Oggi vi propiniamo il testo a firma di Massimiliano Galvagna (in foto), Country Manager Italia di Vectra AI, che evidenzia la necessità di analizzare l’evoluzione della minaccia ransomware sul cloud e di adottare le giuste soluzioni per proteggere al meglio le aziende.
Buona lettura
Negli ultimi anni, le aziende e i responsabili della sicurezza si sono concentrati su come gestire e proteggere al meglio l’infrastruttura cloud, nel bel mezzo di un’ondata di cambiamenti legati all’evoluzione e all’aumento degli attacchi informatici ai danni delle aziende.
Secondo l’ultimo rapporto del Clusit, nel 2021 in Italia si è osservata una crescita continua di malware e botnet, con un numero di server compromessi aumentato del 58% rispetto all’anno precedente. La ricerca di Vectra ha rilevato che il 64% dei responsabili IT italiani ritiene possibile o probabile che la propria organizzazione abbia subito una violazione senza che questa sia stata rilevata, il 62% ha subito un incidente di sicurezza significativo che ha richiesto un intervento di risposta e il 40% ammette di non riuscire a rilevare le moderne minacce informatiche.
Il ransomware rimane tra i principali argomenti di discussione tra i professionisti della sicurezza informatica. Altro tema ricorrente è quello degli attacchi alla supply chain, che chiamano in causa sia i prodotti tradizionali on-premise sia i servizi forniti tramite cloud. La migrazione verso il cloud e il SaaS e l’incapacità di reperire talenti esperti in grado di comprendere le implicazioni di sicurezza del cloud sono anch’esse questioni collegate.
Esiste una tensione tra le aziende che vogliono diventare agili con l’adozione del cloud e i team di sicurezza che cercano di ottenere visibilità e implementare la sicurezza in questi ambienti. In un mondo perfetto, questa tensione si risolverebbe in modo equilibrato, ma spesso l’imperativo aziendale di lanciare rapidamente nuovi servizi supera la capacità delle organizzazioni di farlo in modo sicuro.
Il problema del cloud
Non molto tempo fa, le reti on-premise erano aperte agli aggressori e i professionisti della sicurezza si sono concentrati su questo aspetto. Ora il traffico dei dipendenti riguarda prevalentemente alle applicazioni via Internet e ciò significa che occorre esaminare i log delle piattaforme cloud come Amazon Web Services (AWS), Azure e Google Cloud Platform (GCP), i sistemi di identità cloud come Azure AD e Okta e le applicazioni di collaborazione come Microsoft 365 e Google Workspace.
La pandemia ha spinto le aziende a passare a configurazioni multi-cloud o ibride, non per questioni strategiche ma per necessità impellente. Di conseguenza, servizi come Microsoft 365 e le piattaforme di e-commerce sono stati implementati rapidamente, senza considerare l’impatto sull’infrastruttura o sulla sicurezza. Inoltre, diverse unità aziendali o dipartimenti si sono spesso evoluti in direzioni diverse, aggiungendo livelli di complessità.
Ora ci troviamo alla resa dei conti: dobbiamo capire qual è la realtà della situazione e come risolverla.
Ransomware nel cloud
Il passaggio al cloud ha offerto ai criminali informatici dei varchi su cui fare leva per trovare un punto di accesso alla rete e gli attaccanti stanno iniziando a trarne il massimo vantaggio. Se un criminale informatico vuole criptare i dati di un’azienda on premise, deve passare attraverso il laborioso esercizio di connettersi a un server, estrarre tutti i dati attraverso la rete, crittografarli e riscriverli sul server, per poi cancellare la copia originale.
Per avere successo, gli autori di un attacco ransomware cercano, quindi, di agganciare il maggior numero di posti possibili e di crittografare il più possibile. Nel cloud, invece, possono sfruttare la crittografia lato server fornita dalle piattaforme cloud, potendo crittografare i dati in modo molto più rapido e senza dover ricorrere a operazioni pesanti.
Per noi di Vectra, un cloud come AWS o Azure presenta due diverse superfici di attacco. C’è la superficie di attacco tradizionale, in cui gli aggressori passano attraverso la rete per attaccare un workload in esecuzione nel cloud e poi rubano i dati. C’è poi il piano di gestione o di controllo di una piattaforma cloud, che rappresenta una serie di controlli più potenti e meno conosciuti.
Prendendo in considerazione questo aspetto, Vectra offre soluzioni per coprire entrambe le superfici di attacco. Lavoriamo per proteggere i clienti da attacchi provenienti dalla rete e per proteggere le aziende da attacchi sul piano di controllo dei loro tenant nel cloud. Il vettore iniziale in entrata può essere incredibilmente complesso e variegato, ma una volta che atterra e stabilisce un punto d’appoggio nell’ambiente, le soluzioni Vectra sono in grado di aiutare l’azienda a rilevare e fermare l’attacco prima che provochi danni effettivi.