I sistemi di storage sono l’anello debole della sicurezza dell’infrastruttura IT
Secondo un rapporto della società di sicurezza informatica Continuity Software, i sistemi di storage hanno una posizione di sicurezza significativamente più debole rispetto agli altri due livelli dell’infrastruttura IT: computer e apparecchiature di rete.
Analizzando i dati provenienti da oltre 400 dispositivi di archiviazione aziendale, la ricerca ha rivelato 6.300 problemi di sicurezza distinti relativi a 15 vulnerabilità a cui, in media, è esposto ogni dispositivo di sicurezza aziendale. Lo studio ha esaminato le appliance di fornitori tra cui Brocade, Cisco, Dell EMC, IBM, Hitachi Data Systems e NetApp.
“Delle tre principali categorie di infrastrutture IT (elaborazione, rete e archiviazione) quest’ultima spesso ha il valore maggiore, sia dal punto di vista della sicurezza che del business”, ha affermato Gil Hecht, fondatore e CEO di Continuity. “Le vulnerabilità della sicurezza e le configurazioni errate dei dispositivi di archiviazione rappresentano una minaccia significativa, soprattutto perché negli ultimi anni gli attacchi ransomware hanno travolto molte aziende. Tuttavia, in base alla nostra analisi, la posizione di sicurezza della maggior parte dei sistemi di storage aziendale è sorprendentemente debole”.
Le organizzazioni devono agire immediatamente per proteggere meglio il proprio spazio di archiviazione e i sistemi di backup per garantire che i propri dati siano protetti da ransomware e altri attacchi informatici, ha affermato Hecht. Delle 15 principali vulnerabilità rilevate nella ricerca, tre sono state designate come particolarmente critiche e comportano rischi per la sicurezza molto elevati. Il rapporto ha anche delineato 170 principi di sicurezza che non sono stati adeguatamente messi in pratica dai team aziendali.
I principali rischi per la sicurezza includono i protocolli vulnerabili
Le tre principali vulnerabilità enunciate dal rapporto includono l’uso di protocolli vulnerabili o impostazioni di protocollo, vulnerabilità CVE (vulnerabilità ed esposizione comuni) non indirizzate e problemi di diritti di accesso. Altre vulnerabilità significative sono legate alla gestione e all’autenticazione non sicure degli utenti e alla registrazione insufficiente sicura.
Il rapporto ha evidenziato che i protocolli/le impostazioni dei protocolli vulnerabili spesso si riferiscono alla mancata disabilitazione, o al mancato utilizzo di versioni legacy, di protocolli di archiviazione come SMB (Server Message Block) versione 1 e NFS (Network File System) versione 3. I protocolli e le impostazioni dei protocolli vulnerabili derivano anche dall’uso di suite come TLS (transport layer security) 1.0 e 1.1, SSL (secure socket layer) 2.0 e 3.0, che gli esperti di sicurezza non raccomandano più.
Il report afferma inoltre che gli strumenti di gestione delle vulnerabilità comuni utilizzati dalle organizzazioni non rilevano molti CVE di archiviazione (vulnerabilità ed esposizioni comuni), ma si concentrano piuttosto su sistemi operativi server, dispositivi di rete tradizionali e prodotti software. Ciò lascia una grande percentuale di dispositivi di archiviazione (vicina al 20%) esposti. Negli ambienti oggetto della ricerca sono state rilevate più di 70 CVE diverse.
I principali problemi relativi ai diritti di accesso includono un gran numero di dispositivi interessati da una configurazione errata, incluso l’accesso illimitato all’archiviazione condivisa, la suddivisione in zone e la configurazione di mascheramento non consigliate, la capacità di raggiungere elementi di archiviazione da reti esterne e altro ancora.
La gestione e l’autenticazione degli utenti non sicure si riferiscono a una serie di problemi, tra cui l’uso non consigliato di utenti locali, l’uso di account amministratore non individuali, la mancata applicazione delle restrizioni alla gestione delle sessioni e la separazione impropria di compiti/ruoli.
Vulnerabilità riscontrate nelle tecnologie di archiviazione
Continuity ha raccolto dati anonimi da oltre 20 settori in Nord America ed EMEA (Europa, Medio Oriente e Africa), coprendo servizi bancari e finanziari, trasporti, sanità, telecomunicazioni e altri settori industriali. L’analisi ha riguardato la configurazione di sistemi di storage a blocchi, oggetti e IP, SAN/NAS, server di gestione dello storage, dispositivi di storage, SAN virtuali, switch di rete di storage, dispositivi di protezione dei dati, sistemi di virtualizzazione dello storage e altri dispositivi di storage.
Il motore di rilevamento automatico dei rischi di Continuity Software è stato utilizzato nella ricerca per misurare molteplici errori di configurazione e vulnerabilità a livello di archiviazione che potrebbero rappresentare una minaccia per la sicurezza dei dati aziendali.
“Abbiamo utilizzato anche dei data scientist, ma fondamentalmente abbiamo utilizzato la raccolta delle informazioni grezze con i nostri strumenti di mappatura dei dati proprietari. Quindi, parte del problema che le aziende hanno, in qualsiasi aspetto della gestione dell’IT, non solo per quanto riguarda i dati e lo storage, è avere visibilità: scoprire tutte le loro risorse, capire come sono configurate, acquisire i dati di configurazione e seguirli nel tempo” ha affermato Doron Pinhas, CTO di Continuity.
Secondo Pinhas, parte della metodologia di Continuity consisteva nell’utilizzare un’ampia base di conoscenza che descrivesse le possibili vulnerabilità. Continuity ha anche usato la propria tecnologia per rivedere i dati raccolti e capire quali vulnerabilità esistevano. Quindi ha inserito le informazioni in un database per analizzarle utilizzando varie metriche.
Altri problemi meno significativi rilevati dallo studio includono l’uso scorretto delle funzionalità di protezione ransomware, API/CLI non documentate e non sicure e vulnerabilità e mancanza di supervisione nella gestione della supply chain del software di storage. Il rapporto ha inoltre rilevato una debole correlazione tra la posizione geografica e la maturità della sicurezza dello storage, il che significa che la frequenza e la gravità delle minacce osservate sono rimaste invariate con il cambio di posizione.
Come le aziende possono proteggersi
Alcune delle raccomandazioni fornite dal rapporto includono la valutazione dei regimi di sicurezza interni esistenti per un’inclusione sufficiente dell’infrastruttura di archiviazione, l’identificazione di possibili lacune nella conoscenza della sicurezza dell’archiviazione e la creazione/miglioramento di programmi di sicurezza per affrontare queste lacune. Il report incoraggia inoltre l’uso dell’automazione per valutare continuamente lo stato della sicurezza dell’infrastruttura di storage.
“Una delle cose che consigliamo ai clienti di fare è mappare rapidamente le classificazioni dei dati. I CISO ammettono di non essere bravi in questo“, afferma Pinhas. “Penso che le organizzazioni dovrebbero davvero avere una visione molto chiara delle loro linee guida di sicurezza, comprendere come possono essere attaccate e avere un’immagine chiara della superficie di attacco. La buona notizia è che abbiamo risorse e tecnologia per fare tutto ciò”.
In un rapporto simile pubblicato il mese scorso, Gartner ha affermato che la maggior parte degli attacchi ransomware prende di mira set di dati non strutturati su condivisioni di rete, rendendo le soluzioni di archiviazione centralizzata un obiettivo attraente per la crittografia e/o l’esfiltrazione di dati da grandi quantità di dati.