Sebbene l’adozione di massa del cloud abbia determinato una maggiore consapevolezza e necessità di sicurezza IT, molte aziende continuano a commettere errori comuni e ricorrenti legati al cloud nei vari processi. Contemporaneamente gli attaccanti continuano a perfezionare le tecniche, che diventano sempre più mirate e pericolose. I responsabili della sicurezza si trovano quindi a dover gestire una duplice sfida: internamente devono accelerare gli obiettivi aziendali, tra cui la crescita e l'innovazione, proteggendo al contempo le operazioni quotidiane e l'infrastruttura che le supporta.

Per migliorare il profilo di rischio del cloud, le aziende devono perfezionare il percorso di sicurezza del cloud esaminando le insidie più diffuse. Di seguito esaminiamo gli otto principali errori da evitare per la sicurezza in cloud, per limitare il rischio di attacchi cloud-based.

Errore 1: configurazione errata delle risorse cloud

La complessità delle infrastrutture è uno degli obiettivi più interessanti per gli attaccanti. Poiché la natura interconnessa dei servizi aumenta la potenziale superficie di attacco, i cybercriminali sanno che una singola compromissione riuscita in un componente può potenzialmente avere un impatto su tutti gli altri sistemi interconnessi.

Uno degli errori più comuni è quello di lasciare le risorse del cloud, come i bucket di archiviazione o i database, accessibili pubblicamente senza controlli di sicurezza. Questo può accadere quando le risorse cloud non sono configurate correttamente.

Marco Rottigni, Technical Director per l’Italia di SentinelOne

Suggeriamo alcune best practice da considerare per ridurre i rischi:

• Eseguire revisioni periodiche della configurazione della sicurezza
• Implementare la gestione delle identità e degli accessi (IAM)
• Adottare tool automatizzati di configurazione per garantire una configurazione corretta
• Monitorare le risorse cloud per rilevare attività insolite o accessi non autorizzati

Errore 2: esposizione di chiavi di accesso, credenziali e altro ancora

Un altro problema comune per la sicurezza del cloud è legato all'esposizione di informazioni riservate, come le chiavi di accesso codificate nei codici. Spesso si memorizzano tali informazioni in testo normale o integrati nel codice, che può comportare l'accesso a persone non autorizzate alle risorse del cloud.

Esistono best practice che, se seguite, possono aiutare i team di sicurezza a gestire efficacemente le informazioni più riservate, tra le quali:

• Utilizzare un sistema sicuro nella gestione dei codici segreti
• Evitare di conservare i dai segreti in chiaro o di codificarli nel codice
• Limitare l'accesso ai dati solo a chi lo richiede
• Sostituire regolarmente le informazioni riservate
• Monitorare l'uso delle informazioni

Errore 3: mancato utilizzo dell'autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) è una misura di sicurezza essenziale da valutare, soprattutto quando si tratta di proteggere le risorse cloud. Senza l'MFA, un attaccante deve solo compromettere la password di un utente per ottenere un accesso non autorizzato alle risorse cloud. L'abilitazione dell'MFA rafforza significativamente la sicurezza degli ambienti cloud richiedendo un ulteriore livello di verifica, riducendo il rischio di compromissione degli account, di accesso non autorizzato e di violazione dei dati.

Seguire le migliori policy per l'utilizzo dell'MFA è essenziale per evitare accessi non autorizzati. È quindi necessario:

• Abilitare l'MFA per tutti gli account utente
• Utilizzare una soluzione MFA affidabile
• Educare gli utenti sull'utilizzo della soluzione MFA
• Monitorare l'utilizzo dell'MFA
• Rivedere e aggiornare regolarmente le policy MFA

Errore 4: mancanza di adeguati controlli sugli accessi

Una gestione efficace delle risorse cloud richiede procedure di controllo degli accessi chiare e definite. Se le organizzazioni non avviano policy adeguate rischiano di rendere le risorse del cloud più vulnerabili agli accessi non autorizzati, causando potenzialmente violazioni dei dati, compromissione delle informazioni sensibili e altri danni di lunga durata.

Per le aziende che operano in cloud, l'implementazione dell'IAM consente agli utenti e agli opportuni titolari dei servizi di accedere alle risorse del cloud in base alle mansioni dell'utente o al ruolo del gestore del servizio all'interno del contesto. In questo caso, il controllo è granulare e le persone accedono solo alle risorse indispensabili per i propri compiti. Inoltre, si dovrebbe applicare il principio del privilegio minimo (PoLP - Principle of Least Privilege), limitando l'accesso al livello minimo necessario all'utente per svolgere il proprio lavoro.

Errore 5: mancanza di un backup dei dati

La mancanza di una strategia di backup è un errore comune in materia di sicurezza del cloud, che rende le aziende vulnerabili alla perdita di dati in caso di cyberattacco o di guasto di sistema. In caso di perdita di dati senza backup disponibili, le aziende devono affrontare tempi di inattività prolungati per recuperare o ricreare i dati persi, che creano gravi danni alla produttività dell’azienda.

Grazie a una buona strategia di backup, le aziende hanno maggiori possibilità di ottenere la continuità del servizio, potendo contare su dati di backup di buona qualità. Alcune delle best practice prevedono:

• Identificazione dei dati essenziali
• Utilizzo una soluzione affidabile di backup
• Test regolari dei backup
• Crittografia dei backup

Errore 6: trascurare le patch e gli aggiornamenti dei sistemi

I sistemi obsoleti sono più suscettibili alle infezioni da malware e spesso presentano vulnerabilità note che possono essere sfruttate dagli attaccanti. I criminali informatici cercano attivamente il software obsoleto e sfruttano queste vulnerabilità per ottenere un accesso non autorizzato, diffondere attacchi malware o rubare dati sensibili. In molti settori esistono requisiti normativi relativi alla manutenzione e al patching dei sistemi per proteggere i dati sensibili. Non applicare patch e aggiornamenti ai sistemi può comportare conseguenze legali e finanziarie. Senza una strategia adeguata, la gestione delle patch può diventare un compito intenso e difficile.

Le organizzazioni possono seguire le seguenti best practice per implementare un efficace processo di gestione delle patch:

• Adottare un approccio al patch management basato sul rischio
• Stabilire un inventario di base
• Categorizzare e raggruppare le risorse in base al livello di priorità e rischio

Errore 7: mancanza di un monitoraggio continuo delle attività anomale

I criminali informatici sono abili nell'eludere le misure di rilevamento, rendendo difficile l'identificazione e il contrasto degli attacchi. Senza un monitoraggio continuo, potenziali incidenti di sicurezza e vulnerabilità possono passare inosservati per lunghi periodi, consentendo agli aggressori di sfruttare i punti deboli senza essere scoperti. La capacità di monitoraggio continua fornisce visibilità in tempo reale su un ambiente cloud, assicurando che i team di sicurezza possano rilevare rapidamente attività sospette, tentativi di accesso non autorizzato o anomalie del sistema.

Le organizzazioni possono migliorare la propria postura di sicurezza implementando alcune best practice, tra le quali:

• Implementare una soluzione Extented Detection and Response (XDR)
• Monitorare registri ed eventi
• Impostare gli alert
• Sfruttare l'intelligenza artificiale (AI) e l'apprendimento automatico (ML)
• Impostare un programma maturo di rilevamento delle minacce

Errore 8: mancata crittografia dei dati aziendali sensibili

I dati non crittografati sono altamente suscettibili di accesso non autorizzato. Se un aggressore accede a dati non criptati, può facilmente leggerli, copiarli o modificarli senza lasciare alcuna traccia. Questo può portare a violazioni dei dati, esponendo informazioni sensibili come dati dei clienti, registrazioni finanziarie, proprietà intellettuale o segreti commerciali. Le seguenti best practice aiutano i team di sicurezza a proteggere i dati sensibili, garantendo la riservatezza, l'integrità e la conformità in ambienti cloud:

• Crittografia in transito
• Crittografia lato server (SSE)
• Crittografia lato client
• Crittografia a livello di database
• Crittografia a livello di applicazione

Conclusioni

Sia per gli attacchi opportunistici che per quelli mirati, il cloud rimane un obiettivo redditizio. Gli attaccanti focalizzati sul cloud continuano a puntare sulle organizzazioni che commettono errori e si affidano alla natura del cloud, che è complessa e ardua da gestire. SentinelOne aiuta le aziende a proteggere i workload in tutti gli ambienti cloud, pubblici, privati e ibridi, grazie alla piattaforma di protezione dei workload cloud (CWPP) in tempo reale, Singularity Cloud Workload Security. Progettata per proteggere i workload ovunque vengano eseguiti - nei data center, in AWS, Azure o Google Cloud, nelle macchine virtuali, nei container o nei cluster Kubernetes - Singularity Cloud offre rilevamento e risposta in tempo reale alle minacce, come ransomware, zero-days e malware in cryptomining.

Marco Rottigni è Technical Director per l’Italia di SentinelOne