Oltre la perfezione della configurazione: Ridefinire la 'sicurezzaCloud '

20 marzo 2025

Per anni, la definizione di "sicurezzacloud " è stata incentrata sulla correzione delle configurazioni errate delle risorse e sull'applicazione dell'accesso con privilegi minimi. Queste pratiche hanno un senso intuitivo: dopo tutto, se un cloud è configurato correttamente con il minimo privilegio in mente, deve essere sicuro, giusto?

Ma se questa attenzione ci stesse portando fuori strada?

In realtà, l'ossessione per la perfezione della configurazione potrebbe non essere così impattante come pensiamo. Se da un lato rimediare alle configurazioni errate è prezioso, dall'altro può creare un falso senso di sicurezza e dispendere molte energie, distogliendo l'attenzione dalla gestione olistica dei rischi cloud .

La trappola nascosta del "pensare in fretta" nella sicurezza Cloud

E se il nostro istinto sulla sicurezza cloud ci avesse portato nella direzione sbagliata?

Comprendere la tendenza del cervello ad affidarsi all'intuizione è fondamentale per ridurre gli errori nel processo decisionale basato sul rischio. Come dimostra il lavoro di Daniel ^Kahneman1, l'intuizione può spesso portare a una falsa sicurezza, particolarmente pericolosa nella gestione di un ambiente di sicurezza cloud complesso.

Osservo che molte organizzazioni si basano sull'istinto, ritenendo che le configurazioni errate e la ricerca dell'accesso meno privilegiato definiscano l'ambito delle attività di sicurezza cloud . Questo istinto "sembra giusto" ed è un esempio di quello che Kahneman chiama il pensiero del Sistema 1: veloce, intuitivo e spesso errato.

Sebbene sia naturale concentrarsi sulla correzione delle errate configurazioni delle risorse, questo approccio può creare punti ciechi nella strategia di sicurezza. L'eccessiva fiducia in questo metodo può portare a trascurare altri controlli critici.

Perché la "postura perfetta" è così giusta

La correzione delle configurazioni errate cloud crea un ciclo di feedback immediato. Ogni problema risolto dà un senso di progresso, simile alla dopamina che si ottiene completando un'attività su una lista di controllo. I team di sicurezza si sentono produttivi e i dashboard mostrano tendenze al ribasso, rafforzando la convinzione che il rischio stia diminuendo.

Misurare qualcosa non la rende automaticamente significativa. La sicurezza Cloud va oltre le correzioni di configurazione: richiede una comprensione più approfondita del panorama delle minacce in evoluzione, della superficie di attacco in espansione e delle tattiche utilizzate dagli avversari. In definitiva, questi sforzi dovrebbero servire a uno scopo più grande: ridurre al minimo il rischio informatico effettivo dell'organizzazione, non limitarsi a spuntare caselle di conformità.

Il problema del pregiudizio di conferma

Consideriamo solo i dati che supportano ciò che già crediamo?

Il pregiudizio di conferma porta i team di sicurezza a concentrarsi sulle attività che si allineano alle convinzioni esistenti. Quando le organizzazioni partono dal presupposto che la risoluzione delle configurazioni errate e la ricerca del minimo privilegio siano le uniche attività necessarie per un cloud sicuro, possono trascurare altre opportunità di riduzione del rischio, come una buona governance cloud , la capacità di ripristino o la risposta agli incidenti.

Questo pregiudizio è rafforzato dai rapporti annuali sulle tendenze del settore, dagli strumenti di sicurezza e dalle liste di controllo della conformità che danno la priorità al lavoro definito dal fornitore rispetto all'affrontare il rischio informatico con controlli diversi: un approccio da "cinture e bretelle".

Di conseguenza, i team di sicurezza possono dedicare troppo tempo alla risoluzione di problemi minori, concentrandosi sulla coda lunga della risoluzione e lasciando altre funzioni dell'organizzazione immature e impreparate ad affrontare un incidente di sicurezza cloud .

Quando le metriche ci ingannano

Le metriche hanno lo scopo di rispondere alla domanda "Come stiamo andando?", ma possono anche rafforzare i pregiudizi, soprattutto quando misurano i progressi su un particolare compito piuttosto che rispetto a un obiettivo più ampio. Allo stesso modo, i dashboard spesso evidenziano la riduzione delle misconfigurazioni aperte o i miglioramenti nei punteggi di conformità, ma questi numeri non sono necessariamente correlati a una riduzione del rischio reale.

Ad esempio, uno strumento CSPM potrebbe mostrare un calo significativo delle misconfigurazioni nel corso del tempo, ma questo non indica se gli aggressori hanno meno opportunità di sfruttare l'ambiente. Senza un contesto adeguato, queste metriche possono essere fuorvianti.

Correlazione ≠ Causazione: Rapporti annuali sulla sicurezza Cloud

Quante statistiche sulla sicurezza vengono estrapolate dal contesto?

I rapporti di settore evidenziano spesso statistiche allarmanti, come ad esempio:

"Il 61% delle organizzazioni ha un utente root o un proprietario di account senza MFA".
"L'82% degli utenti di AWS Sagemaker ha un notebook esposto a Internet".

‍

‍

Queste affermazioni implicano che le organizzazioni sono esposte a rischi significativi. Tuttavia, il contesto conta.

Gli utenti root senza MFA configurato possono essere il modello sicuro di un'organizzazione AWS ben governata. Un servizio esposto pubblicamente può avere controlli aggiuntivi basati sull'identità o sull'investigazione che mitigano il rischio di un endpoint esposto.

‍

Il pericolo di campioni di dati volatili nei rapporti sulle minacce

I team di sicurezza spesso reagiscono alle variazioni dei report di settore senza metterne in dubbio la significatività statistica. Una tecnica classificata come 46° vettore di attacco più comune un anno potrebbe passare al 4° posto l'anno successivo, facendo scattare l'allarme e la mobilitazione delle risorse.

Tuttavia, i dati alla base di queste classifiche sono spesso basati su un campione limitato di clienti di un singolo fornitore di sicurezza. Inoltre, se il numero di clienti analizzati cambia significativamente di anno in anno, la tendenza può essere fuorviante.

Anche rapporti ampiamente rispettati come il Verizon Data Breach Investigations Report (DBIR) riconoscono i limiti delle fonti di ^dati2, citando la partecipazione fluttuante di anno in anno. Di conseguenza, le organizzazioni devono valutare criticamente le tendenze ricavate da fonti di dati instabili prima di utilizzarle per prendere decisioni in materia di sicurezza.

Prendere decisioni sulla sicurezza Cloud in modalità "Thinking Slow" (pensare lentamente)

Per prendere decisioni sostenibili per la vostra organizzazione di sicurezza, dovete passare a quello che Daniel Kahneman descrive come pensiero del Sistema 2: lento, deliberato e logico.

A differenza del Sistema 1, veloce, subconscio e soggetto a errori, il Sistema 2 consente un processo decisionale complesso, consapevole, impegnativo e affidabile. Invece di reagire a ogni allarme di configurazione errata con una risposta del Sistema 1, le organizzazioni devono fare un passo indietro e coinvolgere il Sistema 2 per valutare il rischio in modo olistico.

Ciò significa che:

Coinvolgere tutte le funzioni dell'organizzazione di sicurezza, dalla governance al rilevamento, alla risposta e al ripristino, in modo consapevole e deliberato.
Dare priorità agli sforzi considerando la probabilità e l'impatto delle minacce attraverso l'analisi degli sforzi.
Passando da una mentalità reattiva a un approccio strategico, i team di sicurezza possono prendere decisioni più informate e affidabili, in linea con i rischi reali.

‍

Il costo dell'opportunità di dare priorità alla perfezione della postura

Ogni decisione ha un costo di opportunità, il che non è meno vero quando si tratta di dare priorità agli sforzi in un'organizzazione di sicurezza. Quando un'eccessiva potenza cerebrale è dedicata alla correzione delle configurazioni errate e ai privilegi minimi, si può avere meno capacità per:

Rilevamento delle minacce e risposta agli incidenti.
Automazione e orchestrazione della sicurezza.
Governance e gestione del rischio.

Oltre la postura perfetta

Le organizzazioni devono riconoscere i rendimenti decrescenti di qualsiasi approccio singolo alla sicurezza cloud . L'incessante ricerca della perfezione della configurazione deve essere bilanciata con una prospettiva più ampia.

Siate scettici nei confronti delle metriche che rafforzano i pregiudizi esistenti, come il mero conteggio delle misconfigurazioni risolte. Create invece metriche che misurino la riduzione complessiva del rischio e la resilienza, riflettendo la vostra postura di sicurezza.

Per guidare l'allocazione delle risorse e il processo decisionale in ambienti complessi, è necessario sfruttare framework consolidati come il NIST Cybersecurity Framework, garantendo un approccio olistico alla sicurezza. Inoltre, evitate di creare un team di sicurezza Cloud isolato e gravato da oneri eccessivi. Promuovete invece una cultura di responsabilità condivisa, coinvolgendo l'intera organizzazione nella gestione dei rischi cloud .

Riferimenti

_{[1]: Daniel Kahneman Thinking: Fast and Slow:}_{https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow}

_{[2]: Rapporto Verizon sulle violazioni dei dati -2024: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf}

‍

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci