Quando si parla di cloud security, come sono ripartite le responsabilità? La sicurezza informatica “tradizionale” non può essere traslata integralmente sul cloud dato che ci sono concetti e configurazioni di sicurezza “cloud-native”.
In che modo quindi sviluppatori e amministratori possono garantire la sicurezza dei dati?
Questo articolo illustra i principali vettori di attacco degli ambienti cloud e infine dà qualche suggerimento sulla loro messa in sicurezza.
Indice degli argomenti:
- Vettori di attacco
- Attacchi al cloud e violazioni di dati personali
- Come mettere in sicurezza il cloud?
Vettori di attacco
Il cloud sta contribuendo a velocizzare la trasformazione digitale delle imprese, tuttavia proprio questa velocità di trasformazione può esacerbare i rischi legati alla sicurezza che già affliggono il mondo digitale.
Prima di analizzare i metodi che utilizzano i cyber criminali per attaccare le infrastrutture critiche delle organizzazioni, è importante evidenziare i diversi tipi di cloud storage che si possono utilizzare:
- Cloud pubblico (il più diffuso)
- Cloud privato
- Cloud ibrido
- Multicloud
Queste quattro tipologie di archiviazione dei dati offrono numerosi servizi di cloud computing accessibili da remoto tramite internet:
- Infrastructure-as-a-Service (IaaS) offre un’infrastruttura di cloud computing on-demand e secondo necessità delle aziende (es. AWS, Microsoft Azure);
- Platform-as-a-Service (PaaS) fornisce agli sviluppatori componenti cloud che possono utilizzare per creare applicazioni personalizzate (es. Windows Azure);
- Software-as-a-Service (SaaS) utilizza la rete internet per fornire agli utenti applicazioni progettate, sviluppate e gestite interamente da un provider esterno (es. Google Workspace, Dropbox).
La domanda a cui risponderemo nelle prossime righe è: come fanno gli hacker ad attaccare i servizi cloud?
Di seguito, alcuni dei principali vettori di attacco:
- Configurazioni errate: il mantenimento delle configurazioni di sicurezza del cloud è notevolmente complesso e il rischio di configurare un asset in modo errato è elevato, in particolare quando un’organizzazione è all’inizio di una migrazione cloud o si interfaccia con un nuovo provider;
- Autenticazione e controllo accessi: il controllo accessi negli ambienti cloud è più complesso rispetto a quello di una rete interna, creando maggiori opportunità di configurazioni errate;
- Configurazione API: le API (Application Programming Interface) utilizzate per accedere alle risorse cloud possono avere dei problemi di configurazione ed essere utilizzate dagli hacker come vettore di attacco;
- Phishing, mancati aggiornamenti e patch dei propri sistemi operativi e applicazioni da parte del cliente. Queste disattenzioni e negligenze possono porre grandi pericoli ed esporre l’organizzazione ad attacchi esterni, come DDoS e software malevoli.
Fra questi tipi di vettori, le configurazioni errate possono sembrare una banalità, ma sono in realtà i rischi più significativi per questo tipo di spazio di archiviazione.
I servizi cloud comprendono una moltitudine di impostazioni, policy, risorse e servizi interconnessi che lo rendono un ambiente sofisticato, complesso da comprendere e configurare correttamente. Ciò è particolarmente vero per le organizzazioni che sono state spinte, per un motivo o per un altro, a migrare rapidamente al cloud. Sfortunatamente, quando le imprese iniziano a utilizzare una nuova tecnologia troppo rapidamente senza comprenderne appieno la complessità, possono derivare problemi.
Come vettore di attacco, le configurazioni errate possono essere davvero pericolose e sono state la ragione di massicce violazioni di dati negli ultimi anni.
Attacchi al cloud e violazioni di dati
Fra i rischi e gli attacchi più importanti agli ambienti cloud, quello della violazione dei dati sensibili è sicuramente il più impattante. Ad esempio, nel 2020 il sito web per adulti CAM4 divulgò inavvertitamente 10,88 miliardi di record che includevano informazioni di identificazione personale (PII) degli utenti, registri dei pagamenti e hash delle password a causa di un database Elastic Search non protetto.
Code Spaces, una piattaforma di code hosting e collaborazione software fu costretta al fallimento da alcuni hacker che, in seguito al rifiuto da parte dell’azienda di pagare un riscatto, cancellarono tutti i suoi dati e backup. L’attacco iniziò con una intrusione in un pannello di controllo di un’istanza EC2 (un server virtuale) di AWS configurata in maniera non sicura.
Oltre alla violazione dei dati personali, negli ultimi anni si è delineato anche un altro tipo di attacco mirato agli ambienti cloud, ma per fini diversi: il cryptojacking. Questo tipo di attacco consiste nel manomettere un computer (nel caso del cloud, una o più istanze virtuali) al fine di fare “mining” di criptovalute.
Un noto esempio in questo caso è un attacco del 2018, nel quale alcuni hacker sono riusciti a penetrare in un account AWS di proprietà di Tesla e lo hanno utilizzato per fare “mining” di criptovalute, oltre che per esporre alcuni dati proprietari della casa di auto elettriche.
Come mettere in sicurezza il cloud?
Per le imprese che cercano di intraprendere una trasformazione digitale, l’adozione del cloud è inevitabile. I fornitori di servizi cloud svolgono generalmente un buon lavoro nel proteggere l’infrastruttura, ma è fondamentale che gli utenti capiscano che esiste una reale possibilità di introdurre pericolose vulnerabilità tramite l’implementazione di configurazioni errate. Queste potrebbero all’apparenza sembrare trascurabili, ma possono in realtà portare a conseguenze devastanti come violazioni dei dati personali o attacchi ransomware.
Di seguito sono riportati consigli sulla sicurezza per minimizzare potenziali pericoli sotto forma di best practice:
- Concedere sempre l’accesso con privilegi minimi: per quanto riguarda l’accesso, agli utenti dovrebbe essere concessa solo l’autorizzazione necessaria per operare. Questo è generalmente indicato come: “principle of least privilege” (principio del privilegio minimo);
- Aderire al modello di responsabilità condivisa: il modello di responsabilità condivisa evidenzia la delega di responsabilità tra il fornitore di servizi e l’utente. Quando gli utenti comprendono le attività operative di cui sono responsabili, il rischio che si verifichino configurazioni errate è ridotto al minimo;
- Educazione e formazione: è fondamentale che tutti, all’interno dei vari team, comprendano le proprie responsabilità in materia di sicurezza dei sistemi informatici e siano in grado di identificare e segnalare eventuali problemi. Tutti dovrebbero essere formati su quali minacce informatiche e configurazioni errate prestare attenzione per garantire la protezione dei dati.
Creare e implementare policy aziendali e procedure di sicurezza: è importante definire e attuare policy aziendali e procedure di sicurezza efficaci e dettagliate per ridurre al minimo il rischio di configurazioni errate e avere sempre un piano di azione.
Conclusioni
Durante la migrazione cloud è importante tenere presente che il cloud non è affatto una soluzione di sicurezza chiavi in mano. È invece fondamentale comprendere il proprio ruolo all’interno del modello di responsabilità condivisa. I fornitori di servizi cloud fanno la loro parte all’interno di questo modello, progettando, implementando e rivedendo costantemente la propria infrastruttura secondo gli standard più elevati.
Tuttavia possono ancora verificarsi problemi che impattano in maniera anche grave la sicurezza delle applicazioni quando, lato cliente, vengono impostati servizi cloud in maniera errata.