Sicurezza nel cloud: le responsabilità delle aziende e dei provider

Cloud e sicurezza online: le responsabilità delle aziende e dei vendor

Il cloud è diventato uno dei bersagli preferiti dai malintenzionati che desiderano mettere le mani su dati sensibili e/o di un certo valore (es: progetti di prodotti che usciranno in futuro). Le metodologie di attacco impiegate dagli hacker sono innumerevoli e vanno dai “celebri” ransomware fino al furto di account amministrativi via social engineering e phishing. L’approfondimento di oggi cerca di chiarire quali siano le principali sviste e comportamenti che facilitano il lavoro dei cyber criminali.

E’ caso di iniziare affermando come la responsabilità di un attacco subìto possa essere tanto dell’azienda quanto dei provider o di entrambi. Per quanto riguarda i primi, negli ultimi mesi diverse grandi compagnie hanno compiuto dei sorprendenti “scivoloni” (errata configurazione di servizi cloud storage) che hanno compromesso dati/informazioni mission critical e/o riservate, ad esempio:

  • i dati di 198 milioni di cittadini statunitensi in possesso della Deep Root Analytics;
  • i dati di 14 milioni di clienti Verizon presso gli archivi di un’azienda israeliana;
  • i dati clinici di 150.000 pazienti custoditi dalla Patient Home Monitoring Corp;
  • le credenziali di accesso ed i dati di configurazione della piattaforma cloud utilizzata da Accenture.

A tal proposito uno studio rilasciato lo scorso mese (ottobre 2017) da RedLock sottolinea che il fenomeno è più preoccupante del previsto: almeno il 53% delle compagnie interepellate (utilizzatori di servizi cloud storage) avrebbe compromesso/messo a rischio almeno una volta dati/informazioni riservate. Il 38% avrebbe invece compromesso vari account amministrativi in grado di spalancare le porte ad eventuali malintenzionati.

Il CEO RedLock ha aggiunto che “rispetto a quanto riportato ad inizio maggio [2017] dal team di ricercatori, [il numero di aziende che hanno messo a rischio i propri dati] è aumentato del 40% [e tutto questo] nonostante Amazon [utilizzavano il servizio S3, ndr] abbia avvertito i clienti sui rischi [annessi ad una configurazione errata del servizio].

E su Accenture: “[è un caso fortuito] che i dati a rischio siano stati scoperti da qualcuno che ha deciso di offrire il proprio aiuto per [scongiurare] danni più gravi. [Avrebbero potuto sfruttare a loro vantaggio la situazione per accedere ai dati e raccogliere informazioni su numerose compagnie] e con effetti disastrosi”.

La mancanza di appropriate conoscenze sui servizi cloud storage e sul loro funzionamento sembra essere la spiegazione più plausibile dietro agli avvenimenti, ha concluso il CEO RedLock.

Formazione del personale e sicurezza di base

La formazione del personale (corsi di aggiornamento etc.) è uno degli aspetti sui quali gli esperti hanno insistito. I dipendenti ai quali è affidata la gestione dei dati sensibili o che svolgono mansioni ad essi correlati devono obbligatoriamente ricevere un’adeguata formazione, afferma il CEO di un’azienda di sicurezza informatica (Hitesh Sheth).

Il cloud è una tecnologia relativamente nuova, complessa da gestire (soprattutto per aziende che devono rispettare precise normative) e con la quale buona parte dello staff non ha ancora abbastanza confidenza. Le aziende devono comprendere ed avere il totale controllo dei meccanismi e delle impostazioni che regolano la piattaforma cloud prescelta.

“La gente dice semplicemente andiamo nel cloud! Ma non si tratta di una semplice operazione, [di un qualcosa] set it and forget it [pronta all’uso, ndr]” osserva Neil Weizel (direttore della ricerca presso Cygilant). [La realtà è che, in termini di personale, eseguire qualcosa nel cloud è impegnativo tanto quanto eseguire qualcosa in un data center proprietario perchè stai sempre amministrando l’infrastruttura] aggiunge Weizel.

Altre sviste riguardano l’ABC della sicurezza online, le buone norme da seguire: dalla mancata protezione delle credenziali di accesso degli admin (root account) fino al non impiego di procedure di login più sicure (come l’autenticazione a più fattori) ed all’esecuzione di test di vulnerabilità e penetrazione (è tuttavia necessaria l’autorizzazione del provider cloud). In merito alla visibilità pubblica o meno di archivi cloud storage, le aziende dimenticano frequentemente di controllare i permessi di accesso da console e verificare che questi siano visitabili solo dallo staff autorizzato.

“Devi approcciarti [ai servizi cloud come se si trattasse di un network locale. I princìpi base di sicurezza, che si applicano anche in questo contesto,] devono essere adeguati ad un ambiente più […] vasto” ha sottolineato Joe Partlow (CTO ReliaQuest, provider soluzioni per la sicurezza).

Ed i cloud provider?

Secondo gli esperti i cloud provider non sempre forniscono adeguati strumenti di protezione e/o soluzioni facilmente fruibili dalle aziende: “La sfida riguarda la complessità del cloud. Per aiutare le organizzazioni [ad individuare le aree vulnerabili,] la convergenza di server, reti, storage e strumenti complessi di orchestrazione può e deve essere semplificata. Più semplicità significa maggiore controllo”.

E’ chiaro che non si tratta di un obiettivo facilmente raggiungibile. Se si pensa ad un provider come AWS, desideroso di soddisfare il più ampio numero di casi d’utilizzo, il perseguimento di un maggior controllo lato utente porterebbe ad una maggiore complessità – perchè si dovrebbe consentire l’accesso ad ogni tipo di impostazione e configurazione e ricorrere ad intricati menu e sottomenu.

Una soluzione definitiva al problema non esiste ma è il caso di ricordare che le aziende possono contare su alcuni “alleati” (vendor di terze parti) in grado di seguire/aiutare il/nel processo di formazione del personale, fornire interfacce semplificate mediante le quali interagire con i servizi cloud, individuare eventuali errori di configurazione.

Fonte: 1