Cloud Security: le best practice di sicurezza per la nuvola
Gli attacchi sono cresciuti e sono sempre più complessi. Lo rilevano i dati ma anche l’esperienza di chi fa della sicurezza informatica il proprio mestiere.
Fonte: Clusit
Mentre il cyber crimine si muove come una grande impresa, o meglio, come un insieme di tante imprese, le aziende del nostro territorio subiscono attacchi che hanno enormi impatti sull’operatività aziendale e quindi sul business.
Phishing, malware e vulnerabilità rimangono tra i vettori di attacco più utilizzati, ma anche quelli cloud-based trovano spazio e sono aumentati del 48% su scala globale (Check Point Research). Nonostante si senta abbondantemente parlare di security by design in riferimento all’approccio al cloud, sentiamo il bisogno di sfatare questo mito in questo articolo.
Quali sono allora i maggiori rischi di sicurezza informatica quando si parla di cloud?
Il cloud risulta enormemente appetibile per via dell’ingente quantità di dati presenti negli applicativi e del ruolo spesso strategico che riveste nell’ambito di una infrastruttura aziendale.
Visibilità End to end
Essere in grado di mappare il proprio parco applicativo e conoscere quali sono le attività che vengono svolte quotidianamente, permette di riconoscere quali sono, invece, le attività sospette e malevole.
Non sempre i cybercriminali sfruttano nell’immediato una vulnerabilità. Molto spesso possono rimanere silenti per settimane (tra le 2 e le 6 settimane) prima di procedere con l’attacco vero e proprio, questo perché, studiando l’infrastruttura della vittima è possibile conoscere meglio i punti di debolezza da poter sfruttare. Essere in grado di riconoscere i movimenti sospetti permette di agire in tempo ed evitare che l’attacco informatico vada a buon fine o si propaghi e che il business venga impattato in maniera irreversibile.
Il monitoraggio interno deve essere una priorità: avere una visibilità end to end di tutte le attività che vengono svolte interamente e la successiva lettura di tali attività da parte di persone competenti permette una gestione efficace dell’infrastruttura stessa.
Tale lettura deve riguardare tutto il parco applicativo per avere sempre ben chiaro lo stato in cui la propria infrastruttura si trova con le relative attività che vengono svolte, in modo da avere sempre sotto controllo ciò che avviene internamente.
Un altro aspetto importante riguarda la valutazione del rischio che deve essere svolto insieme al proprio SOC per poter capire quali sono i momenti più adatti per svolgere attività di ricognizione e identificazione delle attività sospette da parte di entità non autorizzate ad accedere al cloud.
Avere un presidio 24⁄7 sull’infrastruttura garantisce una raccolta di indizi sulle attività svolte e l’azione nel minor tempo possibile in caso di riconoscimento di attività malevole.
Gestione delle vulnerabilità
Partendo dal presupposto che nessuna azienda è impenetrabile e ogni azienda può presentare delle falle nel proprio sistema, bisogna quindi porre l’attenzione sull’analisi e sulla gestione delle vulnerabilità affinché queste non vengano sfruttate attivamente.
Questo processo, valido per ogni tipo di infrastruttura, deve essere programmato in maniera ancora più puntigliosa quando si parla di cloud.
Il controllo attivo delle vulnerabilità presenti all’interno del proprio sistema e dei propri applicativi deve avvenire in maniera costante e ricorsiva. Non basta quindi avere un piano di assessment delle vulnerabilità che avvenga una tantum, al contrario deve avvenire in maniera continuativa.
Un servizio di Continuous Vulnerability Assessment permette di avere sotto controllo lo stato attuale della propria infrastruttura per riconoscere in real-time eventuali falle nel sistema e impostare un piano di remediation volto a rimediare tali falle tempestivamente.
Secondo un report svolto internamente alla nostra azienda, i tempi di remediation per lo sfruttamento delle vulnerabilità critiche e con criticità alta si attesta tra i 95 giorni e i 100 giorni. Vulnerabilità con diversi livelli di criticità hanno necessità di essere rimediate in tempi diversi: anche qualche giorno in più può risultare cruciale. Non va poi trascurata l’attività di patch management, ovvero quelle attività di controllo degli aggiornamenti del sistema operativo e il processo di implementazione degli aggiornamenti per ridurre l’esposizione ad attacchi informatici, garantire una continuità operativa e risolvere vulnerabilità della sicurezza.
Quando si parla di vulnerabilità va anche considerata la configurazione dell’infrastruttura. Entra in gioco, quindi, il concetto di mis-configuration, ovvero una non corretta o non appropriata configurazione dell’infrastruttura che, se non in linea con le esigenze del business, può portare allo sfruttamento della stessa da parte dei criminali informatici.
Effettuare una valutazione della situazione dell’infrastruttura da un punto di vista della sicurezza informatica può essere utile da un lato per effettuare un’analisi dell’ambiente cloud, dall’altro per determinare il livello di sicurezza dello stesso. Una volta effettuata questa prima analisi possono essere messe in campo le best practice per rendere il proprio cloud il più sicuro possibile.
Protezione avanzata
Come abbiamo visto precedentemente, il numero degli attacchi è in continuo aumento, così come la loro complessità. I cyber criminali affinano sempre più le proprie tecniche, tanto da non essere più in grado di classificare gli attacchi sotto una unica categoria. Secondo il rapporto Clusit 2023, infatti, circa il 24% degli attacchi sono di tipo sconosciuto, proprio per la loro sempre più recente natura che non permette di catalogarli in categorie già esistenti.
Le aziende, per difendersi anche da queste più recenti tipologie, hanno bisogno di sistemi altrettanto efficaci che si sviluppino di pari passo con l’evoluzione degli attacchi stessi. La protezione del dato deve diventare la priorità e con essa anche tutte le best practice legate al tema del back-up.
In particolare, se prevenire un attacco informatico non è sempre possibile, quello che l’azienda può fare è di facilitare il recupero dei dati stessi. Il back up non è un sistema di protezione dai cyber attacchi, ma permette all’azienda colpita di ripartire nel minor tempo possibile. Impostare una corretta strategia di difesa che consideri questi aspetti può assicurare l’identificazione degli attacchi e una rapida ripartenza.