Sicurezza del cloud: verità da conoscere e miti da sfatare
Con l’espansione continua del cloud in tutto il mondo e con l’aumento della complessità delle offerte, alcuni miti persistono. Check Point vuole fare chiarezza elencando i miti più comuni sulla sicurezza del cloud, seguiti dalla rispettiva verità.
Maggiore è il numero degli strumenti di sicurezza e meglio è
Disporre di un numero elevato di questi tool non equivale assolutamente a una maggiore sicurezza. Secondo il Cloud Threat Report 2020 di The Oracle e KPMG, il 70% degli intervistati riferisce che sono necessari troppi strumenti per proteggere gli ambienti cloud pubblici.
In media, ognuno di essi ne utilizza più di 100. Utilizzare diversi vendor di sicurezza, che forniscono diverse soluzioni e che bloccano diversi vettori di attacco, produce crepe nella protezione. E queste crepe diventano punti di accesso per gli aggressori. Per superare queste carenze, è indispensabile implementare strumenti e risorse che contribuiscano a semplificare la gestione della sicurezza del cloud e ad assumerne il controllo.
La sicurezza è responsabilità del cloud provider
In qualità di cliente cloud, l’organizzazione dell’utente finale mantiene la responsabilità di proteggere i dati inseriti nel cloud nel noto “modello di responsabilità condivisa”. Per proteggere le infrastrutture native nel cloud, è fondamentale capire esattamente di chi sono le responsabilità, considerando che variano a seconda dei servizi che si stanno consumando. Ci sono molti modi diversi per proteggere i dati nel cloud e le organizzazioni non riescono a garantirne la maggior parte di essi.
Violazioni di successo risultato di attacchi sofisticati
Esistono hacker sofisticati, ma la realtà è che la spiegazione dietro la maggior parte degli attacchi che hanno successo non è la complessità dell’attacco. Sono gli errori e le configurazioni errate da parte degli utenti finali a decretare il successo della stragrande maggioranza degli attacchi. Gartner prevede che, fino al 2025, almeno il 99% dei danni al cloud sarà colpa del cliente.
In stile Mission Impossible, gli aggressori si muovono tra i laser e riescono a craccare il codice della porta del caveau. Però, la realtà è più simile a quella di un ladro fortunato che incontra semplicemente una porta aperta nel momento giusto. Infatti, Sergio Lourerio, cloud security director di Outpost24 ha dichiarato: “Siamo ancora agli albori della sicurezza delle infrastrutture cloud e quello che vediamo è una prevalenza di attacchi opportunistici, non molto sofisticati, come la ricerca di data bucket AWS S3 accessibili al pubblico.”
La visibilità su cloud è facile
Quando si usano risorse cloud, l’utente dovrebbe sapere esattamente cosa sono queste risorse, che risorse sono oltre a tutte le informazioni rilevanti, come ad esempio:
- Quanti conti abbiamo?
- Gli sviluppatori hanno aggiunto macchine, nuove funzionalità o si sono negli ultimi anni interfacciati con l’esterno?
- Chi l’ha inserito?
- È configurato correttamente?
- Ha delle vulnerabilità?
- Possono essere fermate prima che colpiscano l’ambiente di runtime?
Purtroppo, tutte queste informazioni sono molto difficili da tracciare, più di quanto molti si rendano conto. Senza la visibilità di come le risorse dovrebbero comportarsi, non è possibile osservare quando quel comportamento devia. Senza dashboard sicure, è molto difficile identificare e agire sulle minacce in modo tempestivo.
La sicurezza è meglio lasciarla ai professionisti
È un pensiero comune dire “che se ne occupino i professionisti della sicurezza”, ma invece le best practice devono includere tutti nel mondo della sicurezza. Ad esempio, la messa in sicurezza di un software deve essere fatta prima, e non durante lo sviluppo o l’implementazione, o addirittura dopo di essa. Bisogna rendere gli sviluppatori parte del processo anziché adottare un approccio conflittuale, offrire loro funzionalità self-service per valutare la sicurezza di uno stack che stanno per distribuire e fornire strumenti per risolvere automaticamente i problemi, prima che entrino in produzione.
Il cloud è intrinsecamente più sicuro
I cloud provider sono generalmente più affidabili nello svolgere azioni come la patch dei server. Lasciar fare a loro ha senso e la fiducia in loro è meritatamente alta. The Cloud Security Alliance (CSA) delinea le principali minacce al cloud computing. Le recenti risposte al sondaggio hanno evidenziato un calo significativo dei problemi tradizionali di sicurezza cloud sotto la responsabilità dei provider cloud. Le preoccupazioni sono scese così in basso che la CSA ha scelto di escluderle dall’ultimo report.
Proteggere tutto attraverso molteplici cloud comporta però la sicurezza dell’accesso, la gestione delle identità e il controllo costante, eccetera. La continua crescita di carichi di lavoro su diversi cloud pubblici e privati comporta difficoltà nell’ottenere visibilità e mancanza di un contesto end-to-end intorno al rischio. Queste sfide sono aggravate dai gap di sicurezza inevitabili con soluzioni disparate.
Inoltre, le tecnologie serverless frammentano la vostra app in componenti più piccoli che sono richiamabili. Questo spostamento, unito all’uso di trigger basati su eventi da diverse fonti (come lo storage, le code di messaggi e i database), fa sì che gli aggressori abbiano più obiettivi e più vettori di attacco.
Bisogna rallentare gli sviluppatori per mantenere la sicurezza
Tratto da un articolo di Computer Business Review, “Gli sviluppatori dovrebbero essere abilitati con plug-in che attivano controlli di sicurezza e di compliance in ogni fase del processo DevOps, esponendo i risultati proprio all’interno degli strumenti che utilizzano comunemente per consentire una rapida riparazione del codice vulnerabile.”
Inoltre, le fasi di risanamento devono essere automatizzate sia per risolvere i problemi che per snellire i processi di sicurezza. Consentire agli sviluppatori di fare il loro lavoro in modo sicuro, senza aggiungerne altro, come fornire strumenti per automatizzare le attività, come la generazione di permessi per le funzioni serverless. Adottare misure per rimuovere l’attrito, invece di rallentare le cose.
L’automazione della sicurezza è ideale e il controllo dell’uomo non è necessario
Ancora una volta, un aneddoto che mescola verità e finzione. Il vero ideale di sicurezza è una combinazione di automazione e controllo da parte dell’uomo. Il report 2020 State of Pentesting ha esaminato quali vulnerabilità delle web app possono essere trovate in modo affidabile utilizzando le macchine rispetto alle competenze umane. “Lo studio ha scoperto che, sia gli esseri umani che le macchine, apportano valore quando si tratta di trovare specifiche classi di vulnerabilità. Secondo il report, gli esseri umani “vincono” nel trovare i bypass della logica di business, come situazioni di corsa (race condition) e gli exploit incatenati.”
La sicurezza delle applicazioni SaaS non richiede alcuna attenzione
A differenza di IaaS, le applicazioni SaaS effettivamente non richiedono un’azione di chi le usa per applicare patch ai server. In qualità di utente finale, basta concedere semplicemente l’accesso ai dipendenti dell’organizzazione e lasciarle funzionare.
Tuttavia, molte applicazioni SaaS contengono necessariamente informazioni sensibili. Gli utenti sono spesso in grado di interagire con i file, compresa la condivisione e la configurazione dell’accesso. Quelli che concedono l’accesso ad altri senza revocarglielo quando lasciano l’organizzazione, generano problemi di sicurezza che richiedono attenzione.
I bucket S3 sono sicuri di default
Come impostazione predefinita, i bucket Amazon S3 sono privati e accessibili solo da chi ha ottenuto l’accesso. Quindi, sì, sono sicuri. Tuttavia, come le cinture di sicurezza, non sono di alcun aiuto se non vengono utilizzate. Molti data breach sono il risultato di configurazioni errate, come il semplice rendere pubblici i bucket, o altri errori come la memorizzazione delle password in chiaro in GitHub o nei bucket S3.
Secondo l’Internet Threat Report di Symantec del 2019, nel 2018 “i bucket AWS S3 sono emersi come il tallone d’Achille per le organizzazioni, con oltre 70 milioni di record rubati o dispersi a causa della configurazione errata.”
I container e le funzioni serverless sono intrinsecamente più sicuri
Progettati per essere temporanei, i container tendono ad avere una vita breve, il che rafforza la sicurezza. Gli aggressori non sono in grado di ottenere facilmente una presenza a lungo termine nel sistema. Se in sostanza questa affermazione è vera, l’uso di trigger event-based da diverse fonti significa che gli hacker hanno più bersagli e più vettori di attacco. Configurate correttamente, queste tecnologie cloud-native possono essere più sicure, assolutamente. Ma solo se configurate correttamente.
I CVE sono le uniche vulnerabilità di cui mi devo preoccupare
Come già detto, la crescente sofisticazione non è la ragione dietro al successo della maggior parte degli attacchi. Pertanto, è logico concentrarsi sulla mitigazione del rischio dei vettori di attacco più comuni. Tuttavia, la scelta di trascurare deliberatamente la sicurezza al di fuori dell’ambito delle CVE porterà, per definizione, ad un aumento del rischio. Secondo un report di Balbix, uno dei 5 tipi di vulnerabilità che non sono CVE include errori di configurazione, che, come detto, sono il motore di molte violazioni di successo. Come si può vedere, la sicurezza cloud è piena di miti, ma una volta svelati, è facile scoprire i fatti e identificare le strategie necessarie per trasformare la sicurezza aziendale in-cloud.