Il cloud computing e i servizi associati sono ormai una necessità per la maggior parte dei business. È una tendenza che ha avuto un’enorme accelerazione di recente con servizi quali Zoom, Microsoft 365, Google Workspace e molti altri, servizi che offrono sistemi di interazione e software di produttività per collaborare a distanza.
È anche un modus operandi che implica nuovi rischi informatici per le aziende, cosa che sta diventando sempre più chiara in questi giorni con il ricorso massiccio al lavoro a distanza.
Molte organizzazioni pensano, erroneamente, che passare a servizi cloud significhi delegare tutti gli aspetti di sicurezza al fornitore di tali servizi, ma non è così. L’utente di un servizio cloud è responsabile di molti aspetti della sicurezza, sia perché deve configurare il servizio nel modo più adatto alle proprie esigenze, sia perché, tipicamente, sotto il suo controllo rimangono i punti di accesso al servizio stesso.
Con il lavoro in ufficio le persone si connettono alla rete aziendale solo dalla propria postazione fisica di lavoro, contando ad esempio sulla protezione di un firewall aziendale e di altri sistemi di sicurezza di rete.
Il ricorso ad applicazioni cloud implica che, di punto in bianco, tutte queste protezioni perimetrali non ci sono più e le persone accedono alle informazioni e ai servizi aziendali da qualsiasi posto e da qualsiasi rete.
Servono nuove misure di sicurezza.
Le minacce per il cloud computing
Il cloud computing permette di continuare a lavorare quasi normalmente anche in tempi di pandemia, quantomeno per l’accesso a risorse e informazioni, tuttavia il lavoro a distanza apre nuove possibilità di attacco per i cyber criminali che hanno tentato di infiltrarsi in reti aziendali approfittando di configurazioni deboli in materia di sicurezza dei cloud aziendali.
Le VPN aziendali e le applicazioni cloud-based sono diventate il primo obiettivo per gli hackers. Se non opportunamente configurati, questi sistemi possono offrire agli attaccanti una comoda via di accesso alle risorse aziendali.
Nei casi più facili, tutto quello che serve a un criminale è trovare una coppia di credenziali (username e password), rubandole tramite phishing, indovinando le password deboli con attacchi brute force o acquistandole nel dark web e l’accesso è servito.
In questo modo, dato che l’accesso avviene con una coppia di credenziali riconosciute come legittime dal sistema, è molto difficile rilevare accessi non autorizzati, specie considerando che il passaggio al remote working ha comportato una maggiore variabilità negli orari di lavoro che, di conseguenza, non sono più parametri di verifica affidabili.
Gli attacchi contro applicazioni e servizi cloud possono essere molto pericolosi, un attaccante può rimanere indisturbato in una rete per settimane o mesi per studiare il modo migliore per attaccare o per rubare dati. Spesso viene portato un doppio attacco che comporta prima il furto della gran parte dei dati aziendali, poi la cifratura degli archivi di dati prima della richiesta di “riscatto” finale.
Utilizzare l’autenticazione multifattore
Sia che si utilizzi un protocollo di desktop remoto tramite VPN, sia che si utilizzi una suite di produttività basata sul cloud, il personale dovrebbe utilizzare una protezione ulteriore rispetto alla sola, classica, password.
L’identificazione dell’utente diventa ancora più centrale ed è la porta per accedere a qualsiasi risorsa online.
L’autenticazione multi fattore usualmente si ottiene con:
– app pre smartphone che generano un avviso da confermare con un “tap” o un codice OTP
– utilizzo di una security key USB da inserire nel PC per essere riconosciuti e poter accedere alle risorse di rete
Secondo una ricerca di Microsoft del 2017, l’autenticazione multifattore (MFA) protegge contro il 99,9% dei tentativi di login illegittimi.
Un sistema MFA non solo può bloccare un accesso illecito, ma fornisce anche una notifica di accesso a un amministratore, avvisandolo ogni qual volta sono in corso tentativi di accesso falliti o ripetuti per qualche account.
Cifratura
Le funzioni di trasferimento e archiviazione dei dati sono le principali per i servizi cloud. Alcuni fornitori offrono sei servizi di cifratura degli archivi e dei servizi di cifratura dei dati in transito, cose che prevengono la possibilità di leggere dati intercettati e dati rubati da archivi di memoria.
Applicare le patch di sicurezza non appena possibile
Anche le applicazioni cloud vengono aggiornate per risolvere problemi di sicurezza o migliorare l’usabilità, proprio come tutti gli altri software. È bene applicare gli aggiornamenti prima possibile, specie se si tratta di aggiornamenti per applicazioni VPN (Virtual Private Network) e RDP (Remote Desktop Protocol). In mancanza di un pronto aggiornamento per queste applicazioni, un criminale potrebbe utilizzarle come punto di ingresso alla rete aziendale e portare un attacco più elaborato.
Utilizzare sistemi per sapere “cosa c’è” nella tua rete
Il crescente utilizzo di applicazioni e servizi cloud, spesso rende difficile tenere traccia di tutti si servizi aziendali esposti via Internet. Se la gestione dei sistemi cloud non è rigorosa, è possibile che un’azienda esponga servizi o archivi senza nemmeno rendersene conto. Questi servizi “dimenticati” possono essere comunque scoperti da criminali con conseguente rischio per le organizzazioni.
Un aiuto per prevenire situazioni di questo tipo è dato dai cosiddetti tool per il Cloud Security Posture Management (CSPM), soluzioni che automatizzano il controllo di configurazioni errate e rendono visibili le risorse che l’organizzazione espone in rete.
Separare gli account amministratore da quelli utente
La gestione dei servizi cloud rende necessario assegnare i privilegi di amministratore ad alcuni utenti. La compromissione di un account con privilegi di amministratore può essere disastrosa per un’organizzazione. Tali account devono essere protetti con autenticazione multifattore e devono avere i permessi di eseguire solo le attività necessarie per svolgere i compiti dell’admin di sistema. Secondo le linee guida del NCSC UK (National Cyber Security Center), a livello di amministratore di sistema non dovrebbe essere possibile la navigazione diretta in Internet o la lettura di email poiché queste attività possono compromettere l’account utilizzato.
Backup e piani di emergenza
Nessun ambiente di rete è sicuro al 100%. Tutte le organizzazioni dovrebbero avere dei backup dei dati in almento due ambienti diversi, almeno uno dei quali deve essere *offline*. In caso di indisponibiltà dell’ambiente *cloud* l’azienda deve essere in grado di proseguire comunque le attività. Il piano di risposta agli incidenti basato sui backup dovrebbe essere ben definito e periodicamente testato.
Inventario dei dispositivi – Cloud device inventory
Una ulteriore misura di sicurezza può essere l’inventario dei dispositivi autorizzati all’accesso a specifiche risorse *cloud*. Questo può impedire l’accesso ai servizi da parte di dispositivi sconosciuti o facilitare la rilevazione di nuovi dispositivi che accedono ai servizi, permettendo agli amministratori di agire di conseguenza.
Censimento degli account – Account inventory
Gli account utente e i relativi privilegi dovrebbero essere gestiti con la massima attenzione. Questa attività può richiedere diverso tempo sia in fase di pianificazione che di attuazione, tuttavia può valerne la pena perché può elevare sensibilmente la sicurezza dei sistemi. I ruoli degli utenti e il relativo accesso a informazioni e/o servizi di rete dovrebbe essere progettato a priori, tecnicamente implementato nelle liste di controllo per l’accesso ai sistemi e la sussistenza delle autorizzazioni dovrebbe essere verificata periodicamente.
Limitare l’uso dei servizi e delle risorse cloud
Le politiche di accesso alle risorse dovrebbero definire a priori quali di queste sono accessibili e per quali utenti o gruppi di utenti. Tali politiche poi devono essere implementate in modo da rendere automatici i controlli di accesso.
Accesso alle API
L’accesso alle API (Application Programming Interface) dei servizi *cloud* deve essre limitato a soggetti e dispositivi affidabili nel modo più rigoroso possibile. Prima di utilizzare le API dovrebbe essere definita una policy di accesso, tenendo conto delle best practices di sicurezza consigliate dal fornitore.
Log management
Nei principali servizi cloud sono disponibili diversi report che elencano le attività degli utenti (files di log). Il monitoraggio dei files di log può permettere di rilevare attività anomale ma può essere anche un lavoro molto gravoso. In commercio esistono sistemi per l’aggregazione di queste informazioni che aiutano ad evidenziare quelle più rilevanti.
In alcuni casi il log delle attività degli amministratori può essere un obbligo (si veda il Provvedimento del Garante Privacy del 27 novembre 2008).
(fonte principale: www.zdnet.com https://www.zdnet.com/article/cloud-security-in-2021-a-business-guide-to-essential-tools-and-best-practices/)