Man mano che le aziende migrano ed ampliano applicazioni e servizi in ambienti multi-cloud, i team di sicurezza devono affrontare sempre nuove sfide, che vanno dalle policy aziendali e i vincoli di bilancio, alla compliance, fino a nuove minacce. Quest’ultime, relative alla cloud data security, possono provenire da molte aree, sia interne che esterne, da utenti che sfruttano dei dati a hacker che tentano di usare credenziali rubate.
Mentre le minacce e i furti rimangono onnipresenti, le tattiche utilizzate dagli aggressori si adattano continuamente. Check Point Software Technologies esamina le 5 principali sfide per la cloud native security:
- Mancanza di visibilità
Non si può proteggere ciò che non si vede. Rispetto agli ambienti on-premise, c’è una grave mancanza di consapevolezza della sicurezza e della compliance quando si passa al cloud. Il cloud pubblico richiede la capacità di vedere e controllare le risorse che vivono nello spazio fisico di un altro ambiente cloud, e nel modello di responsabilità di sicurezza condivisa, il cliente è responsabile dei suoi dati e dei flussi di traffico.
Ad aumentare la complessità c’è la natura sempre mutevole delle risorse cloud e il tentativo di tenere traccia di queste risorse. Le tecnologie cloud native, come quelle serverless, creano nuove sfide man mano che vengono adottate. Le app serverless, in particolare, sono spesso composte da centinaia di funzioni e, con l’applicazione che matura di volta in volta, mantenere tutti questi dati e servizi che accedono a questi dati, diventa complicato.
Questo è il motivo per cui le risorse devono essere rilevate automaticamente non appena vengono create, tracciando tutte le modifiche fino a quando quella risorsa viene eliminata.
Guadagnare visibilità nel contesto
Ospitare questi dati storici non è sufficiente. Infatti, il mantenimento dei dati non significa nulla senza il giusto contesto – vitale per migliorare l’identificazione del rischio. L’inclusione del contesto nella sicurezza delle applicazioni riduce sia i falsi negativi che i falsi positivi, aiutando anche ad evitare il susseguirsi degli avvisi. Per esempio, una data attività può essere un’anomalia sospetta in una situazione e del tutto innocua in un’altra. Visualizzare le richieste “con il contesto” aiuta a rilevare le attività dannose in modo più efficace.
La cloud native security deve comprendere l’utilizzo e l’intento normali degli utenti per rilevare con maggiore precisione l’utilizzo dannoso. E, per comprendere adeguatamente l’utilizzo regolare, le soluzioni di sicurezza dovrebbero utilizzare il machine learning per costruire un profilo completo di ciò che costituisce l’utilizzo regolare. Tali profili permettono a una soluzione di identificare automaticamente le deviazioni e di avvisare su attività sospette. L’approccio tradizionale con, per esempio, il costante tuning manuale dei WAF, non funziona.
Ottenere una visibilità ad alta fedeltà
Esiste la visibilità, e poi esiste la visibilità profonda, in tempo reale, investigativa e centralizzata. Per raggiungere questo obiettivo, una soluzione deve essere in grado di integrarsi tramite API con tutti gli ambienti e le entità che compongono l’infrastruttura. Ciò fornisce la capacità di aggregare e analizzare i vari flussi di dati di monitoraggio, come i log e l’attività degli account, per offrire una vera consapevolezza, fornendo approfondimenti in tempo reale su ogni flusso di dati e audit trail.
- Minacce molteplici e diverse
Come i professionisti della cybersicurezza migliorano e innovano, così fanno anche gli aggressori. Splunk, provider della piattaforma Data-To-Everything, ha rilasciato una “antologia” delle 50 principali minacce alla sicurezza. Diversi tipi di attacco, come l’acquisizione di account, possono essere eseguiti utilizzando una varietà di tattiche, come il phishing, attacchi attaverso botnet, l’acquisto di credenziali nel dark web, e anche ritrovando elementi eliminati dagli utenti.
Questi attacchi richiedono creatività, che dovrebbe essere prevista anche per i professionisti della sicurezza. Il panorama di minacce attuale richiede un approccio di difesa diverso.
Le analisi forensi e le indagini sul cloud diventano costose e inefficaci quando ci sono troppi dati di sicurezza da analizzare; rendendo quasi impossibile individuare i veri alert da quelli irrilevanti. Come accennato in precedenza, l’ammontarsi e l’interpretazione dei dati raccolti durante le operazioni quotidiane nel cloud, prima di un incidente, gioca un ruolo cruciale. Questo ha un impatto diretto sulla sicurezza, in quanto le informazioni possono essere rilevanti per le indagini successive.
Le organizzazioni che migrano verso il cloud devono comprendere l’importanza dell’analisi dei dati, del rilevamento delle intrusioni e delle informazioni sulle minacce per proteggere i dati sensibili e prevenirle. Gli strumenti di intelligence in-cloud possono analizzare gli eventi e fornire approfondimenti sulle attività degli account attraverso machine learning e threat research. È importante che le organizzazioni cerchino soluzioni che diano la possibilità di filtrare i risultati, approfondire le informazioni, risolvere i problemi con le query e personalizzare le notifiche degli avvisi.
I set di regole dovrebbero prendere in considerazione il framework MITRE ATT&CK, una base di conoscenza accessibile a livello globale delle tattiche e delle tecniche avversarie basate su osservazioni del mondo reale, suddivise in 14 diverse categorie. Per esempio, il lateral movement consiste in tecniche che gli avversari usano per entrare e controllare sistemi remoti su una rete. Seguire il loro obiettivo primario richiede l’esplorazione della rete per ottenere l’accesso ad esso. Raggiungere il loro scopo spesso implica fare leva su più sistemi e account.
Limitare i rischi degli attacchi che utilizzano il lateral movement richiede un’ampia visibilità per rilevarli prima che siano in grado di realizzare questi obiettivi primari.
- Incapacità di applicare policy coerenti
Gli ambienti cloud-native odierni sono composti da una varietà di strumenti che provengono da numerosi provider, rendendo difficile centralizzare le security policy e applicarle in modo coerente.
L’Enterprise Strategy Group (ESG) afferma: “Oltre ad aumentare i costi e la complessità, l’uso di controlli di cybersecurity specifici per l’ambiente contribuisce all’incapacità di implementare policy centralizzate.” […] una chiara preferenza che va avanti per piattaforme integrate con l’obiettivo di consentire un approccio centralizzato per la sicurezza delle applicazioni eterogenee cloud-native distribuite su cloud distribuiti.”
In un’infrastruttura multi-cloud/ibrida, è molto difficile sfruttare strumenti disparati per ottenere la visibilità end-to-end utilizzabile, essenziale per una gestione efficace della cloud security posture management. Le organizzazioni dovrebbero implementare una soluzione che possa snellire l’intera infrastruttura cloud, unificando e automatizzando set di regole, policy, avvisi e tattiche di rimedio.
- Configurazioni errate
La misconfigurazione avviene quando un sistema, uno strumento o una risorsa legata al cloud non è configurata correttamente, mettendo così in pericolo il sistema ed esponendolo a un potenziale attacco o a una fuga di dati. Secondo il 2020 Cloud Security Report, la minaccia cloud più alta in classifica è stata proprio la misconfigurazione – con il 68% delle aziende che la citano come la loro maggiore preoccupazione (in aumento rispetto al 62% dell’anno precedente). Minaccia seguita poi dall’accesso non autorizzato (58%).
A ulteriore conferma di questa statistica, ESG ha chiesto agli intervistati le dieci configurazioni errate più comuni del cloud negli ultimi 12 mesi. In cima alla lista, un clamoroso 30% degli intervistati ha riportato “Password predefinita o nessuna password per l’accesso alla console di gestione”.
Mentre solo il buon senso dovrebbe garantire che nessuna impresa utilizzi password di default o nessuna password, garantire una configurazione corretta in tutta l’infrastruttura cloud è un po’ più complesso. La cloud posture management fornisce un set di regole e rimedi automatici per garantire che tutti i sistemi siano configurati correttamente e in ogni momento.
- Processi di sicurezza lenti
Uno dei vantaggi chiave del cloud computing è la flessibilità, l’agilità e la velocità. Le organizzazioni hanno bisogno di compliance e sicurezza continue che stiano al passo con pipeline CI/CD ad alta velocità, workload transitori e la natura altamente elastica dell’infrastruttura del cloud pubblico.
Nel loro tentativo di implementare le policy più sicure, molte organizzazioni fanno l’errore di mettere la sicurezza al di sopra dell’efficienza e della velocità. Questo non funzionerà mai se gli sviluppatori vengono ostacolati mentre cercano di rilasciare nuovi software e aggiornamenti. Con il shifting-left, le organizzazioni possono implementare e automatizzare la sicurezza all’inizio della software supply chain.
Affrontare queste sfide con la cloud native security posture management e le soluzioni di threat intelligence
Check Point Software raccomanda alle organizzazioni di ottenere strumenti per la cloud security posture management (CSPM) che possano automatizzare la gestione della sicurezza in diverse infrastrutture, tra cui IaaS, SaaS e PaaS. Gli strumenti CSPM consentono alle aziende di identificare e correggere i rischi attraverso valutazioni di sicurezza e il monitoraggio automatico della conformità. La CSPM può automatizzare la governance attraverso le risorse e i servizi multi-cloud, compresa la visualizzazione e la valutazione della posizione di sicurezza, il rilevamento delle configurazioni errate e l’applicazione delle best practice e dei framework per la compliance.
