Nell'aviazione, i piloti utilizzano liste di controllo pre-volo per evitare guasti catastrofici dovuti a errori umani e a configurazioni errate. Nel campo della cybersecurity, si verificano continuamente gravi violazioni del cloud storage a causa di configurazioni errate. I professionisti della cybersecurity possono imparare dall'aviazione a implementare una lista di controllo per la sicurezza del cloud storage per evitare questi costosi errori, il cui ultimo esempio è probabilmente causato da un bucket di storage non correttamente protetto.
Le tendenze della trasformazione digitale e della migrazione al cloud hanno spinto l'adozione di infrastrutture e storage di cloud pubblico, come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform. Man mano che le organizzazioni trasformano le applicazioni on-premises in servizi cloud, anche i preziosi dati aziendali si sono spostati nello storage cloud.
Quando si tratta di proteggere i dati aziendali su un cloud pubblico, la maggior parte dei fornitori di servizi cloud ha adottato un "modello di responsabilità condivisa", che fornisce un quadro per garantire che le responsabilità di sicurezza siano chiaramente definite tra il fornitore di storage cloud e l'organizzazione che utilizza il servizio di storage.
Ad esempio, Amazon si assume la responsabilità della "Sicurezza del Cloud", ma si aspetta che i suoi clienti si assumano la responsabilità della "Sicurezza nel Cloud". Microsoft Azure definisce il proprio modello di responsabilità condivisa in modo simile. In generale, il cloud provider si assume la responsabilità dell'hosting fisico, della rete, delle risorse di calcolo e del data center, mentre i clienti devono assumersi la responsabilità delle applicazioni, dei dati, degli endpoint, degli account e delle identità in esecuzione sul cloud.
Purtroppo, molte organizzazioni non se ne rendono conto. Forse c'è un'interruzione della comunicazione tra i vari reparti, forse gli amministratori sono diventati compiacenti, o forse si tratta semplicemente di un caso di "non si sa cosa non si sa" o forse di un'eccessiva fiducia nei meriti del marchio dei grandi operatori del cloud.
La realtà è molto semplice e riguarda il rischio di terzi, cioè quando si utilizza il cloud per le applicazioni o l'archiviazione dei dati si stanno utilizzando "i computer e l'infrastruttura di qualcun altro" e si deve verificare che siano correttamente configurati e sicuri.
In ogni caso, anche una semplice configurazione errata del cloud storage può rendere un'organizzazione vulnerabile a una violazione. Nel 2021, un bucket di storage Amazon S3 mal configurato ha esposto le informazioni di identificazione personale di oltre 3 milioni di anziani statunitensi. In un altro caso, una lista di controllo dei terroristi statunitensi con oltre 1,9 milioni di record è stata trovata esposta su un cloud storage non sicuro. Esistono decine di esempi di questo tipo, la maggior parte dei quali non sono stati pubblicati, ma sono tutti il risultato di una configurazione errata.
Fare una lista e controllarla due volte
La storia delle liste di controllo dell'aviazione è incredibilmente affascinante. Nel 1935, il maggiore "Peter" Hill, capo pilota collaudatore dell'esercito americano, doveva collaudare il Boeing 299, un prototipo di bombardiere a quattro motori. Il maggiore Hill era un pilota esperto, avendo pilotato quasi 60 tipi diversi di aerei nel corso della sua carriera. Tuttavia, durante il volo di prova del Boeing 299, il maggiore Hill si schiantò immediatamente dopo il decollo e morì carbonizzato. La causa dell'incidente non fu un cedimento strutturale o meccanico, ma piuttosto il fatto che il maggiore Hill non aveva sbloccato i comandi dell'aereo, rendendo impossibile il pilotaggio.
Dopo l'incidente, Boeing introdusse la lista di controllo come strumento obbligatorio per i suoi piloti. Nonostante la tragedia, la Boeing continuò a produrre più di 12.000 bombardieri B-17 da utilizzare nella Seconda Guerra Mondiale e l'esercito americano continuò ad addestrare i suoi piloti civili con queste liste di controllo.
Una lista di controllo dei bombardieri della Seconda Guerra Mondiale
Oltre la casella di controllo - OPSWAT Secure Storage
La buona notizia è che la sicurezza informatica non è di solito una questione di vita o di morte, per quanto lo stress del lavoro la faccia sembrare tale. Ma non c'è motivo per cui i professionisti della cybersecurity non possano affrontare la sicurezza del cloud storage con lo stesso entusiasmo e lo stesso vigore di un pilota di jet da combattimento per garantire la sicurezza dei propri dati, soprattutto quando vengono conservate informazioni personali (finanziarie, sanitarie e di altro tipo) di clienti, partner e informazioni aziendali.
L'implementazione di una lista di controllo per la sicurezza dello storage in-the-cloud può aiutare a garantire che le organizzazioni stiano seguendo le migliori pratiche, come il privilegio minimo, che è emerso come principio guida dei modelli di sicurezza Zero Trust. L'automazione di questo processo con la tecnologia può aiutare a evitare errori manuali costosi e dispendiosi in termini di tempo.
MetaDefender Storage Security migliora la sua soluzione di sicurezza per il cloud storage con una checklist di sicurezza integrata, in modo che i professionisti della cybersecurity possano assicurarsi che il cloud storage della loro organizzazione non sia configurato in modo errato durante il provisioning, che include le fasi di sviluppo e di produzione del cloud storage. MetaDefender va anche oltre la checklist, offrendo l'antivirus Multiscanning dei file per rilevare le minacce note e Deep Content Disarm and Reconstruction (CDR) per prevenire gli attacchi zero-day nascosti nei file. La prevenzione proattiva della perdita di dati (DLP) fornisce un ulteriore livello di mitigazione del rischio di conformità, identificando e mascherando le PII (Personally Identifiable Information) e altri dati sensibili nei file archiviati.
Se siete pronti ad esercitare la vostra lista di controllo per la sicurezza del cloud storage, segnate il primo punto della lista di controllo come completo: contattate oggi stesso OPSWAT per sapere come possiamo aiutarvi!
