Perché la sicurezza del tuo cloud non lo taglia e cosa fare al riguardo

Il sondaggio sulla sicurezza del cloud del SANS Institute 2019 è rassicurante (per leggerlo devi registrarti per un abbonamento gratuito). Scritto da Dave Shackleford nell'aprile 2019, il rapporto afferma alcuni fatti e cifre deludenti. Ad esempio, si potrebbe pensare che, dopo tutti i recenti rapporti sulle violazioni, saremmo più in grado di proteggere le nostre risorse cloud. Ma non solo siamo ancora abbastanza cattivi, ma il grosso problema non è nemmeno la tecnologia. Sono ancora persone. Una chiara indicazione di ciò appare nell'elenco dei report dei principali tipi di attacchi, a partire dal dirottamento dell'account o delle credenziali e dal numero due dei motivi di errata configurazione dei servizi e delle risorse cloud.

"Il dirottamento delle credenziali è una metodologia di accesso collaudata perché stai attaccando le persone", ha dichiarato Mike Sprunger, Senior Manager della Security Consulting Practice presso la Security Consulting Practice di Insight Enterprises. "Le persone saranno sempre il collegamento più debole perché è qui che si affrontano molti dei tradizionali problemi di ingegneria sociale, come le chiamate all'help desk, il phishing e il phishing."

Naturalmente, ci sono molti modi in cui le credenziali possono essere rubate, con il phishing che è semplicemente l'ultimo e, in alcuni casi, il più difficile da affrontare. Ma le credenziali possono anche essere raccolte da dati provenienti da altre violazioni semplicemente perché le persone riutilizzano le stesse credenziali dove possono in modo da non ricordare più del necessario. Inoltre, la consueta pratica di scrivere informazioni di accesso su note adesive e incollarle accanto a una tastiera è ancora molto diffusa.

L'errata configurazione dei servizi cloud è un'altra area in cui le persone sono il punto debole. La differenza qui è che le persone usciranno e metteranno in piedi un servizio cloud senza avere idea di cosa stanno facendo, e quindi lo useranno per archiviare i dati senza proteggerlo.

"In primo luogo, nell'adozione del cloud, c'è stato così tanto su quanto sia facile alzare una nuvola che ci sono aspettative non realistiche", ha spiegato Sprunger. "Le persone commettono errori e non è proprio chiaro cosa si debba fare per definire la sicurezza dei container".

La vaghezza nella sicurezza non è buona

Parte del problema è che i fornitori di servizi cloud non fanno davvero un lavoro adeguato per spiegare come funzionano le loro opzioni di sicurezza (come ho scoperto durante la revisione recente delle soluzioni Infrastruttura come servizio o IaaS), quindi devi indovinare o chiamare il fornitore di aiuto. Ad esempio, con molti servizi cloud, hai la possibilità di attivare un firewall. Ma scoprire come configurarlo quando è in esecuzione potrebbe non essere spiegato chiaramente. Affatto.

Questo problema è così grave che Shackleford, l'autore del rapporto SANS, inizia il rapporto con un elenco di secchi non protetti di Amazon Simple Storage Service (S3) che hanno provocato violazioni. "Se si deve credere ai numeri, il 7 percento dei bucket S3 è aperto al mondo", ha scritto, "e un altro 35 percento non utilizza la crittografia (che è integrata nel servizio)". Amazon S3 è un'ottima piattaforma di archiviazione quando i nostri test sono terminati. Problemi come questi derivano semplicemente da utenti che hanno configurato erroneamente il servizio o non sono completamente consapevoli dell'esistenza di determinate funzionalità.

L'abuso dell'uso privilegiato è il prossimo nell'elenco ed è un altro problema derivante dalle persone. Sprunger ha affermato che si tratta di qualcosa di più di un semplice dipendente scontento, sebbene includa quelli. "Molto di ciò che manca sono terze parti che hanno accesso privilegiato", ha spiegato. "È molto più facile accedere tramite l'accesso all'account di servizio. In genere, si tratta di un singolo account con una sola password e non esiste alcuna responsabilità."

Gli account di servizio sono generalmente forniti a terzi, spesso fornitori o appaltatori che necessitano dell'accesso per fornire supporto o servizio. Era un account di servizio di questo tipo appartenente a un appaltatore di riscaldamento, ventilazione e aria condizionata (HVAC) che era il punto debole che ha portato alla violazione di Target nel 2014. "Questi account in genere hanno privilegi simili a quelli di Dio", ha detto Sprunger, aggiungendo che sono un obiettivo primario per gli attaccanti.

Superare le vulnerabilità della sicurezza

Quindi, cosa fai di queste vulnerabilità? La risposta breve è l'allenamento ma è più complesso di così. Ad esempio, gli utenti devono essere addestrati a cercare e-mail di phishing e tale formazione deve essere sufficientemente completa da riconoscere anche i sottili segni di phishing. Inoltre, deve includere i passi che i dipendenti dovrebbero adottare se sospettano di vedere un simile attacco. Ciò include come vedere dove sta realmente andando un collegamento in una e-mail, ma deve anche includere procedure per la segnalazione di tale e-mail. La formazione deve includere la convinzione che non si metteranno nei guai per non aver seguito le istruzioni inviate via e-mail che sembrano sospette.

Allo stesso modo, ci deve essere un certo livello di corporate governance in atto in modo che i dipendenti casuali non escano e creino i propri account di servizi cloud. Ciò include la visione di buoni di nota spese per addebiti per servizi cloud su carte di credito personali. Ma significa anche che è necessario fornire formazione su come gestire la disponibilità dei servizi cloud.

Gestire gli abusi degli utenti privilegiati

Affrontare l'abuso privilegiato degli utenti può anche essere una sfida perché alcuni fornitori insistono sull'accesso con una vasta gamma di diritti. Puoi farne parte segmentando la tua rete in modo che l'accesso sia solo al servizio che viene gestito. Ad esempio, segmentalo in modo che il controller HVAC si trovi sul proprio segmento e i fornitori incaricati di mantenere quel sistema ottengano l'accesso solo a quella parte della rete. Un'altra misura che potrebbe aiutare a raggiungere questo obiettivo è l'implementazione di un solido sistema di gestione delle identità (IDM), che non solo terrà una migliore traccia degli account, ma anche chi ha loro e i loro privilegi di accesso. Questi sistemi ti permetteranno anche di sospendere l'accesso più rapidamente e forniranno una pista di controllo dell'attività dell'account. E mentre puoi spendere un sacco di soldi per uno, potresti già averne uno in esecuzione se sei un negozio di Windows Server con un albero di Microsoft Active Directory (AD) abilitato.

• Le migliori suite di sicurezza per il 2019 Le migliori suite di sicurezza per il 2019
• I migliori fornitori di servizi di archiviazione e condivisione file cloud per il 2019 I migliori fornitori di servizi di archiviazione e condivisione file cloud per il 2019
• I migliori servizi di backup su cloud per le aziende nel 2019 I migliori servizi di backup su cloud per le aziende nel 2019

Potrebbe anche essere necessario assicurarsi che i fornitori dispongano dell'accesso ai privilegi minimi in modo che i loro account garantiscano loro solo i diritti sul software o sull'appliance che gestiscono e nient'altro, un altro grande uso di un sistema IDM. Puoi richiedere loro di richiedere l'accesso temporaneo per qualsiasi altra cosa.

Questi sono solo i primi elementi in un elenco piuttosto lungo di problemi di sicurezza, e vale la pena leggere il rapporto sull'indagine di sicurezza SANS nella sua interezza. Il suo elenco ti fornirà una roadmap di modi per affrontare le vulnerabilità di sicurezza e ti aiuterà a realizzare ulteriori passi che puoi intraprendere. Ma la linea di fondo è, se non stai facendo nulla per i problemi segnalati da SANS, allora la tua sicurezza cloud puzzerà e probabilmente verrai coinvolto in un vortice di fallimento mentre il tuo cloud gira il canale verso un vero e proprio colpo violazione.