Cloud sicurezza

Gli aggressori hanno due possibilità di attacco per compromettere le risorse di cloud : accedere ai sistemi all'interno del perimetro della rete aziendale o compromettere le credenziali di un account amministratore con capacità di amministrazione remota o con accesso amministrativo al CSP.

Quando è disponibile la visibilità dell'infrastruttura cloud , è molto più facile rilevare i comportamenti degli aggressori nei sistemi e nei servizi compromessi che operano chiaramente al di fuori delle specifiche previste.

Differenze tra sicurezza di rete e sicurezza cloud

Cloud Gli ambienti cambiano i presupposti fondamentali su come eseguire il rilevamento e la risposta alle minacce.

L'inventario altamente dinamico dei carichi di lavoro di cloud significa che i sistemi vanno e vengono in pochi secondi. Quando vengono introdotti errori di configurazione del sistema durante la creazione, questi possono essere esacerbati e amplificati quando l'automazione replica gli errori su molti carichi di lavoro. La responsabilità condivisa con il provider di servizi cloud (CSP) crea potenziali lacune nel rilevamento delle minacce nel ciclo di vita degli attacchi.

Tutto nel sito cloud si sta spostando verso un metodo di accesso ai dati API e gli approcci tradizionali al monitoraggio del flusso di traffico non sono più applicabili.

Oltre alle sfide legate al rilevamento e alla risposta alle minacce, il ritmo dell'innovazione nel sito cloud lascia le aziende sempre in ritardo. La crescente concorrenza commerciale fa sì che le aziende si concentrino maggiormente sulla fornitura di funzionalità e sull'esternalizzazione di modelli di business non essenziali, spesso a scapito della sicurezza delle informazioni.

L'esplosione dei servizi di cloud significa che il concetto di perimetro è scomparso e che l'uso dei controlli perimetrali diventa inutile. La crescita di nuove infrastrutture e strumenti di implementazione porta a nuovi ambienti con nuovi modelli di sicurezza e superfici di attacco.

La complessità degli strumenti di sicurezza di cloud

Gli strumenti offerti dai CSP sono complessi e ancora nuovi per molti tenant aziendali, il che porta a configurazioni accidentali errate. Infine, l'attuale carenza di competenze in materia di sicurezza si amplifica con tutte le nuove funzionalità e i nuovi servizi rilasciati.

L'aspetto più critico è che l'introduzione di molteplici funzionalità di accesso e di gestione crea una variabilità che aggiunge un rischio significativo alle implementazioni di cloud . È difficile gestire, tracciare e verificare le azioni amministrative quando gli utenti possono accedere alle risorse di cloud dall'interno o dall'esterno dell'ambiente aziendale.

Senza una strategia di gestione degli account di privilegio ben studiata, che includa ruoli ben segregati per ottenere l'accesso amministrativo solo da postazioni approvate, le organizzazioni sono esposte all'uso improprio di credenziali e privilegi amministrativi.

Tradizionalmente, l'accesso a un server richiedeva l'autenticazione al perimetro dell'organizzazione e il monitoraggio poteva essere implementato all'interno della rete privata per tracciare l'accesso amministrativo. I sistemi di gestione di cloud sono accessibili da Internet tramite un'interfaccia web o un'API. Senza un'adeguata protezione, l'affittuario aziendale potrebbe esporre immediatamente i gioielli della corona.

Ciclo di vita dell'attacco nella sicurezza di cloud

Gli aggressori hanno due vie d'attacco per compromettere le risorse di cloud .

Il primo è quello tradizionale, che prevede l'accesso ai sistemi all'interno del perimetro della rete aziendale, seguito dalla ricognizione e dall'escalation dei privilegi fino a un account amministrativo che ha accesso alle risorse del sito cloud .

Il secondo prevede l'aggiramento di quanto sopra semplicemente compromettendo le credenziali di un account amministratore con capacità di amministrazione remota o con accesso amministrativo al CSP.

Questa variabilità nei modelli di accesso amministrativo fa sì che la superficie di attacco cambi con nuove minacce alla sicurezza attraverso l'accesso non regolamentato agli endpoint utilizzati per la gestione dei servizi di cloud . I dispositivi non gestiti utilizzati per lo sviluppo e la gestione dell'infrastruttura espongono le organizzazioni a vettori di minacce come la navigazione web e la posta elettronica.

Quando l'account amministrativo principale viene compromesso, l'aggressore non ha bisogno di aumentare i privilegi o di mantenere l'accesso alla rete aziendale, perché l'account amministrativo principale può fare tutto questo e altro ancora. Come fa l'organizzazione a garantire un monitoraggio adeguato dell'uso improprio dei privilegi amministrativi del CSP?

Cloud Migliori pratiche di sicurezza

Le organizzazioni devono rivedere il modo in cui vengono gestite l'amministrazione del sistema e la proprietà dell'account cloud . Quante persone gestiscono l'account principale?

1. Come vengono eseguite le password e l'autenticazione?
2. Chi controlla la sicurezza di questo importante conto?
3. Chi è responsabile in caso di problemi di sicurezza?

Il CSP o l'organizzazione del tenant cloud ? Inizialmente sembra dipendere dal problema, ma alcuni CSP vogliono trasferire questa responsabilità all'organizzazione dell'inquilino.

Ma soprattutto, come fa un'organizzazione a monitorare l'esistenza e l'uso improprio delle credenziali amministrative? È responsabilità del locatario proteggere l'account amministrativo.

I CSP comunicano chiaramente la sua criticità e che è responsabilità dell'affittuario. I CSP sottolineano con forza le implicazioni di una protezione debole o assente. La mancanza di visibilità sull'infrastruttura di gestione del CSP di backend significa che le organizzazioni dei tenant di cloud devono identificare l'uso improprio dell'accesso al CSP all'interno dei propri ambienti quando viene utilizzato come mezzo di intrusione.

Le principali minacce alla sicurezza di cloud

Nel 2017, la Cloud Security Alliance (CSA) ha condotto un sondaggio per raccogliere le opinioni dei professionisti su quelli che, all'epoca, riteneva essere i problemi di sicurezza più urgenti nell'ambito del computing cloud .

Dei 12 problemi identificati, cinque erano legati alla gestione delle credenziali e ai metodi di compromissione di tali credenziali per ottenere l'accesso agli ambienti cloud con intenti malevoli. Questi cinque, in ordine di gravità secondo i risultati del sondaggio, sono:

1. Gestione insufficiente di identità, credenziali e accessi

Mancanza di sistemi scalabili di gestione degli accessi alle identità, mancato utilizzo dell'autenticazione multifattoriale, password deboli e mancanza di una rotazione automatizzata continua di chiavi crittografiche, password e certificati.

2. Interfacce e API non sicure

Dall'autenticazione al controllo degli accessi, dalla crittografia al monitoraggio delle attività, queste interfacce devono essere progettate per proteggere dai tentativi, sia accidentali che dolosi, di aggirare i criteri.

3. Dirottamento dell'account

Gli aggressori possono origliare le attività e le transazioni degli utenti, manipolare i dati, restituire informazioni falsificate e reindirizzare i clienti verso siti illegittimi.

4. Insider malintenzionati

Un dipendente attuale o precedente, un appaltatore o un altro partner commerciale che ha o aveva accesso autorizzato alla rete, ai sistemi o ai dati di un'organizzazione e che ha intenzionalmente superato o abusato di tale accesso in modo da compromettere la riservatezza, l'integrità o la disponibilità delle informazioni o dei sistemi informativi dell'organizzazione.

5. Insufficiente due diligence

La mancata esecuzione della due diligence espone un'azienda a una miriade di rischi commerciali, finanziari, tecnici, legali e di conformità che ne compromettono il successo.

> Scaricate il nostro libro bianco Threat Detection in the Cloud per vedere la nostra analisi completa di un attacco reale a Cloud .

Proteggere gli ambienti cloud non è un optional, ma un imperativo fondamentale per le aziende che vogliono proteggere i propri dati e mantenere la resilienza operativa. Vectra AI fornisce soluzioni di sicurezza all'avanguardia cloud progettate per soddisfare le esigenze specifiche delle aziende moderne, dal rilevamento e dalla risposta alle minacce alla conformità e alla protezione dei dati. Contattateci per scoprire come la nostra esperienza può aiutarvi a destreggiarvi tra le complessità della sicurezza cloud e a garantire che le vostre risorse cloud siano completamente protette.