CSPM: come colmare le lacune nella sicurezza del cloud
Ogni settimana arriva l’ennesima segnalazione di qualcuno che lascia un container di archiviazione online non protetto pieno di dati sensibili dei clienti. Alcuni esempi sono sorprendenti in termini di gravità come quello che è successo a novembre 2020, quando più di 10 milioni di file contenenti dati relativi a dei viaggi sono stati esposti da un bucket AWS S3 configurato in modo errato. E può succedere a chiunque: il mese scorso un container di archiviazione configurato in modo errato su Azure è stato scoperto essere responsabilità di Microsoft.
In un recente sondaggio globale condotto da Proofpoint su 1.400 CSO, la seconda minaccia informatica più diffusa è risultata essere la compromissione degli account cloud, segnalata da un terzo degli intervistati. Secondo un vecchio report di Gartner quasi tutti gli attacchi riusciti ai servizi cloud sono il risultato di errori di configurazione ed errori dei clienti. La ricerca di Check Point concorda: nel 2020, due terzi delle minacce citate dagli intervistati sono dipese da errori di configurazione della piattaforma cloud.
Gartner prevede inoltre che fino al 2023 almeno il 99% degli errori di sicurezza del cloud sarà colpa del cliente. Quasi la metà delle organizzazioni intervistate ha commesso errori che hanno esposto dati, API o segmenti di rete a Internet. Ad esempio, controllate questo elenco di storage container compromessi in passato. Quella lista vecchia di tre anni è diventata rapidamente obsoleta.
Questi errori di configurazione non intenzionali hanno assunto in tempi recenti una nuova importanza. In passato, molti prodotti per la sicurezza si concentravano sul tenere fuori i malintenzionati e bloccare gli estranei. Andava bene quando l’infrastruttura cloud era una piccola parte delle tipiche operazioni aziendali, ma al giorno d’oggi abbiamo bisogno di strumenti in grado di trovare e correggere questi errori non intenzionali.
Cos’è il CSPM?
La gestione della posizione di sicurezza del cloud (CSPM) combina intelligence sulle minacce, rilevamento e risoluzione su raccolte complesse di applicazioni basate su cloud. I CSPM completano i broker di sicurezza dell’accesso al cloud (CASB) e i prodotti per la protezione dei carichi di lavoro nel cloud e colmano il divario tra di essi. Alcuni fornitori CASB e di protezione workload in cloud offrono oggi moduli aggiuntivi CSPM alle loro linee di prodotti esistenti.
Le tecnologie cloud sono state classificate come infrastruttura come servizio (IaaS), piattaforma come servizio (PaaS) e software come servizio (SaaS). Le differenze tra queste tre designazioni si stanno offuscando al punto che tali etichette non hanno più molto significato. Man mano che le aziende acquistano offerte cloud più diversificate, l’idea di avere un unico strumento come CSPM che copra tutte queste basi diventa un’opzione molto interessante. Un’analisi di mercato prevede che la dimensione del mercato globale di CSPM crescerà da 4 miliardi di dollari nel 2020 a 9 miliardi di dollari nel 2026: ecco perché questa è una categoria a cui prestare grande attenzione.
Le acquisizioni in ambito CSPM sono state numerosissime negli ultimi tre anni. Ecco alcuni esempi:
- Zscaler ha acquisito lo strumento CSPM di Cloudneeti nel 2020
- Trend Micro acquisito Cloud One di Cloud Conformity
- Palo Alto Networks ha acquisito l’attuale Prisma Cloud da Redlock e un modello di protezione del carico di lavoro da Twistlock
- Aqua Security ha acquisito CloudSploit
- Sophos ha acquisito Avid Secure
Altri fornitori includono Accurics, Falcon Horizon di CrowdStrike, DivvyCloud di Rapid7, la startup Orca Security, Sysdig Secure e SecureSky Active Protection Platform.
Perché sono necessari i CSPM?
Il problema per tutte le tecnologie basate su cloud è che mancano intrinsecamente di un perimetro. Ciò significa che mentre potete avere una certa protezione (come con un CASB), nessun metodo semplice può determinare quali processi o persone dovrebbero avere accesso e tenere fuori coloro che non hanno diritti di accesso. Avete insomma bisogno di una combinazione di misure protettive per garantire tutto questo.
L’altra sfida è che i processi manuali non possono tenere il passo con scalabilità, container e API. Questo è il motivo per cui ha preso piede quella che ora viene chiamata infrastruttura come codice, in cui l’infrastruttura è gestita e fornita da file di definizione leggibili dalla macchina. Questi file dipendono da un approccio basato su API. Questo approccio è parte integrante degli ambienti cloud-first perché facilita la modifica dell’infrastruttura al volo, ma facilita anche la creazione di configurazioni errate che lasciano l’ambiente aperto alle vulnerabilità.
Parlando di container, è anche difficile rintracciarli tra le numerose offerte cloud disponibili. AWS ha Elastic Container Service, il motore di calcolo serverless Fargate e l’Elastic Kubernetes Service. I servizi container pubblici come Docker e Terraform possono o meno essere supportati da ciascun CSPM.
Anche la visibilità è difficile senza molta integrazione. Serve infatti un’unica fonte di verità sulla vostra posizione di sicurezza nel cloud. Ciò significa che una dashboard CSPM dovrà trovare posto nel vostro centro operativo di sicurezza (SOC), uno spazio già affollato e che il CSPM dovrebbe essere in grado di collegarsi a questi strumenti esistenti e condividere indicatori di potenziale compromissione o notifica di un attacco attivo alla vostra infrastruttura.
Alcuni strumenti, come Falcon di CrowdStrike e Orca, fanno un ulteriore passo avanti nell’integrazione. Entrambi possono infatti eseguire operazioni come inviare avvisi ai canali Slack, avviare i flussi di lavoro Jira e inviare ticket dell’help desk a ServiceNow per un’ulteriore risoluzione. Gartner ha identificato cinque diverse caratteristiche comuni ai CSPM:
- Valutazione della conformità
- Log operativo e monitoraggio del feed di avviso e rilevamento delle minacce
- Integrazione DevOps e correzione della distribuzione continua
- Risposta agli incidenti quasi in tempo reale
- Valutazione e visualizzazione uniforme del rischio
Domande da porre al provider CSPM
- CSPM funziona con tutti e tre i principali cloud pubblici (AWS, Azure e Google Cloud Platform), nonché con vari Kubernetes e altre implementazioni basate su container? Che dire del supporto per le app SaaS comuni come Box, Salesforce, Workday e ServiceNow? La copertura di ciascun prodotto varia e alcuni prodotti inseriscono agenti nel cloud, altri utilizzano l’accesso di sola lettura per eseguire la scansione dell’ambiente e delle risorse e alcuni dispongono dell’accesso in scrittura per consentire le modifiche per risolvere i problemi nei vostri account
- Quanto davvero sono in tempo reale le notifiche su cambiamenti, violazioni delle norme e altri eventi insoliti? Il CSPM traccia dei gruppi di sicurezza deboli configurati in modo errato, dell’accesso remoto, degli errori di controllo delle app e delle modifiche alla rete? Tutti i fornitori di servizi cloud offrono un monitoraggio delle attività integrato, ma se utilizzate più cloud, il vostro CSPM deve analizzare questa ricca offerta di dati e dare a essa un senso pratico
- Anche l’automatizzazione della risoluzione dei problemi è in tempo reale? I migliori CSPM cercheranno continuamente i sistemi vulnerabili e alcuni offrono modi per rilevare quando una nuova macchina virtuale ha creato una situazione non sicura
- Con quali altri strumenti di sicurezza e notifica (come SIEM e SOAR) si integra il CSPM?
- Quanti framework di reporting di conformità/controllo sono supportati su ciascun provider cloud? Ogni strumento supporta una raccolta di framework diversa, che non è necessariamente la stessa su tutti i cloud
- Quanto costa? Alcuni fornitori offrono una prova gratuita limitata, mentre altri addebitano per host o in modi più complessi che potrebbero significare una sorpresa alla scadenza del conto. Pochi sono come Sysdig che offrono una pagina Web dei prezzi pubblica e trasparente
5 prodotti CSPM e le loro caratteristiche
CrowdStrike Falcon Horizon supporta una diversa raccolta di servizi tra AWS e Azure. Dispone di un’unica console che consente di gestire i gruppi di sicurezza su entrambi i cloud e di segnalare i rischi dei cluster Kubernetes gestiti su entrambi i servizi. Può essere utilizzato per identificare in modo proattivo le minacce come parte del ciclo di vita dello sviluppo del software utilizzando agenti per monitorare l’attività.
Orca Security è un fornitore CSPM che ha un’offerta agentless che supporta tutte e tre le principali piattaforme cloud pubbliche. Il suo strumento include alcune funzionalità di protezione del carico di lavoro e offre un’ispezione approfondita dei container trovati in ciascuno dei servizi cloud.
SecureSky Active Protection Platform supporta tutti e tre i principali fornitori di cloud pubblico e include il supporto per una varietà di applicazioni SaaS, tra cui Office 365, Workday, Salesforce, ServiceNow e Box. Si integra con SIEM e vari strumenti di conformità e include una risposta alle minacce gestita integrata
Sysdig Secure ha iniziato offrendo supporto per AWS ed è attualmente in versione beta per il cloud di Google (aggiungerà Azure entro la fine dell’anno). Scansiona fino a 250 immagini di container gestite sia in AWS Fargate, sia in ECR. Ha un piano gratuito e alcuni a pagamento che aggiungono funzionalità come il monitoraggio dei container, a partire da 24 dollari per host al mese, con sconti di acquisto annuali.
Il CSPM di Zscaler è stato acquisito da Cloudneeti lo scorso anno. Offre una prova gratuita di 30 giorni. Da allora, sono stati aggiunti inventari di risorse, molte policy predefinite e un linguaggio di query per costruirle, oltre al supporto per Google Cloud Platform che è andato ad aggiungersi a quello per AWS e Azure.