I maggiori rischi del cloud tra configurazioni errate e vulnerabilità
Secondo un recente report di Sysdig, i due maggiori rischi per la sicurezza del cloud continuano a essere le configurazioni errate e le vulnerabilità, che vengono introdotte in numero sempre maggiore attraverso le catene di fornitura del software. Sebbene il modello zero trust sia una priorità assoluta, i dati hanno dimostrato che i diritti di accesso con privilegi minimi, alla base dell’architettura zero trust, non vengono applicati correttamente. Quasi il 90% dei permessi concessi non viene infatti utilizzato, il che lascia molte opportunità agli aggressori che sottraggono le credenziali.
I dati sono stati ricavati da un’analisi di oltre sette milioni di container che i clienti di Sysdig eseguono quotidianamente. Il report ha preso in considerazione anche i dati provenienti da fonti pubbliche come GitHub, Docker Hub e CNCF. Per il report sono stati analizzati i dati di clienti in Nord e Sud America, Australia, UE, Regno Unito e Giappone.
Quasi l’87% delle immagini di container è risultato includere una vulnerabilità elevata o critica, rispetto al 75% riportato l’anno scorso, e alcune immagini sono risultate avere più di una vulnerabilità. Le organizzazioni sono consapevoli del pericolo, ma si scontrano con la difficoltà nel dover affrontare le vulnerabilità mantenendo il ritmo veloce dei rilasci di software. Il motivo per cui le vulnerabilità persistono nonostante la correzione è dovuto a problemi di larghezza di banda e di priorità. Quando l’87% delle immagini di container in produzione presenta una vulnerabilità critica o di gravità elevata, un ingegnere DevOps o di sicurezza può accedere e vedere centinaia, se non migliaia di immagini con vulnerabilità.
“Ci vuole tempo per esaminare l’elenco e correggere le cose. Per la maggior parte degli sviluppatori, la scrittura del codice per le nuove applicazioni è l’oggetto della loro valutazione, quindi ogni minuto speso per applicare le correzioni è tempo non dedicato allo sviluppo di nuove applicazioni che possono essere vendute” ha dichiarato Crystal Morin, threat research engineer di Sysdig. Solo il 15% delle vulnerabilità critiche ed elevate con una correzione disponibile si trova in pacchetti caricati in fase di esecuzione. Filtrando i pacchetti vulnerabili che sono effettivamente in uso, le aziende possono concentrare i loro sforzi su una frazione più piccola delle vulnerabilità risolvibili che rappresentano un rischio reale.
I pacchetti Java sono i più rischiosi
Misurando la percentuale di vulnerabilità nei pacchetti caricati in fase di esecuzione per tipo di pacchetto, al fine di valutare quale linguaggio di programmazione, librerie o tipi di file presentino il maggior rischio di vulnerabilità, Sysdig ha rilevato che i pacchetti Java sono responsabili del 61% delle oltre 320.000 vulnerabilità nei pacchetti in esecuzione. Un maggior numero di vulnerabilità nei pacchetti esposti in fase di esecuzione comporta un rischio più elevato di compromissione o attacco.
Java presenta il maggior numero di vulnerabilità esposte in fase di esecuzione e sebbene questo non sia il tipo di pacchetto più diffuso in tutte le immagini del container, è il più comunemente utilizzato in fase di esecuzione. Anche se i tipi di pacchetti più recenti o meno comuni possono sembrare più sicuri, secondo Morin ciò potrebbe essere dovuto al fatto che le vulnerabilità non sono state scoperte o, peggio ancora, sono state trovate ma non sono state divulgate.
Applicare la strategia shift-left, shield-right”
Lo shift-left è la pratica di spostare i test, la qualità e la valutazione delle prestazioni nelle prime fasi del ciclo di vita dello sviluppo. Tuttavia, anche con una perfetta pratica di sicurezza shift-left, le minacce possono sorgere in produzione. Le organizzazioni dovrebbero seguire una strategia shift-left e shield-right, suggerisce Sysdig. La sicurezza shield-right enfatizza i meccanismi di protezione e monitoraggio dei servizi in esecuzione. “Le pratiche di sicurezza tradizionali con strumenti come firewall e sistemi di prevenzione delle intrusioni (IPS) non sono sufficienti. Lasciano delle lacune perché in genere non forniscono una visione dei carichi di lavoro containerizzati e del contesto cloud-nativo circostante”, ha affermato Morin.
La visibilità a livello di runtime può aiutare le aziende a migliorare le pratiche di shift-left. Una volta che i container sono in produzione, un ciclo di feedback per correlare i problemi scoperti in runtime al codice sottostante aiuta gli sviluppatori a sapere dove concentrarsi. “I test statici di sicurezza possono anche essere informati dalle informazioni di runtime per individuare quali pacchetti vengono eseguiti all’interno dei container che eseguono l’applicazione. In questo modo gli sviluppatori possono eliminare le vulnerabilità per i pacchetti inutilizzati e concentrarsi invece sulla correzione delle vulnerabilità sfruttabili e in esecuzione. L’obiettivo di ogni programma di cybersecurity dovrebbe essere la sicurezza dell’intero ciclo di vita”, ha aggiunto Morin.
Il pericolo delle configurazioni errate
Sebbene le vulnerabilità rappresentino un problema, le configurazioni errate sono ancora le principali responsabili degli incidenti di sicurezza del cloud e, pertanto, dovrebbero essere una delle maggiori cause di preoccupazione per le organizzazioni. Secondo Gartner, entro il 2023 il 75% dei problemi di sicurezza deriverà da una gestione inadeguata di identità, accessi e privilegi, rispetto al 50% del 2020.
I dati di Sysdig mostrano che solo il 10% delle autorizzazioni concesse agli utenti non amministratori sono state utilizzate se analizzate nell’arco di 90 giorni. L’analisi di Sysdig ha rivelato che le organizzazioni stanno concedendo l’accesso a un maggior numero di dipendenti o stanno maturando le loro pratiche di Identity and Access Management (IAM). La crescita della popolazione umana di utenti può essere un sottoprodotto dello spostamento di un maggior numero di attività in ambienti cloud o dell’aumento del personale dovuto alla crescita del business.
Quest’anno, il 58% delle identità presenti negli ambienti cloud dei clienti di Sysdig è risultato essere composto da ruoli non umani, in calo rispetto all’88% dello scorso anno. I ruoli non umani sono spesso utilizzati temporaneamente e, se non vengono più utilizzati e non vengono rimossi, forniscono punti di accesso facili per gli attori malintenzionati. “La ragione del cambiamento nei tipi di ruoli potrebbe derivare dal fatto che l’uso del cloud da parte delle organizzazioni sta crescendo e, con una maggiore adozione, più dipendenti ottengono accessi al cloud, spostando quindi l’equilibrio tra ruoli umani e non umani”, ha detto Morin.
Applicare i principi del privilegio minimo alle identità non umane
I team di sicurezza dovrebbero applicare i principi del privilegio minimo alle identità non umane nello stesso modo in cui gestiscono le identità umane. Dovrebbero inoltre rimuovere gli account di prova inutilizzati, laddove possibile, per evitare rischi di accesso; i filtri per le autorizzazioni in uso e le raccomandazioni generate automaticamente possono rendere questo processo più efficiente.
Il principio del privilegio minimo è lo stesso sia per i non umani, sia per gli umani. Le organizzazioni devono concedere l’accesso minimo necessario a un essere umano per svolgere il proprio lavoro. Lo stesso vale per i non umani, come le applicazioni, i servizi cloud o gli strumenti commerciali che hanno bisogno di accedere per svolgere il loro lavoro. Il funzionamento di questi strumenti è simile a quello delle applicazioni mobile che richiedono le autorizzazioni per accedere a contatti, foto, fotocamera, microfono e altro ancora.
“Dobbiamo quindi considerare la gestione degli accessi anche per queste entità non umane. Concedere permessi eccessivi e non gestire regolarmente quelli concessi fornisce ulteriori opzioni di accesso iniziale, movimento laterale ed escalation dei privilegi per gli attori malintenzionati”, conclude Morin.