Il mondo sta cambiando rapidamente. Le iniziative di trasformazione digitale e i nuovi servizi dei fornitori di cloud stanno generando un’esplosione di autorizzazioni basate sull’identità. E ognuna di queste, attraverso gli occhi di un attaccante, rappresenta una potenziale opportunità e un primo passo verso i beni più preziosi di un’azienda.
Least Privilege Access: la base per lo Zero Trust
In ambienti cloud, qualsiasi identità riferita ad umano, macchina o applicazione può essere configurata con i permessi di Identity and Access Management (IAM) per accedere a sistemi e servizi contenenti informazioni sensibili. Le identità sono categorizzate per utente, gruppo o ruolo e i permessi assegnati a seconda dell’attività che deve essere eseguita. Tuttavia, molte di queste identità vengono inavvertitamente configurate con permessi che consentono l’accesso a risorse che in realtà non utilizzano o di cui non hanno bisogno.
E sono proprio questi permessi che rappresentano una sfida per le organizzazioni che si muovono verso i framework di sicurezza Zero Trust, che richiedono che ogni identità che tenta di accedere alle risorse aziendali sia verificata e che l’accesso sia intelligentemente limitato. Un recente sondaggio ESG , sponsorizzato da CyberArk e da altri fornitori di tecnologia, ha rilevato che gli account e i ruoli con autorizzazioni eccessive vengono considerati la principale configurazione errata dei servizi cloud. Non sorprende che gli attaccanti ne abbiano preso atto: lo stesso sondaggio ha classificato i privilegi eccessivamente permissivi come il vettore di attacco più comune contro le applicazioni cloud.
Compromettendo un’identità cloud con autorizzazioni troppo ampie, un cyber criminale può spostarsi lateralmente all’interno di un’organizzazione o aumentare i propri privilegi al fine di esfiltrare i dati ospitati nel cloud, interrompere le applicazioni ad alto valore o addirittura mettere offline l’intero account cloud.
Per affrontare questa sfida, l’assegnazione del minor privilegio possibile, in cui tutte le identità hanno solo i diritti minimi necessari per svolgere le loro responsabilità, è una best practice consolidata per le organizzazioni nel percorso verso Zero Trust e cloud.
Ecco cinque motivi per introdurre o estendere il minimo privilegio ai vostri ambienti cloud.
Violazioni dei dati e il collegamento alle identità cloud
Mentre le aziende migrano le loro risorse più preziose verso il cloud, gli attaccanti spostano la loro attenzione sulle identità in-the-cloud. Il rapporto Verizon Data Breach Incident (DBIR) del 2020 ha confermato che nel 2019 gli asset cloud sono stati coinvolti in quasi il 25% delle violazioni. Le identità individuali rimangono l’anello più debole nella maggior parte delle organizzazioni, poiché secondo lo stesso studio il furto di credenziali è stato impiegato nel 77% delle violazioni del cloud.
Queste tendenze rafforzano la tesi di un accesso meno privilegiato agli ambienti cloud. In questo modello le organizzazioni si proteggono in modo proattivo dalle minacce interne – sia accidentali che pericolose – limitando notevolmente i danni potenziali degli attacchi esterni. Se gli attaccanti compromettono un’identità cloud in un modello least privilege, non possono accedere a risorse che esulano dalle responsabilità di tale identità. In questo modo si limitano i movimenti e proteggono le risorse mission-critical, recuperando tempo prezioso per rilevare e rispondere a un attacco.
L’adozione accelerata del cloud amplia la superficie di attacco. Il minor privilegio la riduce.
La corretta configurazione dei privilegi e dei permessi in ambienti cloud è una vera e propria sfida. I ruoli cloud IAM per alcuni servizi applicativi possono infatti essere forniti con un’ampia gamma di permessi per facilitare il lavoro degli sviluppatori. Altre organizzazioni non tengono conto dei permessi obsoleti, come ad esempio la mancata rimozione dell’accesso degli sviluppatori a storage bucket e container pod alla chiusura di un progetto.
Entrambi gli scenari sono ugualmente pericolosi, poiché un attaccante che compromette una qualsiasi di queste identità può aumentare le possibilità di movimento laterale, di escalation dei privilegi o di raggiungere dati mission-critical senza essere scoperto. Stabilire il minor privilegio possibile è un passo fondamentale per dissuadere gli attori di minacce interne e ostacolare gli aggressori esterni, riducendo il rischio.
Il minor privilegio è un elemento critico dei framework Zero Trust
L’adozione di servizi cloud pubblici, le applicazioni SaaS e l’accesso remoto hanno di fatto eliminato il tradizionale perimetro di rete. Le identità diventano quindi il nuovo “perimetro” e, con l’affermarsi dei moderni modelli Zero Trust, la loro autenticazione e autorizzazione diventa fondamentale.
I framework con privilegi minimi mirano a limitare il numero di risorse a cui ogni identità è autorizzata ad accedere e anche il numero di entità che può concedere o configurare nuove autorizzazioni, rendendo difficile per i criminali aumentare i privilegi e raggiungere obiettivi di valore una volta stabilito un punto d’appoggio.
I servizi cloud si stanno moltiplicando. Così come i rischi di una configurazione errata.
Le principali piattaforme di infrastruttura come servizio (IaaS) – Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) – stanno combattendo una battaglia sulle funzionalità. Questi fornitori introducono costantemente nuovi servizi per differenziarsi, aumentando la produttività e facilitando l’accesso a innovazioni come lo streaming dei dati, il networking blockchain e l’analisi dell’Internet of Things (IoT).
Ma questa accessibilità ha un prezzo. Nella fretta di adottare nuove funzionalità o di ampliarne l’utilizzo, le errate configurazioni di sistemi, risorse e strumenti cloud proliferano. Un semplice errore di configurazione può rapidamente trasformarsi in una grave violazione della sicurezza informatica. Il rapporto IBM 2020 sui costi di una violazione dei dati ha rilevato che gli aggressori hanno sfruttato le configurazioni errate del cloud in quasi il 20% dei casi.
Mentre la sicurezza in-the-cloud è una responsabilità condivisa tra fornitori e clienti, le aziende utenti sono in ultima analisi responsabili delle scelte di configurazione corrette per proteggere i loro dati. I modelli di adozione del minimo privilegio pongono l’accento sulla gestione delle autorizzazioni per identificare potenziali errori di configurazione e limitare l’accesso non autorizzato a servizi specializzati.
I fornitori di cloud, il settore e gli enti normativi consigliano l’approccio Least Privilege
Riconoscendo i pericoli di identità eccessivamente autorizzate e la difficoltà di configurare in modo sicuro le piattaforme dinamiche, AWS, Azure e GCP indicano l’accesso con il minimo privilegio come best practice di sicurezza.
Anche i consorzi per la sicurezza delle piattaforme-agnostiche come Cloud Security Alliance Cloud Control Matrix – così come le normative del settore finanziario tra cui MAS TRM, SWIFT e PCI DSS – sottolineano l’importanza di valutare continuamente il minor privilegio, una best practice che offre il giusto mix di pratiche di gestione degli accessi privilegiati e di controlli flessibili per bilanciare i requisiti di sicurezza e conformità con le esigenze operative e degli utenti finali.
Di Massimo Carlotti, Presales Team Leader di CyberArk