La transizione in corso verso le piattaforme cloud comporta sempre più dati sensibili memorizzati nel cloud, rendendoli obiettivi più allettanti per gli attori di minacce. Quando si tratta di proteggere il cloud, l’identità è la prima linea di difesa e senza un’adeguata strategia di identity and access management (IAM), un’organizzazione può implementare diversi strumenti di protezione, ma non otterrà mai una sicurezza completa.
Per capire come le policy IAM influenzano la postura di sicurezza del cloud in azienda, Palo Alto Networks ha analizzato oltre 680.000 identità su 18.000 account cloud di 200 diverse organizzazioni per comprendere configurazione e modelli di utilizzo. I risultati della ricerca sono stati scioccanti.
Quasi tutte le aziende coinvolte non hanno controlli corretti delle policy di gestione IAM per rimanere sicure, aprendo la porta a ciò che Unit 42 definisce un nuovo tipo di minaccia: gli “attori di minacce cloud”, ossia “un individuo o un gruppo che rappresenta una minaccia per le organizzazioni attraverso un accesso diretto e prolungato a risorse, servizi d, servizi o metadati incorporati della piattaforma cloud.”
Gli attori delle minacce cloud meritano una definizione separata perché hanno iniziato a utilizzare una serie di tattiche, tecniche e procedure (TTP) fondamentalmente diversa, unica per il cloud – come, ad esempio, sfruttare la capacità di eseguire contemporaneamente operazioni di movimento laterale ed escalation dei privilegi.
Perché i riflettori sono puntati sull’IAM?
Una delle conseguenze della pandemia è stata l’espansione significativa dei workload cloud – con un’impennata significativa del numero di organizzazioni che ospitano per più della metà dei loro workload nella “nuvola”. L’identità deve quindi essere il punto chiave nella definizione di una strategia di sicurezza cloud.
Quando gli attaccanti approfittano di controlli di accesso all’identità mal configurati o troppo permissivi, non hanno bisogno di programmare un attacco complesso, e possono semplicemente ottenere l’accesso alle risorse come se ne avessero diritto.
I cybercriminali cercano organizzazioni con controlli IAM non adeguati, creando una nuova tipologia di minaccia più sofisticata ma che richiede meno sforzi di esecuzione.
Principali risultati del “Cloud Threat Report: IAM la prima linea di difesa” di Unit 42
Alcuni dati che spiegano perché IAM sia un obiettivo:
- Riutilizzo delle password: il 44% delle organizzazioni consente il riutilizzo delle password IAM.
- Password deboli (<14 caratteri): il 53% degli account cloud consente l’uso di password deboli.
- Le identità cloud sono troppo permissive: al 99% di utenti, ruoli, servizi e risorse cloud sono stati concessi permessi eccessivi che sono poi rimasti inutilizzati (consideriamo i permessi eccessivi quando rimangono inutilizzati per 60 giorni o più).
- Le policy integrate dei cloud service provider (CSP) non sono gestite correttamente dagli utenti e concedono 2,5 volte più permessi delle policy gestite dal cliente e vengono utilizzate dalla La maggior parte degli utenti cloud – che sarebbero in grado di ridurre i permessi concessi, ma spesso non lo fanno.
