A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
Dato che il mercato si sposta sempre di più verso modelli di computing di nuova generazione, entro il 2020 oltre il 90% delle organizzazioni adotterà infrastrutture ibride. Questo passaggio al cloud implica vantaggi innegabili per la maggior parte delle organizzazioni: dalle start-up che vogliono sfruttare costi iniziali ridotti alle grandi organizzazioni che cercano di aumentare l'efficienza, scalare la domanda e beneficiare della costante disponibilità di servizi e di una maggiore agilità.
Con questa crescita, la sfida di proteggere i dati critici nel cloud assume una nuova dimensione.
Poiché i server sono spesso colpiti da malware o minacce interne, molti sono portati a pensare che i dati archiviati nel cloud siano in qualche modo più sicuri di quelli che risiedono sui server aziendali. Questo non è necessariamente vero: le informazioni memorizzate sull'infrastruttura cloud possono essere altrettanto (non) sicure quanto quelle di qualsiasi altro archivio di dati aziendali.
Gran parte del rischio nasce dal malinteso su come i server cloud siano posizionati nella rete. Sebbene vengano affittati dall’azienda come spazio dedicato e utilizzati per obiettivi di business fondamentali, le connessioni a questi server cloud (se non facilitate da una VPN o da altri canali fortemente crittografati) attraversano il perimetro della rete e l'internet pubblico. Ciò significa che i dati caricati da e verso il cloud sono un obiettivo primario degli attacchi man-in-the-middle, realizzati da attori opportunisti che sperano di captare username, password e altri dettagli sensibili da poter sfruttare per il furto diretto di dati aziendali.
La realtà è che mentre le organizzazioni possono esternalizzare i servizi IT, non possono fare altrettanto con tutte le funzioni di sicurezza. Infatti, la protezione del cloud resta in carico all’azienda che detiene i dati e ha le sue sfide specifiche, rispetto alle quali la maggior parte degli attuali controlli di sicurezza nativi e le soluzioni di sicurezza di terze parti presentano limiti significativi.
Visibilità totale sui servizi cloud: un fattore imprescindibile
L’amministrazione locale di una metropoli negli Stati Uniti aveva esternalizzato lo storage dei database SQL a un provider di storage cloud. Tuttavia, non si erano interrogati sui protocolli utilizzati di default dal server per caricare e scaricare le informazioni – indirizzi, numeri di telefono, numeri di targa dei veicoli registrati – una grande moltitudine di informazioni che l’amministrazione stava caricando sul database esterno tramite connessioni non criptate.
Questi dati altamente sensibili erano destinati a un accesso limitato da parte di dipendenti selezionati all'interno dell’amministrazione cittadina, ma il controllo di sicurezza aveva reso i dati disponibili a qualsiasi aggressore abbastanza vicino da posizionarsi sul perimetro della rete e raccogliere i pacchetti MySQL che venivano trasferiti.
Darktrace Cloud ha rilevato una connessione SQL insolita a un raro IP esterno da un dispositivo desktop all'interno dell'azienda. Questa comunicazione è stata verificata come legata all'SQL tramite l'acquisizione di pacchetti, che ha quindi rivelato il rischio per i dati pubblici sensibili.
Il cliente non era a conoscenza della vulnerabilità, che era rimasta celata ai controlli da parte di tutto il suo stack di sicurezza. Un utente malintenzionato avrebbe potuto sfruttarla facilmente per raccogliere materiale per attacchi di spear phishing o potenzialmente anche per frodi sull'identità.
Questo caso mostra concretamente come l'hosting di dati su server esterni possa creare pericolosi punti ciechi e introdurre minacce sottili che eludono gli strumenti tradizionali basati su firme. Per questo motivo la visibilità completa di tutti i servizi cloud è fondamentale per ridurre i rischi e identificare comportamenti atipici o sospetti.
Oltre 500 clienti nel mondo utilizzano Darktrace Cloud per difendere gli ambienti cloud e le applicazioni SaaS, inclusi AWS, Microsoft Azure, Salesforce e Google Cloud Platform. Darktrace offre alle aziende una visibilità fondamentale e il rilevamento delle minacce in tempo reale su tutte le infrastrutture distribuite.
Il machine learning senza supervisione si rivela oggi uno strumento potente, che rende possibile alle aziende affrontare con fiducia i rischi di perdita di dati e attacchi man-in-the-middle che possono colpire gli utenti del cloud.