Poiché l'adozione di cloud continua ad accelerare senza fine, l'evoluzione della prossima generazione di attacchi moderni passerà attraverso e verso il piano di controllo cloud di un'azienda. Ma perché?
Il piano di controllo fornisce la gestione e l'orchestrazione dell'implementazione cloud di un'azienda. È qui che vengono impostate le linee di base della configurazione, che viene fornito l'accesso agli utenti e ai ruoli e che si trovano le applicazioni in modo che possano essere eseguite con i servizi correlati: è una sorta di controllo del traffico aereo per le applicazioni. Quando il piano di controllo viene compromesso, un avversario ha la possibilità di modificare l'accesso e la configurazione, consentendo di infliggere danni materiali. Questa attività dannosa può riguardare macchine virtuali, container e infrastrutture serverless, causando perdite di dati e attacchi di grande impatto.
È forse questa l'arma a doppio taglio del cloud? Se da un lato qualsiasi organizzazione che utilizza il cloud raccoglierà i benefici della velocità e della scala che esso offre, dall'altro gli aggressori cercheranno di utilizzare questi attributi a loro vantaggio. Dobbiamo ricordare che l'infrastruttura, l'identità, i dati e i servizi del piano di controllo cloud sono tutti in gioco e sempre più nel mirino degli aggressori.
Dovremmo essere sorpresi?
Che ci crediate o no, questo futuro è stato preannunciato per anni, almeno fino all'attacco fatalmente distruttivo lanciato contro Code Spaces nel 2014. Una volta che il piano di controllo di Amazon Web Services (AWS) è stato violato e l'infrastruttura e i dati sono stati sequestrati, era solo una questione di tempo prima che la loro attività venisse completamente chiusa. Più di recente, nel 2019 abbiamo assistito alla violazione di Capital One, ampiamente pubblicizzata, i cui danni sono stati quantificati in oltre 100 milioni di dati rubati e almeno 80 milioni di dollari di sanzioni.
Sebbene sia vero che le organizzazioni più fortunate potrebbero scoprire di essere semplicemente cooptate per supportare attacchi meno distruttivi come il crypto mining, questo potrebbe essere il caso migliore per le organizzazioni che non riescono a proteggere il proprio piano di controllo. Dobbiamo anche riconoscere che questo risultato sarà tanto meno probabile quanto più preziose sono le risorse di un'organizzazione o quanto più sofisticato è l'avversario. Inoltre, con la trasformazione della stessa distribuzione del software da parte del cloud, le nuove opportunità di compromissione della catena di fornitura attraverso prodotti e servizi diventeranno un'area di crescente preoccupazione.
Tutto ciò considerato, il piano di controllo cloud non è il luogo in cui sottovalutare il rischio, in quanto la persistenza qui consente una portata e un'influenza espansive ben oltre i confini delle campagne tradizionali basate sulla rete. La posta in gioco è alta, l'avversario è motivato e la tecnica è in fase di sviluppo attivo, laddove non è già stata resa comune.
Riconoscere il rischio
Naturalmente, ciò non significa che questo rischio debba dissuadere i dirigenti e i responsabili delle decisioni strategiche dal perseguire una strategia cloud aggressiva ed espansiva, ma solo che tale strategia deve includere una visione e una visibilità chiaramente definite. Una visione dell'utilizzo autorizzato e la visibilità per monitorare e misurare le deviazioni da tale visione. La domanda diventa quindi: quali azioni sono autorizzate e quali sono dannose? Risposte che non si ottengono abbonandosi all'ultimo feed di informazioni sulle minacce o scaricando l'ultimo pacchetto di firme. Tuttavia, la raccolta dei dati giusti e l'applicazione dell'intelligenza artificiale (IA) contribuiranno a risolvere il problema. Si tratta di avere la capacità di rilevare i componenti chiave della progressione dell'attacco, monitorando le credenziali compromesse, le modalità di utilizzo dei servizi e l'interazione tra le applicazioni e i servizi sottostanti.
Le organizzazioni con la giusta tecnologia di rilevamento delle intrusioni e il giusto ecosistema di partner possono aggregare i segnali corretti che indicano che il piano di controllo è minacciato, sbloccare la progressione dell'attacco e darsi una possibilità. Ma, per essere chiari, si tratta di un approccio ben diverso da quello tradizionale agli attacchi di rete, che prevede la ricerca di cattivi indicatori noti o semplicemente il tentativo di ridurre la superficie di attacco fino al punto di affidarsi completamente alla prevenzione. Sebbene il modesto perseguimento di questi approcci abbia qualche merito, essi sono inefficaci da soli e, di fronte a una nuova mutazione della prossima minaccia, falliranno in silenzio. In silenzio, naturalmente, finché la violazione non fa notizia perché gli aggressori hanno preso piede, hanno stabilito la persistenza e si sono espansi con successo verso i loro obiettivi.
Se abbiamo imparato qualcosa dall'inizio del millennio, è che di fronte all'ingegno quasi illimitato di un avversario motivato, le minacce sconosciute e impreviste finiranno per stabilire una testa di ponte. Il piano di controllo cloud non sarà diverso e i leader più saggi investiranno per prepararsi a rilevare e rispondere a questa inevitabilità.