L’adozione massiccia di ambienti cloud ha permesso alle aziende di trasformare le proprie attività, offrendo scalabilità e ottimizzazione dei costi, ma ha anche posto una pressione crescente sui professionisti della sicurezza informatica. Indagini recenti indicano che quasi due terzi degli analisti di sicurezza ritengono che la superficie d’attacco sia aumentata negli ultimi tre anni, spinta dagli investimenti digitali e cloud innescati dalla pandemia. Questa crescita esponenziale sta alimentando una spirale di complessità, con più alert da analizzare, più regole da impostare e più strumenti da gestire. Il risultato? Un carico di lavoro insostenibile che rende più difficile rispondere rapidamente agli incidenti e gestire le violazioni. Ma oltre alla crescente superficie d’attacco, è la qualità stessa dei log del cloud a rappresentare una sfida significativa per gli analisti già sotto pressione. Con l’evoluzione della tecnologia cloud, i log disponibili non sono ancora sufficientemente maturi, e limitano la visibilità sugli ambienti cloud. Questa mancanza di visibilità non solo aumenta il carico di lavoro per i team di sicurezza, ma amplifica anche il rischio di violazioni.
Per garantire la sicurezza, mantenere la compliance e migliorare l’efficienza operativa, le organizzazioni devono individuare una soluzione per migliorare la visibilità nei loro ambienti cloud.
Problemi iniziali
In alcuni casi, i log del cloud non solo non soddisfano le aspettative, ma espongono anche le organizzazioni a rischi di sicurezza. Ad esempio, il team di ricerca in Vectra ha recentemente scoperto un nuovo exploit di Azure che utilizza CSV e tecniche di log injection per attaccare gli amministratori e ottenere privilegi di amministrazione. Una volta compromesso l’accesso, gli attori delle minacce potrebbero ottenere il controllo su qualsiasi risorsa dell’ambiente violato, sottrarre dati sensibili, distribuire ransomware o vendere l’accesso a gruppi criminali specializzati. Le conseguenze per un’organizzazione potrebbero essere devastanti: perdita di fiducia da parte dei clienti, sanzioni e impatti sul fatturato e sulle quote di mercato.
Oltre alle vulnerabilità di sicurezza, ci sono altri problemi legati ai log che compromettono ulteriormente la visibilità e aumentano il carico di lavoro per gli analisti:
Incongruenze negli ID utente e negli IP – Formati di dati incoerenti, come la diversa rappresentazione di indirizzi IP o nomi utente, complicano il lavoro degli analisti durante gli incidenti di sicurezza. Queste discrepanze richiedono ulteriori sforzi per correlare i dati, ritardando la risposta agli incidenti.
Comunicazioni frequenti sulle interruzioni – Sebbene provider come Microsoft siano generalmente affidabili nel notificare le interruzioni, è necessaria una maggiore visibilità e controllo nei log per tracciare il flusso di dati ed evitare disattivazioni accidentali o non autorizzate. Senza questi strumenti, è difficile distinguere tra un’interruzione dei log e un’azione malevola.
Ritardi nella visibilità degli eventi di log – I log sono essenziali per notificare agli analisti cambiamenti urgenti che richiedono azioni rapide per mantenere la sicurezza del cloud. Tuttavia, ritardi nella ricezione di questi avvisi possono mettere a rischio le organizzazioni, considerato che gli attori delle minacce sono in grado di sfruttare le falle in meno di 30 minuti.
I cloud provider devono agire a supporto dei difensori
È evidente che, sebbene il cloud offra numerosi vantaggi in termini di efficienza, è necessario lavorare per migliorare la visibilità in questi nuovi ambienti. Le sfide legate ai log del cloud non sono però facilmente risolvibili. Quando i log on-premise risultano inadeguati, gli analisti possono considerare di cambiare vendor per migliorarne accuratezza ed efficacia. Nel cloud, però, si trovano a fare i conti con limitazioni che derivano dal controllo totale che provider come AWS o Azure esercitano sui log disponibili e sul loro formato.
È quindi responsabilità dei cloud provider migliorare la qualità dei log per rafforzare la sicurezza dei propri clienti. Documentare accuratamente eventi e campi è un passo essenziale per offrire visibilità sui log, così come garantire una rapida consegna dei record per consentire analisi efficienti dei dati. Seguendo queste linee guida, i cloud provider possono migliorare la fruibilità complessiva dei log, favorendo una migliore capacità di analisi e la risoluzione dei problemi per gli utenti.
Usare l’AI per neutralizzare la spirale della complessità
Mentre i cloud provider devono concentrarsi sull’aggiornamento dei log, le organizzazioni possono fare la loro parte per minimizzare i rischi legati al cloud. Sebbene sia impossibile controllare fattori esterni come l’espansione della superficie d’attacco, è possibile mitigare l’impatto della “spirale di complessità” sui team di sicurezza.
Un modo per farlo è utilizzare l’AI per migliorare la chiarezza dei segnali, riducendo il carico sugli analisti per individuare e rispondere agli attacchi, sia on-premise che in cloud. Segnali più chiari permettono ai team di identificare e prioritizzare con maggiore precisione le minacce reali, mettendo le organizzazioni nella migliore posizione per difendersi dai rischi moderni. Una precisa rilevazione delle minacce migliora la resilienza informatica e l’efficacia dei Security Operations Center (SOC), un aspetto cruciale in un mondo sempre più cloud-centrico.
Con uno sforzo congiunto tra cloud provider e organizzazioni, è possibile trasformare i log del cloud da problema a strumento di sicurezza essenziale. In questo contesto, soluzioni come quelle offerte da Vectra AI, che utilizzano l’intelligenza artificiale per rilevare e rispondere alle minacce, possono migliorare significativamente la visibilità e la protezione contro gli attacchi mirati alle infrastrutture cloud. La piattaforma Vectra AI, infatti, è progettata per offrire visibilità in tempo reale e rafforzare la sicurezza, consentendo una gestione efficace dei rischi nel cloud.
A cura di Massimiliano Galvagna, Country Manager di Vectra AI per l’Italia
