Secondo il report M-Trends 2019 di FireEye, che riassume i risultati di un anno di attività di Incident Response, sono sempre più numerosi i clienti che passano al cloud, in particolare a piattaforme di SaaS, e gli attaccanti si stanno muovendo di conseguenza. La sicurezza cloud deve quindi essere affrontata in maniera specifica.
Ad essere presi particolarmente di mira sono gli utenti dei servizi Cloud, rispetto alle infrastrutture. Infatti, molti incidenti di sicurezza si verificano senza che avvenga alcun attacco diretto alle infrastrutture dei servizi Cloud. Gli attaccanti utilizzano tecniche di phishing, exploit client-side o fanno leva sugli errori delle vittime – spesso tutte e tre le cose insieme – per procurarsi credenziali valide e autenticarsi così sui servizi Cloud.
Secondo Jay Heiser, research vice president di Gartner, da oggi e fino al 2022 almeno il 95% dei problemi per la sicurezza Cloud sarà imputabile a errori fatti dagli utenti del servizio. I responsabili IT delle agenzie governative dovranno dunque comprendere alcune caratteristiche specifiche del servizi Cloud e di quello che possono comportare in temini di sicurezza operativa. Ad esempio:
- La sicurezza Cloud è differente e richiede strumenti dedicati. Dato che la sicurezza globale del Cloud dipende in larga misura dalla sicurezza delle credenziali e dalla corretta applicazione delle autorizzazioni, i motori di Analytics diventano per un’organizzazione il metodo di rilevamento principale delle anomalie in ambito Cloud. Oltre all’identificazione dell’utilizzo improprio delle credenziali, le organizzazioni necessiteranno di avere visibilità sulle configurazioni non corrette dei servizi Cloud stessi e sull’utilizzo di applicazioni a rischio che possano rendere i dati vulnerabili.
- Proteggersi dagli attacchi che giungono dai vettori più comunemente sfruttati. Il phishing rimane il metodo preferito dagli attaccanti per effettuare i furti di credenziali. Sia che un’organizzazione rimanga on-premise o che si sposti su O365, un sistema di sicurezza email forte è la prima linea di difesa nel Cloud. Sempre tenendo conto del fatto che è necessario ottenere visibilità sulle logiche applicative dei sistemi Cloud, come detto qui sopra, la tradizionale sicurezza su email, endpoint e network resterà fondamentale. Le organizzazioni dovranno consolidare queste diverse “viste” per tutti i sistemi in uso in azienda, sia che essi siano completamente on-premise, ibridi e/o multi-cloud.
- Ci sono responsabilità di sicurezza condivise tra gli enti e le agenzie governative ed i fornitori di servizi Cloud. Il fornitore di cloud è responsabile della sicurezza dell’infrastruttura Cloud stessa, le agenzie sono invece responsabili della protezione dei dati all’interno del Cloud. Ad esempio le agenzie sono tenute a effettuare gli aggiornamenti e applicare le patch a sistemi operativi e agli applicativi. Le organizzazioni dovranno inoltre comprendere che queste partnership di responsabilità con i propri fornitori di servizi Cloud possono cambiare a seconda della tipologia di servizio utilizzato.
Azioni
La sicurezza non deve essere affrontata con un approccio a silos, ma è un presupposto fondamentale per soddisfare gli obiettivi di una adozione Cloud sicura.
“L’aspetto forse più critico è che le agenzie governative devono adottare un approccio olistico alla sicurezza nel Cloud per potersi così garantire la capacità di rilevare attacchi, proteggersi e più in generale ottenere visibilità non solo nelle infrastrutture IT on-premise ma anche negli ambienti ibridi e multi-cloud, dichiara Gabriele Zanoni, Consulting Systems Engineer di FireEye. Ciò significa lavorare con fornitori che dispongano di un ampio portfolio di servizi e tecnologie per gestire questa serie di scenari differenti.”
FireEye impiega più di 150 ricercatori ed esperti di sicurezza in tutto il mondo, che mettono in pratica le loro decennali esperienze per fornire informazioni di Intelligence strategiche, affidabili e date dalla approfondita conoscenza degli attaccanti. Questa conoscenza confluisce nelle tecnologie FireEye Email Security, Endpoint Security e Network Security, così come in FireEye Helix, una piattaforma per le Security Operations che estende la visibilità al Cloud e aiuta le organizzazioni a rilevare minacce specifiche proprie dei diversi servizi Cloud, a verificare la correlazione delle autenticazioni in base al luogo fisico da dove il login è stato effettuato, a identificare l’errata configurazione dei sistemi e all’utilizzo fraudolento delle credenziali stesse.