Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Ricerca sulla sicurezza

Oltre la perfezione della configurazione: ridefinireCloud "

20 marzo 2025
Kat Traxler
Principal Security Researcher
Oltre la perfezione della configurazione: ridefinireCloud "

Per anni, ciò che ha definitocloud ha ruotato attorno alla correzione delle configurazioni errate delle risorse e all'applicazione dell'accesso con privilegi minimi. Queste pratiche hanno un senso intuitivo: dopotutto, se un cloud configurato correttamente tenendo conto dei privilegi minimi, deve essere sicuro, giusto?

Ma se questa attenzione ci stesse portando fuori strada?

In realtà, l'ossessione per la perfezione della configurazione potrebbe non avere un impatto così rilevante come pensiamo. Sebbene correggere le configurazioni errate sia importante, può anche creare un falso senso di sicurezza e richiedere un grande dispendio di energie, distogliendo l'attenzione dall'affrontare in modo olistico cloud .

La trappola nascosta del "pensare velocemente" nella Cloud

E se il nostro istinto riguardo cloud ci avesse portato nella direzione sbagliata?

Comprendere la tendenza del cervello ad affidarsi all'intuizione è fondamentale per mitigare gli errori nel processo decisionale basato sul rischio. Comedimostra il lavoro di Daniel Kahneman1, l'intuizione può spesso portare a una falsa sicurezza, particolarmente pericolosa quando si gestisce un ambiente cloud complesso.

Ho notato che molte organizzazioni operano basandosi sul proprio istinto, convinte che le configurazioni errate e la ricerca dell'accesso con privilegi minimi definiscano l'ambito delle attività cloud . Questo istinto "sembra giusto" ed è un esempio di ciò che Kahneman definisce pensiero di Sistema 1: veloce, intuitivo e spesso errato.

Sebbene concentrarsi sulla correzione delle configurazioni errate delle risorse sembri naturale, questo approccio può creare punti ciechi nella strategia di sicurezza. Un'eccessiva fiducia in questo metodo può portare a trascurare altri controlli critici.

Perché "Posture Perfect" sembra così giusto

La correzione cloud crea un ciclo di feedback immediato. Ogni problema risolto dà un senso di progresso, simile alla scarica di dopamina che si prova quando si completa un'attività su una lista di controllo. I team di sicurezza si sentono produttivi e i dashboard mostrano tendenze al ribasso, rafforzando la convinzione che il rischio stia diminuendo.

Misurare qualcosa non lo rende automaticamente significativo. Cloud va oltre le correzioni di configurazione: richiede una comprensione più approfondita del panorama delle minacce in continua evoluzione, della superficie di attacco in espansione e delle tattiche utilizzate dagli avversari. In definitiva, questi sforzi dovrebbero servire a uno scopo più grande: ridurre al minimo il rischio informatico effettivo dell'organizzazione, non solo spuntare le caselle di conformità.

Il problema del pregiudizio di conferma 

Stiamo considerando solo i dati che confermano ciò in cui già crediamo?

Il bias di conferma porta i team di sicurezza a concentrarsi su attività che sono in linea con le convinzioni esistenti. Quando le organizzazioni pensano che risolvere i problemi di configurazione e cercare di usare il minimo privilegio siano le uniche cose da fare per avere cloud sicuro, potrebbero non vedere altre opportunità per ridurre i rischi, come cloud buona cloud , la capacità di ripristino o la risposta agli incidenti.

Questo pregiudizio è rafforzato dai rapporti annuali sulle tendenze del settore, dagli strumenti di sicurezza e dalle liste di controllo sulla conformità che danno priorità al lavoro definito dai fornitori piuttosto che affrontare il rischio informatico con controlli variabili, un approccio del tipo "cinture e bretelle".

 Di conseguenza, i team di sicurezza potrebbero dedicare troppo tempo alla risoluzione di problemi minori, concentrandosi eccessivamente sulla lunga coda della risoluzione dei problemi e lasciando le altre funzioni dell'organizzazione immature e impreparate ad affrontare un incidente cloud . 

Quando le metriche ci inducono in errore

Le metriche hanno lo scopo di rispondere alla domanda "Come stiamo andando?", ma possono anche rafforzare i pregiudizi, soprattutto quando misurano i progressi su un compito specifico piuttosto che rispetto a un obiettivo più ampio. Allo stesso modo, i dashboard spesso evidenziano la riduzione delle configurazioni errate aperte o i miglioramenti nei punteggi di conformità, ma questi numeri non sono necessariamente correlati alla riduzione del rischio nel mondo reale.

Ad esempio, uno strumento CSPM potrebbe mostrare un calo significativo delle configurazioni errate nel tempo, ma ciò non indica se gli aggressori abbiano meno opportunità di sfruttare l'ambiente. Senza un contesto adeguato, queste metriche possono essere fuorvianti.

Correlazione ≠ Causa: Rapporti annuali Cloud

Quante statistiche sulla sicurezza vengono prese fuori contesto?

I rapporti di settore riportano spesso statistiche allarmanti, quali:

  • "Il 61% delle organizzazioni ha un utente root o un proprietario di account senza MFA."
  • "L'82% degli utenti AWS Sagemaker ha un notebook esposto a Internet."

Queste affermazioni implicano che le organizzazioni siano esposte a rischi significativi. Tuttavia, il contesto è importante.

Gli utenti root senza MFA configurato possono rappresentare il modello di sicurezza di un'organizzazione AWS ben gestita. Un servizio esposto pubblicamente può disporre di ulteriori controlli basati sull'identità o di rilevamento che mitigano il rischio di un endpoint esposto.

Il pericolo dei campioni di dati volatili nei rapporti sulle minacce

I team di sicurezza spesso reagiscono ai cambiamenti riportati nei rapporti di settore senza metterne in discussione la rilevanza statistica. Una tecnica classificata al 46° posto tra i vettori di attacco più comuni in un determinato anno potrebbe balzare al 4° posto l'anno successivo, scatenando allarmi e mobilitando risorse.

Tuttavia, i dati alla base di queste classifiche si basano spesso su un campione limitato proveniente dalla base clienti di un singolo fornitore di soluzioni di sicurezza. Inoltre, se il numero di clienti analizzati varia in modo significativo di anno in anno, la tendenza potrebbe essere fuorviante.

Anche rapporti ampiamente rispettati come il Verizon Data Breach Investigations Report (DBIR) riconoscono i limiti dellefonti didati2, citando la partecipazione fluttuante di anno in anno. Di conseguenza, le organizzazioni devono valutare criticamente le tendenze ricavate da fonti di dati instabili prima di utilizzarle per prendere decisioni in materia di sicurezza.

Prendere decisioni Cloud in modalità "pensiero lento"

Per prendere decisioni sostenibili per la tua organizzazione di sicurezza, devi passare a quello che Daniel Kahneman descrive come il pensiero del Sistema 2: lento, deliberato e logico. 

A differenza del Sistema 1, veloce, inconscio e soggetto a errori, il Sistema 2 consente un processo decisionale complesso, consapevole, impegnativo e affidabile. Anziché reagire a ogni avviso di configurazione errata con una risposta del Sistema 1, le organizzazioni devono fare un passo indietro e attivare il Sistema 2 per valutare il rischio in modo olistico. 

Ciò significa:

  • Coinvolgere tutte le funzioni della vostra organizzazione di sicurezza, dalla governance al rilevamento, alla risposta e al ripristino, in modo consapevole e deliberato.
  • Dare priorità agli sforzi considerando la probabilità e l'impatto delle minacce attraverso un'analisi approfondita.
  • Passando da una mentalità reattiva a un approccio strategico, i team di sicurezza possono prendere decisioni più informate e affidabili, in linea con i rischi reali.

Il costo opportunità di dare priorità alla perfezione posturale

Ogni decisione ha un costo opportunità, che non è meno vero quando si stabiliscono le priorità in un'organizzazione che si occupa di sicurezza. Quando si dedica un eccessivo impegno intellettuale alla correzione delle configurazioni errate e al principio del privilegio minimo, si rischia di avere meno capacità per:

  • Rilevamento delle minacce e risposta agli incidenti.
  • Automazione e orchestrazione della sicurezza.
  • Governance e gestione dei rischi.

Oltre la postura perfetta

Le organizzazioni dovrebbero riconoscere i rendimenti decrescenti di qualsiasi approccio unilaterale alla cloud . La ricerca incessante della perfezione nella configurazione deve essere bilanciata da una prospettiva più ampia. 

Diffidate delle metriche che rafforzano i pregiudizi esistenti, come il semplice conteggio delle configurazioni errate corrette. Create invece metriche che misurino la riduzione complessiva del rischio e la resilienza, riflettendo il vostro approccio alla sicurezza. 

Per guidare l'allocazione delle risorse e il processo decisionale in ambienti complessi, sfruttate framework consolidati come il NIST Cybersecurity Framework, garantendo un approccio olistico alla sicurezza. Inoltre, evitate di creare un team Cloud isolato e gravato da un carico di lavoro eccessivo. Promuovete invece una cultura della responsabilità condivisa, coinvolgendo l'intera organizzazione nella gestione cloud . 

Riferimenti

[1]: Daniel Kahneman, Pensieri lenti e veloci: https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow

[2]: Rapporto Verizon sulla violazione dei dati -2024: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf

Domande frequenti