IBM Security: la sicurezza nel cloud come sfida primaria per le aziende

Un nuovo studio di IBM Security evidenzia come la facilità e la velocità con cui gli strumenti cloud possono essere implementati rendano ancora più difficile il controllo da parte dei team di sicurezza su come vengono utilizzati.

sicurezza

IBM Security ha diffuso un nuovo studio sulle principali sfide e minacce da affrontare per preservare la sicurezza del cloud. Lo studio evidenzia come la facilità e la velocità con cui gli strumenti cloud possono essere implementati rendano ancora più difficile il controllo da parte dei team di sicurezza su come vengono utilizzati. Le analisi relative agli incidenti di sicurezza verificatisi nell’ultimo anno, inoltre, hanno messo in evidenza la tendenza dei criminali informatici a mirare sempre di più gli attacchi verso ambienti cloud, personalizzando malware, ransomware e altre minacce.

Il cloud abilita funzionalità tecnologiche e di business primarie, pertanto l’adozione e la gestione delle risorse possono anche implicare delle complessità. Secondo IDC, più di un terzo delle aziende ha acquistato oltre 30 tipi di servizi cloud da 16 diversi fornitori solo nel 2019. Un’architettura così dispersiva può rendere non chiara la ownership della sicurezza nel cloud, far emergere “punti ciechi” nelle policy e determinare vulnerabilità e configurazioni errate dovute allo Shadow IT.

Per comprendere più chiaramente lo stato dell’arte della sicurezza in un momento in cui le aziende hanno una maggiore predisposizione verso gli ambienti ibridi e multi-cloud, IBM Institute for Business Value (IBV) e IBM X-Force Incident Response and Intelligence Services (IRIS) hanno esaminato le sfide e le principali minacce alla sicurezza degli ambienti cloud. Queste le evidenze principali.

  • Ownership complessa: il 66% degli intervistati ha dichiarato di affidarsi ai provider dei propri servizi cloud per la gestione e implementazione degli standard di sicurezza di base; tuttavia, la percezione dell’ownership della security da parte degli intervistati varia notevolmente tra piattaforme e applicazioni cloud specifiche.
  • Applicazioni cloud come punto di ingresso: per compromettere gli ambienti cloud, il modo più semplice per i criminali informatici è inserirsi nelle applicazioni cloud-based, che rappresentano il 45% degli incidenti rilevati nei casi analizzati da IBM X-Force IRIS. In questi casi, i cybercriminali hanno approfittato degli errori di configurazione e delle vulnerabilità intrinseche alle applicazioni, spesso passate inosservate poiché installate dai dipendenti in totale autonomia, al di fuori dei canali ufficiali.
  • Amplificare gli attacchi: l’obiettivo principale degli attacchi cloud è stato il furto di dati, seguito da operazioni di cryptomining e ransomware, effettuate utilizzando risorse cloud per amplificarne l’effetto.

Chi è responsabile della sicurezza del cloud?

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Secondo l‘indagine dell’IBM Institute for Business Value, le organizzazioni intervistate che si sono affidate ai propri cloud provider per la gestione della cloud security sono state le principali responsabili dei data breach subiti, al netto dei problemi di configurazione, normalmente di responsabilità dei singoli utenti. Tale violazione dei dati ammonta a più dell’85% di tutti i data breach registrati nel 2019 dalle aziende intervistate.

Inoltre, le organizzazioni intervistate hanno una percezione molto diversa in materia di responsabilità della sicurezza in funzione della varietà di piattaforme e applicazioni. Ad esempio, la maggior parte degli intervistati (73%) ritiene che i provider di servizi di public cloud siano i principali responsabili della sicurezza nel caso di soluzioni Software-as-a-Service (SaaS), mentre solo il 42% ritiene che questi siano i principali responsabili della sicurezza nel caso di offerte Instrastructure-as-a-Service (IaaS).

Nonostante questo modello di responsabilità condivisa sia indispensabile nell’era ibrida e multi-cloud, lo stesso può anche portare a una variabilità di policy di sicurezza e a una mancanza di visibilità attraverso i diversi ambienti cloud. Le organizzazioni in grado di semplificare le operazioni cloud e security possono aiutare a ridurre questo rischio, attraverso policy definite in modo chiaro e applicabili a tutto l’ambiente IT.

Cyber Protect Cloud

Minacce nel cloud: furto di dati, cryptomining e ransomware

Gli esperti IRIS di X-Force Incident Response hanno analizzato in modo approfondito gli attacchi indirizzati agli ambienti cloud affrontati nel corso dell’ultimo anno. Di seguito le principali evidenze.

  • Cybercriminali: il fattore economico è alla base della maggioranza delle violazioni del cloud rilevate degli esperti di IBM X-Force, sebbene le organizzazioni finanziate da enti governativi rappresentino un fattore persistente di rischio.
  • Le app in cloud: il punto di accesso più comune per indirizzare gli attacchi sono state le applicazioni cloud, forzate attraverso azioni volte a sfruttare le vulnerabilità e le configurazioni errate. Le vulnerabilità sono spesso rimaste inosservate a causa dello Shadow IT, ovvero l’utilizzo da parte dei dipendenti di app cloud vulnerabili non approvate dall’organizzazione. La gestione delle vulnerabilità dei servizi cloud può rivelarsi complessa, in quanto fino al 2020 tali vulnerabilità non erano disciplinate dal sistema CVE, Common Vulnerabilities and Exposures (CVE).
  • Ransomware in cloud sono in crescita: nei casi di incident response affrontati da IBM, gli attacchi ransomware sono stati distribuiti 3 volte più di qualsiasi altro tipo di malware negli ambienti cloud, seguiti da cryptominer e malware botnet.
  • Il furto di dati è un classico: al di fuori della distribuzione di malware, il furto di dati ha costituito il tipo di attacco più comune negli ambienti cloud violati nell’ultimo anno. Il tipo di dati sottratti alle organizzazioni, come osservato da IBM, varia dalle informazioni di identificazione personale (PII) ai client di posta.
  • Effetti esponenziali: i criminali informatici hanno utilizzato risorse cloud per amplificare l’effetto di attacchi come cryptomining e DDoS. Il cloud è stato inoltre sfruttato per ospitare infrastrutture e operazioni malevole, associate ad azioni volte a impedirne il rilevamento.

Elevati livelli di CloudSec migliorano la capacità e la velocità di risposta in caso di attacchi

Lo studio rivela infine che le organizzazioni evolute che abbiano già ampiamente adottato soluzioni cloud e security sono in grado di identificare e contenere i data breach più rapidamente rispetto a quelle ancora all’inizio del percorso di migrazione verso il cloud. Quanto ai tempi di risposta, le organizzazioni con un maggior grado di maturità sono due volte più veloci nelle fasi di identificazione e contenimento delle violazioni rispetto alle organizzazioni meno mature: per le prime, il ciclo di vita medio delle minacce si attesta attorno ai 125 giorni contro 250 giorni per le organizzazioni impreparate.

Oggi il cloud è essenziale per tutte le organizzazioni. Per questo, IBM Security ha delineato una serie di direzioni utili a migliorare la sicurezza in ambienti ibridi multi-cloud:

  • Stabilire governance e cultura collaborativa: adottare una strategia unificata che combini operazioni cloud e security, coinvolgendo tutti gli attori, dai developer ai dipartimenti di IT Operation e Security. Tale strategia richiede anche che siano delineate politiche e responsabilità chiare per la gestione e il controllo delle risorse cloud esistenti e per l’acquisizione di nuove.
  • Assumere una visione basata sul rischio: valutare i tipi di workload e di dati per i quali è previsto il passaggio a un ambiente cloud e definire policy di sicurezza appropriate. Il primo passo è mettere a punto una valutazione basata sul rischio di visibilità completa dell’ambiente cloud, per poi creare un processo mirato volto all’adozione graduale del cloud.
  • Adottare un sistema di strong access management: sfruttare le politiche di access management e gli strumenti per l’accesso alle risorse cloud, inclusa l’autenticazione a più fattori, per prevenire l’infiltrazione attraverso credenziali rubate. È quindi necessario limitare gli account autorizzati e impostare tutti i gruppi di utenti con il minimo dei requisiti necessari per ridurre il rischio di compromissione dell’account (modello “zero-trust”).
  • Disporre degli strumenti giusti: assicurarsi che gli strumenti per il monitoraggio della sicurezza, la visibilità e la security response siano efficaci su tutte le risorse cloud e on-premise. A questo proposito, è consigliabile considerare il passaggio a tecnologie e standard open che consentono una maggiore interoperabilità.
  • Automatizzare i processi di sicurezza: per migliorare le capacità di rilevamento e risposta agli eventi, è consigliabile implementare un sistema di sicurezza automatizzato efficace, anziché fare affidamento sull’approccio manuale.
  • Fare ricorso a simulazioni proattive: simulare vari scenari di attacco può aiutare a identificare falle nella sicurezza e ad affrontare potenziali problemi di natura legale che possono sorgere in caso di indagini sugli attacchi.