Quali sono i rischi del migrare le applicazioni al cloud? Pochi se paragonati ai benefici evidenti: ROI certo, agilità, scalabilità? Esistono, tuttavia, alcuni elementi della migrazione al cloud che preoccupano CIO e CISO. La CSA (Cloud Security Alliance) ne ha individuate una dozzina, in particolare, sulle quali invita le organizzazioni a prestare particolare attenzione. "Abbiamo stilato una Top 12 – spiega J. R. Santos, Vice Presidente Esecutivo della CSAche riflette le conseguenze di decisioni affrettate o poco attente prese nel momento in cui le aziende decidono di migrare in tutto o in parte i propri carichi di lavoro sul cloud". Ecco più in dettaglio questa lista.

 

Minaccia n°1: data breach

Gli ambienti cloud condividono molte minacce delle reti aziendali tradizionali. A causa della grande quantità di dati archiviati sui server cloud, i provider diventano obiettivi allettanti. La gravità del danno potenziale dipende dalla sensibilità dei dati esposti. L'esposizione di informazioni finanziarie e personali tende a guadagnare le prime pagine dei giornali, ma le violazioni che coinvolgono informazioni sulla salute, i segreti commerciali e la proprietà intellettuale possono essere anche più devastanti. Quando si verifica una violazione dei dati, le società possono incorrere in sanzioni pecuniarie (come impone il GDPR) o essere bersaglio di pesanti azioni legali o penali. Gli effetti indiretti, come i danni ai marchi e all'immagine o la perdita di opportunità di business, possono lasciare strascichi pesanti anche per diversi anni. I fornitori di servizi cloud implementano in proprio controlli di sicurezza utili per proteggere gli ambienti che usano per erogare l'offerta, ma la responsabilità della tutela e della protezione dei propri dati nel cloud ricade, in ultima istanza, sull'organizzazione stessa. Il CSA raccomanda alle aziende di utilizzare l'autenticazione e la crittografia multifattore per proteggersi dai rischi di accesso non autorizzato ai dati.

 

Minaccia n°2: compromissione delle credenziali e dell'autenticazione

Le violazioni di dati e altre tipologie di attacchi spesso sono favorite da un sistema di autenticazione troppo debole ai servizi cloud: password deboli e pecche nella gestione efficace di chiavi crittografiche e certificati. Le organizzazioni hanno problemi con la gestione delle identità quando devono assegnare autorizzazioni appropriate al ruolo e alla posizione all'interno dell'organigramma aziendale dell'utente. Ancora più importante, a volte dimenticano di rimuovere l'accesso dell'utente quando questo termina il proprio rapporto con l'azienda. I sistemi di autenticazione a più fattori, come le password monouso (one-time), l'autenticazione basata su smartphone e smart card, proteggono i servizi cloud perché rendono più difficile agli hacker accedere ai servizi del provider sfruttando password rubate. Molti sviluppatori, poi, commettono l'errore di incorporare credenziali e chiavi crittografiche nel codice sorgente e lasciarli in repository pubblici come GitHub. Le chiavi devono essere adeguatamente protette e cambiate periodicamente, per rendere più difficile agli attaccanti fare il loro "lavoro" sfruttando chiavi ottenute senza autorizzazione. Le organizzazioni che pianificano di implementare una gestione delle identità federata con il proprio fornitore di servizi cloud devono avere ben chiare prima quali sono le misure di sicurezza che il provider utilizza per proteggere la propria piattaforma di gestione delle identità. Centralizzare la gestione delle identità in un singolo repository ha i suoi rischi: le aziende devono valutare il compromesso tra la convenienza di accorpare la gestione delle identità e il rischio che questo repository diventi un bersaglio estremamente allettante per gli aggressori.

Minaccia n°3: interfacce e API hackerate

Praticamente ogni servizio cloud si fonda sull'utilizzo e la condivisione delle API (interfacce di programmazione delle applicazioni). I team IT utilizzano interfacce e API per gestire e interagire con i servizi cloud, inclusi quelli che offrono provisioning, gestione, orchestrazione e monitoraggio del cloud.
La sicurezza e la disponibilità dei servizi cloud, dall'autenticazione e controllo degli accessi alla crittografia, al monitoraggio delle attività, dipendono dalla sicurezza delle API. API deboli espongono le organizzazioni a problemi di sicurezza relativi a riservatezza, integrità, disponibilità e responsabilità sui dati. Le API e le interfacce tendono a essere la parte più esposta di un sistema perché di solito sono accessibili via web (Internet pubblico). Il CSA raccomanda di implementare controlli adeguati come "prima linea di difesa e rilevamento". Le applicazioni e i sistemi di modellazione delle minacce, compresi i flussi di dati e l'architettura/progettazione, diventano parti importanti del ciclo di vita dello sviluppo. Il CSA raccomanda anche di prevedere revisioni periodiche dei codici di sviluppo delle applicazioni incentrate sulla sicurezza e di eseguire con continuità test di penetrazione rigorosi.

 

Minaccia n°4: sfruttamento delle vulnerabilità di sistema

Le vulnerabilità dei sistemi o i bug nei programmi sono diventati un problema serio con l'avvento delle strategie multitenancy (in cui diverse aziende utenti condividono istanze e risorse di una stessa applicazione nel cloud computing). Le organizzazioni clienti condividono memoria, database e altre risorse in prossimità le une con le altre, creando nuove superfici d'attacco. Fortunatamente, gli attacchi alle vulnerabilità del sistema possono essere mitigati con procedure piuttosto semplici. Le best practice includono la scansione periodica delle vulnerabilità, la tempestiva gestione delle patch e un rapido follow-up sulle minacce di sistema segnalate. La spesa per mettere in atto i processi IT utili per individuare e sanare le vulnerabilità è decisamente ridotta rispetto al danno potenziale. Le aziende in settori regolamentati devono applicare le patch il più rapidamente possibile, preferibilmente come parte di un processo automatico e ricorrente, raccomanda il CSA. I processi di controllo delle modifiche che affrontano le patch di emergenza garantiscono che le attività di fixing siano adeguatamente documentate e rivedibili dai team tecnici.

 

Minaccia n°5: dirottamento degli account

Il phishing, le frodi e gli exploit software hanno ancora successo e i servizi cloud aggiungono una nuova dimensione alla minaccia perché gli aggressori possono spiare le attività, manipolare le transazioni e modificare i dati nel cloud. Gli aggressori potrebbero anche essere in grado di utilizzare l'applicazione cloud per lanciare altri attacchi su più ampia scala.

Le strategie comuni di difesa possono contenere il danno causato da una violazione. Le organizzazioni dovrebbero proibire la condivisione delle credenziali dell'account tra utenti e servizi e abilitare gli schemi di autenticazione multifattoriale laddove possibile. La chiave è proteggere le credenziali dell'account dal furto. Gli account, anche quelli di servizio, devono essere monitorati in modo che ogni transazione possa essere rintracciata e riferita a un utente univoco e ben identificato.

 

Minaccia n°6: minacce interne

La minaccia interna ha molti aspetti: un dipendente o collaboratore - attuale o ex -, un amministratore di sistema, un appaltatore o un partner commerciale. La motivazione malevola spazia dal furto di dati alla vendetta. In uno scenario cloud, un utente insoddisfatto per qualsiasi motivo del suo rapporto con l'azienda potrebbe teoricamente distruggere intere infrastrutture o manipolare dati. I sistemi che dipendono esclusivamente dal fornitore di servizi cloud per la sicurezza, come la crittografia, sono a maggior rischio. Il CSA raccomanda alle organizzazioni di controllare il processo e le chiavi di cifratura, separando accuratamente i compiti e riducendo al minimo l'accesso degli utenti finali. Anche le attività di registrazione, monitoraggio e auditing efficaci sono fondamentali. Come osserva Santos della CSA, "è facile interpretare erroneamente un tentativo pasticciato di eseguire un lavoro di routine confondendolo con un'attività "dannosa" condotta a detrimento di informazioni privilegiate". Un esempio potrebbe essere un amministratore che copia accidentalmente un database clienti in un server accessibile pubblicamente. Una corretta formazione diventa critica per prevenire questi errori nel cloud, a causa della maggior esposizione potenziale.

Minaccia n°7: minacce avanzate (APT)

Il CSA definisce "parassitarie" le forme di attacco come le APT (advanced persistent threats), cioè le minacce avanzate e persistenti. Le APT si infiltrano nei sistemi per stabilire un punto d'appoggio, quindi sottraggono (il termine tecnico è "esfiltrano") furtivamente dati e proprietà intellettuali per un periodo di tempo più o meno lungo prima di essere individuate. Le APT di solito si muovono lateralmente attraverso la rete e si fondono con il traffico normale, quindi sono difficili da rilevare. I principali cloud provider applicano tecniche avanzate per impedire alle APT di infiltrarsi nella loro infrastruttura, ma i clienti devono essere diligenti nel rilevare le APT all'interno degli account cloud compromessi, esattamente come farebbero nei sistemi locali. I punti di accesso comuni includono lo spear phishing (truffa via web attraverso cui i malintenzionati mirano a farsi rilasciare informazioni personali o dati finanziari dell'utente), attacchi diretti, unità USB precaricate con malware e reti di terze parti compromesse. In particolare, la CSA raccomanda agli utenti di fare formazione su come riconoscere le tecniche di phishing. I programmi di sensibilizzazione condotti con regolarità mantengono gli utenti più vigili e meno inclini a favorire questo tipo di compromissioni.

 

Minaccia n°8: perdita definitiva dei dati

Gli errori e le imprudenze da parte del cloud provider sono estremamente rare. Ma gli attacchi hacker mirati alla cancellazione definitiva dei dati delle aziende sono noti e i data center cloud sono vulnerabili ai disastri naturali alla stessa stregua dei CED tradizionali. Ecco perché i cloud provider si cautelano contro questi rischi distribuendo dati e applicazioni tra facility situate in zone geografiche differenti, per assicurarsi una protezione aggiuntiva. Le misure di backup sono fondamentali, così come è opportuno aderire alle best practice più note in materia di continuità operativa e disaster recovery. Il backup quotidiano e lo storage offsite rimangono una buona pratica per cautelarsi anche negli ambienti cloud. L'onere di prevenire la perdita di dati non ricade per intero sul provider di servizi cloud. Se un cliente cifra i dati prima di caricarli sul cloud, allora quel cliente deve fare attenzione a proteggere le chiavi crittografiche, perché una volta perse sarà praticamente impossibile recuperare i dati. Le politiche di conformità spesso stabiliscono per quanto tempo le organizzazioni debbano conservare i record di controllo/audit e altri documenti. La perdita di tali dati potrebbe avere serie conseguenze normative: le nuove norme UE sulla protezione dei dati trattano anche la distruzione dei dati e la compromissione dei dati personali come violazioni che richiedono un'adeguata notifica.

 

Minaccia n°9: diligenza inadeguata

Le organizzazioni che abbracciano il cloud senza comprenderne appieno l'ambiente e i rischi associati possono incorrere in tutta una serie di rischi commerciali, finanziari, tecnici, legali e di conformità. La cosiddetta "due diligence", ovvero la raccolta e verifica delle informazioni necessarie a valutare l'attività di un'azienda terza, si applica indipendentemente dal fatto che l'organizzazione stia tentando di migrare al cloud o di fondersi (o lavorare) con un'altra azienda nel cloud. Ad esempio, le organizzazioni che non riescono a controllare un contratto potrebbero non essere a conoscenza della responsabilità del fornitore in caso di perdita o violazione dei dati.

Il CSA ricorda alle organizzazioni che devono eseguire una due diligence approfondita per comprendere i rischi che assumono quando sottoscrivono ciascun servizio cloud.

Minaccia n°10: abusi dei servizi cloud

I servizi cloud possono essere comandati per supportare attività illegali. Sarà possibile, per esempio, utilizzare grandi risorse disponibili a basso costo nel cloud per penetrare e smembrare una chiave di cifratura, così da riuscire a lanciare un attacco. Altri esempi includono l'uso delle risorse nella nuvola per lanciare attacchi DDoS (Distributed Denial of Service), inviare e-mail di spam e phishing, così come per ospitare contenuti dannosi. I provider devono essere in grado di riconoscere i diversi tipi di abuso, ad esempio controllare il traffico per riconoscere gli attacchi DDoS, e offrire agli utenti strumenti per monitorare lo stato dei loro ambienti cloud. I clienti dovrebbero assicurarsi che i provider offrano un meccanismo per segnalare gli abusi. Anche se i clienti potrebbero non essere direttamente oggetto o target di azioni dannose, l'abuso dei servizi cloud può causare problemi di disponibilità del servizio e perdita dei dati.

 

Minaccia n°11: attacchi DoS

Gli attacchi Denial of Service (DoS) sono minacce alla sicurezza informatica note da molti anni, che però hanno acquistato notorietà soprattutto negli ultimi tempi, con il proliferare degli ambienti cloud. Questo tipo di attacchi spesso compromette la disponibilità dei servizi cloud, che potranno essere rallentati o addirittura messi fuori uso. Gli attacchi DoS consumano la maggior parte dell'energia utilizzata del processore, cosa questa che si riflette sul lavoro dell'utente. Gli attacchi DDoS, ovvero i Denial of Service condotti su ampia scala (Distributed DoS), sono molto comuni e le organizzazioni dovranno stare attente agli attacchi cosiddetti "asimmetrici" condotti a livello delle applicazioni, che sfruttano le vulnerabilità di database e Web server.

 

Minaccia n°12: tecnologie condivise, pericoli condivisi

Le vulnerabilità nelle tecnologie condivise rappresentano una minaccia sera per gli ambienti cloud. I fornitori di servizi cloud condividono infrastruttura, piattaforme e applicazioni e nel caso in cui una vulnerabilità dovesse affliggere uno qualsiasi di questi livelli si diffonderebbe in breve tempo anche alle altre. La CSA raccomanda una strategia di difesa profonda, che includa l'utilizzo dell'autenticazione a due fattori su tutti gli host, l'adozione di sistemi di intrusion detection (IDS) che applichino il concetto di "privilegio minimo" e la segmentazione delle reti.

7 marzo 2018