Spiegazione delle vulnerabilità e dei rischi di sicurezza comuni Cloud

Le vulnerabilità Cloud sono punti ciechi della sicurezza o punti di ingresso che possono essere sfruttati da attori malintenzionati.

A differenza degli ambienti tradizionali, in cui le vulnerabilità si trovano più spesso a livello perimetrale (come i firewall), le vulnerabilità del cloud possono provenire da diversi ambiti, come configurazioni errate, controllo degli accessi, un modello di responsabilità condivisa non definito, Shadow IT, ecc.

Un ambiente cloud è intrinsecamente interconnesso con più utenti, partner, applicazioni e fornitori.

Una superficie di attacco così ampia significa che le risorse cloud sono esposte a minacce provenienti da dirottamenti di account, insider malintenzionati, dirottamenti di account, gestione carente di identità e credenziali e API non sicure.

Un'ovvia differenza tra minacce e vulnerabilità sta nella loro urgenza.

Se una vulnerabilità rappresenta una debolezza esistente in un limbo, in attesa di essere sfruttata, la minaccia è un evento dannoso o negativo che di solito si verifica nel momento presente e che richiede un intervento urgente.

Inoltre, la vulnerabilità è ciò che ha esposto per primo l'organizzazione alle minacce alla sicurezza del cloud.

Ad esempio, le configurazioni errate del cloud rappresentano una vulnerabilità che può portare a controlli di accesso deboli e, infine, alla minaccia di un attacco informatico.

In breve, la vulnerabilità è una debolezza e la minaccia è l'azione o l'evento potenziale che potrebbe sfruttare tale debolezza. Se il cloud fosse una porta chiusa a chiave, la vulnerabilità sarebbe una serratura con un punto debole e la minaccia sarebbe qualcuno che la apre.

Le infrastrutture cloud sono costruite su vari livelli e componenti; le vulnerabilità possono esistere a ogni livello.

Conseguenza diretta di impostazioni errate o troppo permissive, le configurazioni errate rendono un sistema meno sicuro di quanto dovrebbe essere. Possono verificarsi nei container basati sul cloud (come i bucket S3 mal configurati), nei firewall o nelle macchine virtuali senza patch.

Esempi di configurazioni errate sono l'accesso pubblico in lettura e scrittura quando dovrebbe essere privato, autorizzazioni obsolete o non aggiornate, o persino la mancanza di impostazioni di crittografia.

Le configurazioni errate possono essere causate da errori umani, mancanza di conoscenze o script di automazione mal scritti e possono portare a perdite o fughe di dati, danni alla reputazione in caso di attacco e mancata conformità agli standard normativi.

È il caso di CapitalOne nel 2019, quando un firewall per applicazioni web mal configurato ha consentito l'accesso non autorizzato a un bucket S3 contenente dati sensibili (compresi i numeri di previdenza sociale) di oltre 100 milioni di clienti. A causa della violazione, CapitalOne ha dovuto pagare una sanzione di 80 milioni di dollari.

Per definizione, gli ambienti cloud sono in rapida evoluzione, decentralizzati e spesso non completamente controllati dai team di sicurezza, per cui si verifica una certa mancanza di visibilità.

Ciò può accadere sia perché i fornitori offrono solo strumenti di base per la visibilità, mentre un monitoraggio più approfondito comporta un costo aggiuntivo, sia perché i team all'interno di un'organizzazione sono molto limitati e non dispongono delle competenze specifiche per il cloud necessarie per monitorare realmente l'infrastruttura.

Anche la tendenza delle organizzazioni a privilegiare la velocità rispetto alla sicurezza è un fattore che contribuisce.

Tuttavia, quando la visibilità viene percepita come un costo e non come un fattore di valore, gli avversari possono penetrare in un'infrastruttura cloud e rimanere inosservati per un periodo di tempo più lungo.

Con così tanti strumenti, dashboard e registri all'interno di una rete cloud, è difficile correlare e ottenere informazioni utili su ciò che sta accadendo.

La gestione degli accessi definisce quale utente o applicazione può accedere a una risorsa cloud.

Si tratta di gestire le identità digitali e di controllare l'accesso ai servizi, alle applicazioni e ai dati del cloud.

È necessario porre dei limiti e delle restrizioni per garantire che le informazioni sensibili non finiscano in mani autorizzate. In un mondo in cui l 'acquisizione di account riguarda più di 77 milioni di persone solo negli Stati Uniti, alcune pratiche diventano fondamentali:

• Implementazione dell'MFA (Autenticazione a più fattori)
• Applicare il principio dell'accesso con il minimo privilegio (concedere l'accesso solo se è richiesto dal compito)
• Utilizzo del controllo degli accessi basato sui ruoli per gestire l'accesso in base alle funzioni lavorative.

In caso contrario, le organizzazioni rischiano di subire violazioni di dati, non conformità alle normative e interruzioni operative.

Gli aggressori possono penetrare in un sistema attraverso un account dirottato e sfruttare politiche di accesso inadeguate, possono passare a risorse o sistemi di livello superiore; l'obiettivo è ottenere un maggiore controllo sul sistema e potenzialmente causare danni significativi.

All'interno di un'infrastruttura cloud, l'API può consentire a diversi sistemi, servizi o applicazioni di interagire con l'ambiente cloud.

Ciò significa che le API possono controllare l'accesso a dati, infrastrutture e funzionalità.

Un'API non sicura può significare che non richiede un utente o un token valido per accedervi, che concede più accessi del necessario o che registra dati sensibili.

Se le API sono mal configurate o esposte, gli aggressori possono accedere ai dati (informazioni sugli utenti, dati finanziari, cartelle cliniche), anche senza credenziali complete.

È quanto accaduto nel 2021, quando una vulnerabilità nell'API di Pelotonha permesso a chiunque di accedere ai dati degli account degli utenti, anche per i profili privati. Scoperta da Pen Test Partners, la falla lasciava passare richieste non autenticate, esponendo dettagli come età, sesso, posizione, peso, statistiche di allenamento e compleanni.

L'accesso a un database così complesso avrebbe potuto portare ad attacchi di doxxing, furto di identità o social engineering.

Per Shadow IT si intende l'utilizzo di software, hardware o altri sistemi IT all'interno di un'organizzazione senza la conoscenza, l'approvazione o il controllo del reparto IT o di sicurezza.

Per comodità o per dolo, i dipendenti possono cercare strumenti diversi da quelli ufficialmente forniti, introducendo rischi significativi per la sicurezza informatica nell'organizzazione.

L'IT ombra in pratica può apparire come:

• Un dipendente che carica documenti tecnici sensibili su un cloud storage personale.
• Qualcuno che utilizza strumenti di accesso remoto non autorizzati (come AnyDesk) per la risoluzione di problemi di sistemi industriali o per accedere ad ambienti SCADA in infrastrutture critiche.
• Effettuare videochiamate tramite piattaforme non collaudate (come WhatsApp) invece che con lo standard aziendale.

Nelle infrastrutture critiche o negli ambienti ad alta sicurezza, l'IT ombra può creare pericolosi punti ciechi, aprendo la strada alla fuga di dati, all'introduzione di malware o alla non conformità normativa.

Gli insider malintenzionati, negligenti o compromessi possono essere più difficili da individuare a causa della natura fidata dell'utente o del sistema coinvolto.

I danni potenziali derivanti da queste persone possono portare a violazioni di dati, interruzioni di servizio, violazioni normative e perdite finanziarie.

Una vulnerabilità zero-day è una falla di sicurezza precedentemente sconosciuta che non ha una soluzione disponibile al momento della scoperta e può essere sfruttata prima che il fornitore ne venga a conoscenza.

Negli ambienti cloud, questo include vulnerabilità nelle API delle piattaforme cloud, nei sistemi di orchestrazione dei container, nelle app SaaS o nei carichi di lavoro ospitati nel cloud.

La natura dinamica, interconnessa e multi-tenant del cloud consente alle falle di diffondersi rapidamente e di colpire molte risorse, mentre gli utenti non hanno la visibilità necessaria sull'infrastruttura per individuarle rapidamente.

Inoltre, il patching dei sistemi cloud può richiedere tempo, aumentando la finestra di esposizione agli Zero Day.

Secondo questo rapporto, a partire dal 2023, la prevenzione delle configurazioni errate del cloud è stata la preoccupazione principale di oltre la metà delle aziende , evidenziando la gravità delle possibili conseguenze.

Una delle conseguenze più dannose delle vulnerabilità del cloud è l'esposizione o la perdita di dati sensibili.

Le organizzazioni si affidano spesso a soluzioni di archiviazione cloud per conservare i dati dei clienti, le informazioni proprietarie o i dati operativi.

Una violazione può quindi significare il furto di identità personali, informazioni finanziarie, proprietà intellettuale o addirittura segreti commerciali.

Al di là degli effetti immediati, questi incidenti possono anche portare a danni di reputazione a lungo termine e a un crollo della fiducia dei clienti.

Le persone colpite possono abbandonare i servizi e i partner possono riconsiderare i rapporti commerciali.

Anche se la violazione viene contenuta rapidamente, il costo delle indagini, della bonifica, della notifica ai clienti e delle potenziali cause legali può raggiungere i milioni di dollari, senza contare i costi di opportunità legati alla perdita di produttività e all'erosione del marchio.

La maggior parte dei settori è regolata da rigorosi quadri di conformità, come il GDPR, l'HIPAA, il PCI DSS o il CCPA, che stabiliscono le modalità di archiviazione, accesso e protezione dei dati.

Quando le vulnerabilità portano ad accessi non autorizzati o ad un controllo inadeguato dei dati sensibili, le aziende rischiano di trovarsi in violazione di queste leggi. Le autorità di regolamentazione possono imporre multe consistenti, avviare procedimenti legali o imporre restrizioni operative.

Ad esempio, in giurisdizioni come l'Unione Europea, le sanzioni previste dal GDPR possono raggiungere il 4% del fatturato globale annuo, trasformando anche un singolo incidente in un evento ad alto rischio.

Le vulnerabilità Cloud sono presenti da tempo, tanto che le organizzazioni hanno potuto sviluppare intere metodologie progettate per mitigare i rischi di vulnerabilità.

Le infrastrutture Cloud sono altamente dinamiche, in quanto vengono distribuiti nuovi servizi e aggiunte regolarmente integrazioni.

Ognuno di questi cambiamenti introduce il potenziale di una configurazione errata o di un'esposizione, rendendo la valutazione delle vulnerabilità un compito continuo.

Anche quando le organizzazioni identificano le vulnerabilità e iniziano a eseguire le patch, alcuni sistemi potrebbero non funzionare correttamente con le versioni aggiornate.

In questi casi, alcune vulnerabilità devono rimanere per la continuità operativa, rendendo essenziale la gestione.

I team di sicurezza hanno bisogno di un approccio strutturato per documentare queste eccezioni, valutare i rischi associati e applicare strategie di controllo appropriate, come l'isolamento della vulnerabilità dalla rete.

Il CSPM prevede la scansione dell'infrastruttura alla ricerca di configurazioni errate, violazioni dei criteri e controlli di accesso troppo permissivi.

Piuttosto che concentrarsi sui difetti del software, il CSPM affronta i rischi architettonici e di configurazione (bucket S3 non configurati correttamente, storage non crittografato o trasferimenti IAM) che possono portare all'esposizione dei dati o alla mancata conformità.

CSPM offre visibilità in tempo reale sugli ambienti cloud, controlli automatici rispetto ai framework di conformità (come CIS, PCI o GDPR) e avvisi su eventuali configurazioni errate.

Le piattaforme CNAPP migliorano la sicurezza del cloud unificando più livelli di protezione, combinando la gestione della postura di sicurezza Cloud con le piattaforme di protezione del carico di lavoro Cloud (CWPP) e la gestione delle vulnerabilità in un unico framework.

Offrono una visione più approfondita dell'intero ciclo di vita dell'applicazione, dalla configurazione dell'infrastruttura al comportamento del carico di lavoro e alle minacce in fase di esecuzione.

Le CNAPP possono integrarsi con altri strumenti di sicurezza incorporando il rilevamento basato su host, il monitoraggio comportamentale e la scansione delle vulnerabilità direttamente nelle macchine virtuali, nei container e negli ambienti serverless.

Negli ambienti on-prem, le vulnerabilità appaiono molto probabilmente a livello di perimetro, ovvero il confine tra la rete interna e protetta dell'organizzazione e la rete esterna, spesso non attendibile.

Le lacune nella sicurezza on-premise possono significare software obsoleto, server mal configurati, guasti hardware e persino violazioni della sicurezza fisica.

Tuttavia, negli ambienti cloud, i firewall e le reti non costituiscono più un perimetro stabile, in quanto l'identità diventa il primo e più critico confine di sicurezza.

Anche se i principi fondamentali della sicurezza rimangono rilevanti, il cloud introduce nuove dinamiche, soprattutto per quanto riguarda la responsabilità, la visibilità e la volatilità delle risorse.

Gli ambienti Cloud sono per lo più esposti a minacce dinamiche e API, a differenza degli ambienti on-prem, dove il pericolo risiede in rischi ben noti come l'accesso fisico non autorizzato, gli attacchi interni o le violazioni del perimetro.

Le differenze principali includono la prevalenza di configurazioni errate come causa principale delle violazioni, la presenza di risorse a vita breve (container, funzioni serverless), che spesso eludono gli strumenti di scansione tradizionali e gli attacchi basati sull'identità che stanno diventando sempre più frequenti e preferiti dagli aggressori.

Inoltre, anche le responsabilità della sicurezza si spostano nel cloud, soprattutto grazie al modello di responsabilità condivisa discusso in precedenza.

In questo quadro, le organizzazioni sono responsabili della protezione di dati, applicazioni, configurazioni e identità, compresa tutta la logica di gestione dei file:

• Convalida e sanificazione dei file caricati.
• Configurazione delle autorizzazioni di accesso a livello di oggetto o di bucket.
• Crittografia dei dati in transito e a riposo.
• Implementazione del monitoraggio e del rilevamento delle minacce sulle interazioni di cloud storage.

Infine, per tenere il passo con la velocità e la complessità del cloud, i responsabili della sicurezza devono comprendere sia il linguaggio che la natura in evoluzione delle minacce.

Un vocabolario condiviso tra i team DevOps, di sicurezza e di leadership è fondamentale per una difesa coordinata e tutti i membri del team dovrebbero essere allineati su termini chiave del settore, come ad esempio: