Cloud security, facciamo chiarezza. Evidentemente ce n’è ancora bisogno. Nonostante la grande fake news, per cui era opinione troppo diffusa che i dati in cloud fossero a rischio per definizione, sia stata debellata, c’è ancora da dirimere qualche aspetto della questione.
Intendiamoci, sarebbe troppo pretendere che un ambiente IT sia sicuro al 100%, e ciò vale anche per il cloud, ma, come sempre quando si tratta con bit&byte, ciò che si può stabilire oggettivamente è quanto siano sicure le diverse declinazioni di cloud.
Secondo il Cloud Security Report 2020 di CheckPoint Software Technology, sono quattro le principali minacce alla sicurezza del cloud pubblico.
I CIO e i responsabili dei sistemi informativi delle aziende intervistate affermano che al primo posto tra le minacce vi è l’errata configurazione della piattaforma cloud (68%). L’anno scorso la minaccia era solo terza. Seconda vulnerabilità con il 58% delle risposte, l’accesso non autorizzato al cloud, a seguire la progettazione delle interfacce e, infine, il dirottamento degli account.
A queste minacce, i responsabili IT interpellati da CheckPoint aggiungono le principali barriere all’adozione di una strategia di sicurezza sul cloud: mancanza di personale qualificato, vincoli di budget, problemi legati alla privacy dei dati, mancanza di integrazione con gli strumenti di protezione già presenti.
Infine, il report evidenza i limiti dei tool di sicurezza tradizionali nella protezione del cloud e l’impressione comune che il cloud pubblico rimanga un luogo (apparentemente) più pericoloso dell’on premise. E lo diciamo da tempo
Ok, e poi? Poi c’è ancora qualche fake news che circola tra i team IT delle aziende. Per esempio, si crede che, per proteggersi dal freddo, sia meglio indossare 5 giubbotti da mezza stagione piuttosto che uno ideato in Alaska. 10, 100 software diversi per la protezione di infrastrutture, applicazioni e dati non risolveranno il problema, anzi lo complicheranno.
I software dovranno essere aggiornati e manutenuti, e si dovrà ricorrere ad altrettante competenze. Meglio puntare su un’unica soluzione centralizzata e focalizzata. Per esempio, una soluzione che risolva una delle vulnerabilità più comuni: la gestione e il controllo delle identità e dei privilegi di accesso agli ambienti cloud.
Un’altra fake news è la convinzione che la protezione del cloud è di responsabilità unica del Cloud Provider. Ne abbiamo già parlato diverse volte: niente di più falso, esiste il concetto di “responsabilità condivisa” ben specificato nei contratti di fornitura.
Una ricerca di Gartner afferma che da qui al 2025 il 99% dei danni agli ambienti cloud sarà da imputare al cliente. La convinzione che il successo di un data breach sia merito degli attaccanti, sebbene sempre più bravi, è falsa.
La verità è che gli attacchi si manifestano sempre di più a seguito di un accesso alla struttura (apparentemente) regolare da parte di una risorsa aziendale. E, spesso, il furto di identità viene perpetuato nei confronti degli amministratori di sistema o degli appartenenti al team IT, che spesso hanno un accesso ingiustificato a qualsiasi risorsa cloud.
Chi ha accesso a cosa, chi ha i poteri di cambiare le configurazioni, chi ha effettuato modifiche e perché, sono domande prioritarie a cui si deve saper rispondere. E le risposte si possono avere solo grazie a strumenti specifici (i CASB per esempio) capaci di monitorare e gestire puntualmente gli accessi agli ambienti cloud.
Ancora, che la responsabilità della protezione aziendale non coinvolga gli stakeholder aziendali è falso. Una buona strategia di protezione deve partire da una forte sensibilizzazione di tutte le risorse, interne ed esterne all’azienda, che hanno accesso all’infrastruttura. Senza un importante percorso di formazione, qualsiasi strategia risulterà vana. Per questo chiediamo aiuto ai partner IT.
Infine, risolvere puntualmente le vulnerabilità non salva da un attacco o da un data breach. Sempre più spesso gli attaccanti non seguono un modello standard basato sulle vulnerabilità. Piuttosto, si stanno indirizzando verso strategie personalizzate e, grazie all’intelligenza artificiale, mutabili in corso d’opera. Per questo, una protezione standard basata sul controllo delle vulnerabilità non sarà efficace.