A partire dall’emergenza sanitaria del Covid-19, si è assistito ad un crescente utilizzo degli ambienti cloud da parte di organizzazioni quali piccole, medie e grandi aziende ed enti pubblici. Queste organizzazioni sempre più spesso si sono affidate a soluzioni “as-a-Service”, ovvero gestite da provider esterni per conto dell’utente.
Questa transizione verso gli ambienti cloud computing ha continuato a diffondersi anche una volta terminata l’emergenza sanitaria, diventando una soluzione agile e dinamica per la gestione della propria infrastruttura IT. In termini di cloud compunting, si distinguono tre principali soluzioni: l’Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS).
Ciò che contraddistingue il cloud computing dalle soluzioni “tradizionali” e localizzate, è la possibilità da parte delle organizzazioni di gestire la propria infrastruttura IT virtualizzando l’accesso a dati e applicazioni al di fuori dell’infrastruttura locale e di utilizzare così server remoti. Questo ha determinato un significativo ampliamento del mercato del cloud, ma anche la necessità di adattare le soluzioni e le procedure di sicurezza.
Come riportato nella pubblicazione di Marzo 2023 dell’ENISA, “Cloud Security: un mondo ancora da scoprire”, ci sono alcune aree su cui è necessario prestare attenzione quando un’organizzazione desidera passare ad una infrastruttura Cloud, queste nello specifico sono: i rischi concernenti la gestione della privacy e la protezione dei dati; l’integrazione di nuove tecnologie all’interno della proprio sistema IT; la necessità di adeguare policy e procedure di sicurezza; il rispetto delle normative specifiche per la conformità aziendale e un’attenta gestione delle certificazioni.
Per tutti questi motivi, ad oggi, le organizzazioni che adottano soluzioni cloud guardano con particolare attenzione alla cybersecurity e a come possono garantire la protezione dei loro dati e dei sistemi informatici. Sul tema è intervenuto Francesco Giuliano, Chief Delivery Officer di HWG Sababa, il quale ritiene che “la sicurezza dei sistemi cloud rappresenti un punto di forza, ma che ci debba essere una valutazione dei costi e delle differenze nella gestione dei rischi, come anche richiedere un adeguamento delle procedure normative per la compliance aziendale”.
In particolare, sottolinea Francesco Giuliano, imotivi che portano a preferire una soluzione di sicurezza cloud sono legati a condizioni quali: la scalabilità e la flessibilità delle soluzioni per la gestione dell’infrastruttura, la riduzione dei costi da parte dei fornitori del servizio cloud per le attività di manutenzione e di aggiornamento, nonché l’accessibilità globale per quelle organizzazioni che hanno l’esigenza di gestire uffici remoti e personale viaggiante.
Invece, per quanto riguarda possibili dubbi sulla sicurezza del cloud, le dimensioni aziendali rappresentano un elemento di valutazione importante. Ad esempio, le piccole aziende potrebbero essere più preoccupate per i costi, mentre le grandi aziende potrebbero essere più preoccupate per la conformità normativa e la gestione del rischio. Se si guarda in particolare ai costi della sicurezza cloud, può risultare complesso individuare un break-even che sia universalmente favorevole a tutte le aziende. Forse quelle di grandi dimensioni potrebbero rientrare dall’investimento sostenuto in tempi più brevi rispetto a quelle di dimensioni minori. Medie e grandi aziende, infatti, hanno lapossibilità di ripartire i costi più “facilmente”. Oltre a questo, per le medie e grandi imprese subentrano anche altri aspettida considerare per la gestione della sicurezza del cloud. Per esempio:garantire un’adeguata sicurezza dei dati sensibili, l’essere compliance con le norme vigenti e la tipologia di infrastruttura che si andrà a scegliere tra le diverse soluzioni possibili (privato, pubblico, ibrido e multicloud). Sull’argomento, Francesco Giuliano, si esprime in termini favorevoli affermando: “sono convinto che l’approccio sicuro al cloud computing possa portare grandi benefici per ogni tipo di azienda e ridurre al minimo i rischi”.
Ciò che è bene sottolineare è che l’adozione di un sistema cloud comporta un cambio di prospettive sia per il CISO che per il CEO. Per il CISO pone la necessità di formare nuove competenze e di gestire ulteriori responsabilità rispetto ad un’infrastruttura localizzata. Mentre per il CEO rappresenta un’opportunità di crescita e di maggiore agilità nel modellare l’infrastruttura IT, ma anche una considerevole possibilità di riduzione dei costi se il sistema cloud è ben programmato.
Invece, guardando nello specifico alla relazione tra il livello di maturità tecnologica del cloud e il livello di maturità del mercato italiano, dall’esperienza diretta di chi opera nel settore, il livello di maturità tecnologico è decisamente più avanzato rispetto al livello di maturità del mercato.Purtroppo, il mercato italiano va a rilento rispetto ad altri paesi europei. Molte aziende, specialmente le PMI, sono restie ad adottare soluzioni cloud, dove il percorso di migrazione dei dati spesso rappresenta una delle maggiori preoccupazioni. “In generale, direi, manca sia la cultura che la consapevolezza dei benefici”, afferma Francesco Giuliano. Altri aspetti su cui le aziende hanno bisogno di rassicurazioni riguardano il rapporto con i fornitori e la necessità di professionisti IT con competenze verticali sul cloud e sulle soluzioni più innovative.
Ora, guardando con particolare attenzione alle questioni di sicurezza, una prima analisi degli attacchi ai servizi cloud ci riporta a danni assimilabili a quelli che possono subire i servizi “tradizionali” e localizzati, come la perdita di dati, l’impossibilità di accesso ai dati stessi e l’interruzione della fornitura di servizi con possibili implicazioni di danni reputazionali.
Alcune metodologie di attacco particolarmente pericolose per il cloud sono basate suattacchi di cross-site scripting (inserimento di script malevoli su siti web e applicazioni attendibili), furto diidentità e privilege escalation nel sistema, nonché attacchi alla supply chain.
Sicuramente tra le tipologie di attacco più diffuse vi sono il phishing e l’utilizzo di malware. Il phishing può esseresemplice ed economico da impiegarenello sfruttare le vulnerabilità del comportamento delle persone in modo sempre più sofisticato e difficile da distinguere attraverso un utilizzo malevolo dell’AI generativa. Per il malware, invece, si amplia in modo significativo la superficie di attacco da proteggere.
In risposta a questi possibili attacchi èrichiesta una competenza specifica da parte degli addetti alla sicurezza informatica su alcuni dei servizi “cloud native”. Secondo l’esperto di HWG Sababa, attività come Penetration test, offensive security, red teaming e le simulazioni di attacchi tramite cyber range, “sono assolutamente necessarie per aiutare le aziende a identificare e correggere le vulnerabilità prima che queste possano essere sfruttate”. La simulazione di attacchi, infatti, permette di verificare la reazione dei sistemi, di aumentare la consapevolezza su come affrontare un attacco e valutare la resilienza a un evento dannoso.
In relazione a quelle che sono le principali infrastrutture cloud, risulta importante un controllo degli accessi per le soluzioni IaaS. Un monitoraggio constante e preventivo per quanto riguarda le PaaS e il rischio di iniezione di codice malevolo e possibili attacchi basati su API. Mentre per le soluzioni SaaS è bene adottare un controllo mirato verso potenziali attacchi di cross-site scripting.
In ultimo, è utile menzionare come alcune delle più avanzate tecnologie di AI/ML e big data possono essere impiegate per migliorare i sistemi di cloud security. Queste tecnologie, infatti, consentono di analizzare grandi volumi di dati di log, di traffico di rete e di identificare anomalie nelle attività degli utenti, comportamenti sospetti e minacce che potrebbero essere in atto o imminenti. Queste funzioni avanzate di sicurezza permettono di individuare e di bloccare le minacce in modo più rapido e preciso rispetto ai metodi tradizionali che spesso risultano inefficaci contro le minacce più sofisticate e in continua evoluzione.Un esempio di tecnologie particolarmente efficace è la User Behavior Analysis (UBA), la qual consente di analizzare il comportamento degli utenti per identificare attività anomale, come accessi non autorizzati e tentativi di phishing. Da questo dovrebbe essere possibile comprendere le potenzialità di automatizzazione di molte delle attività di monitoraggio, controllo e gestione degli incidenti.
