutture con configurazioni errate che rappresentano un rischio critico per i dati e per la stabilità degli ambienti stessi.
Questa informazione, unita con il dato ormai assodato che la maggior parte degli attacchi informatici contro i cloud pubblici sfrutta gli errori di configurazione, porta alla crescente incidenza degli attacchi. In che cosa consistono gli errori? Nell'accesso pubblico ai bucket di archiviazione, nelle autorizzazioni degli account, nell'archiviazione e alla gestione delle password, e molto altro ancora.
La seconda nota dolente della cloud security riguarda gli account compromessi, che riguardano il 97,1% delle aziende che utilizzano controlli di accesso per gli utenti con privilegi senza applicare l'autenticazione a più fattori (MFA). In sostanza un attaccante che riesce a “bucare” uno di questi account può eludere il rilevamento da parte dei sistemi di sicurezza, muoversi lateralmente in rete e sferrare numerosi attacchi. In questo caso le best practice da adottare sono due e hanno valenza universale: l’autenticazione a più fattori o in ancora meglio una gestione degli accessi Zero Trust, la microsegmentazione e l’applicazione del privilegio minimo.
L’ultima questione è relativa all’applicazione dei controlli di base contro il ransomware per lo storage cloud: non sorprende il fatto che il 59,4% delle aziende non applichi nessuna tecnica quali per esempio il versioning e l’MFA Delete. In breve, ecco di che cosa si tratta. Amazon S3 Versioning consente di mantenere più versioni di un oggetto nello stesso bucket in modo che, quando un file viene modificato, entrambe le copie vengano salvate per il futuro ripristino, confronto e verifica della validità. MFA Delete, invece, può aiutare a prevenire cancellazioni accidentali o dolose di bucket di archiviazione, richiedendo all'utente che avvia l'azione di eliminazione, di dimostrare il possesso fisico di un dispositivo MFA tramite un codice MFA, aggiungendo così un ulteriore livello di sicurezza all'azione di cancellazione.