L'adozione rapida dei servizi di cloud computing ha dato alle aziende un falso senso di sicurezza quando si tratta di proteggere i loro dati.

Il cloud ha permesso alle aziende di lanciare e scalare operazioni globalizzate a velocità una volta considerate inimmaginabili, limitando l'investimento in risorse, aumentando le comunicazioni globali e fornendo tutto, dai servizi di calcolo ad applicazioni completamente funzionali come servizio. Come risultato di questa esplosione tecnologica, nuove minacce online si sono proliferate, superando lo sviluppo delle soluzioni di sicurezza necessarie per combatterle.

Nuove minacce e l'emergere del cloud computing

Dopo l'emergere del "Web 2.0" a metà degli anni 2000, il cloud computing e la potenza della virtualizzazione hanno dato vita a qualsiasi cosa immaginabile "come servizio". Questo includeva tutto, dalle risorse grezze (IaaS) ad applicazioni cloud-native completamente funzionali fornite come servizio cloud (SaaS).

Naturalmente, sono emersi nuovi fornitori di soluzioni di sicurezza e quelli esistenti hanno dovuto adattarsi. I dati si sono spostati da soluzioni on-premises al cloud, richiedendo nuove soluzioni di governance e protezione. L'infrastruttura è gestita dai fornitori di servizi, il che richiede a entrambe le parti di fare la loro due diligence. Le applicazioni cloud-native richiedono nuovi tipi di firewall e configurazioni delle politiche di sicurezza.

L'elenco continua. Di conseguenza, il mercato della cybersecurity nel cloud sta crescendo rapidamente. Nel 2016, la dimensione del mercato della sicurezza nel cloud era valutata a meno di 5 miliardi di dollari, secondo Grand View Research. Entro il 2022, quel numero dovrebbe raggiungere i 13 miliardi di dollari, secondo MarketWatch.

Nel 2018, l'azienda media ha sperimentato più di 30 minacce alla sicurezza legate al cloud al mese, secondo McAfee, con un aumento del 27,7% rispetto all'anno precedente. Questo include minacce da attori terzi, minacce interne e utenti privilegiati.

Rischi del cloud computing

Controllo degli accessi e minacce interne

Il controllo degli accessi basato sul cloud si riferisce alla gestione degli utenti autorizzati ad accedere ai sistemi e ai dati basati sul cloud da remoto. Questo è diventato un problema enorme poiché i servizi basati sul cloud sono operati e accessibili a livello globale. Di conseguenza, le aziende devono tracciare chi accede a quali informazioni, gestire le identità e i privilegi degli utenti e monitorare le attività sospette. Le operazioni di controllo degli accessi di successo devono combinare soluzioni focalizzate sull'autenticazione e la gestione delle identità.

Le aziende che utilizzano servizi cloud devono gestire costantemente l'accesso alle informazioni archiviate nel cloud, specialmente se tali informazioni sono considerate sensibili. I dati sensibili devono essere crittografati e le chiavi crittografiche devono essere archiviate in modo sicuro mentre le chiavi di crittografia vengono ruotate.

Devono gestire il ciclo di vita degli utenti autorizzati. Il software di gestione degli accessi privilegiati aiuta ad assegnare permessi a sistemi specifici a parti approvate. Al contrario, le identità devono essere deprovisionate dopo la cessazione dell'accesso, comportamenti sospetti o incidenti di sicurezza.

Mentre le chiavi di sicurezza e la gestione degli accessi possono sembrare ovvie, può essere facile per gli individui etichettare erroneamente i dati o dimenticare di proteggere le informazioni. È così che Facebook ha fatto trapelare milioni di numeri di telefono in agosto. L'azienda ha lasciato file contenenti dati sensibili su un server che non era protetto da password, per non parlare della crittografia. Richiedere l'autenticazione a più fattori per la maggior parte dei punti di accesso è una soluzione semplice; tuttavia, questo potrebbe non essere ideale per tutti.

Configurazioni errate e violazioni dei dati

Il recente incidente di Facebook è stato probabilmente il risultato di vecchi server che sono stati gestiti male e dimenticati. Tuttavia, molte violazioni dei dati più grandi derivano dalla configurazione errata dei meccanismi di sicurezza. Gli hacker e altri criminali informatici utilizzano queste configurazioni errate per aumentare i loro privilegi e accedere a dati sensibili e informazioni private.

È esattamente quello che è successo a Capital One nel luglio 2019. Un ex dipendente di AWS ha sfruttato un firewall per applicazioni web configurato male per ottenere un'escalation dei privilegi. Di conseguenza, sono state rilasciate informazioni sensibili relative a più di 100 milioni di persone negli Stati Uniti e circa 6 milioni di canadesi.

All'inizio di quest'anno, McAfee ha intervistato 1.000 aziende sulle configurazioni errate. Hanno scoperto che il 99% delle configurazioni errate passa inosservato. Nonostante le aziende riportino una media di 37 incidenti di configurazione errata al mese, i dati reali di McAfee suggeriscono che il numero è più vicino a 3.500 incidenti al mese.

Mentre la responsabilità spetta in ultima analisi a coloro che utilizzano i servizi cloud, garantire una configurazione corretta è possibile utilizzando soluzioni come la gestione delle politiche di sicurezza della rete e il software di gestione delle configurazioni generale. Molti di questi sono cloud-native e sono progettati per identificare configurazioni errate comuni e applicare politiche di sicurezza nel cloud rigorose.

Integrazioni e sicurezza delle API

I fornitori di servizi cloud in genere forniscono interfacce di programmazione delle applicazioni (API) ai loro clienti per gestire e interagire con i loro servizi. Senza queste, i loro clienti non sarebbero in grado di utilizzare, gestire o monitorare alcun servizio cloud. Potrebbero anche utilizzare un'interfaccia basata su software per servire lo stesso scopo.

Queste API possono essere pubbliche e fornire indirizzi IP a parti esterne alla rete sicura di un'azienda. Questo le rende un obiettivo facilmente identificabile e una priorità di sicurezza importante. Come il software, possono contenere vulnerabilità.

Ad esempio, una vulnerabilità con il livello di gravità più alto possibile è stata scoperta nell'API REST di Cisco questo agosto. Il bug ha permesso agli hacker di sfruttare un numero di vari router Cisco poiché hanno facilmente bypassato l'autenticazione e potevano ottenere il pieno controllo sul dispositivo.

Difetti delle applicazioni cloud-native

Le vulnerabilità delle applicazioni possono esporre le aziende a qualsiasi numero di minacce alla sicurezza. Le applicazioni cloud-native rimangono vulnerabili alle stesse minacce delle applicazioni tradizionali, così come a nuove minacce dovute alla maggiore superficie di attacco intrinseca al cloud.

Le aziende che forniscono applicazioni alimentate da fornitori di infrastrutture terze devono garantire che la loro applicazione sia priva di vulnerabilità, che le loro API di gestione siano sicure e che i meccanismi siano configurati correttamente.

Senza politiche di sicurezza adeguate in atto, gli hacker possono sfruttare le vulnerabilità del sistema per rubare informazioni, far crashare applicazioni o controllare dispositivi. Una volta compromessa, un'applicazione vulnerabile può rilasciare informazioni riservate archiviate o integrate su di essa.

Un'altra tendenza emergente nel cloud computing, le applicazioni basate su container, potrebbero diventare i prossimi grandi obiettivi. Fortunatamente, come ho scritto il mese scorso, il mercato della sicurezza dei container sta rapidamente espandendosi ed evolvendosi per aiutare a risolvere i problemi legati ai container con tutto, dalla rilevazione delle anomalie basata sull'IA all'applicazione distribuita delle politiche di sicurezza a livello di applicazione.

Conformità continua

Ultimo, ma non meno importante, è la conformità al cloud. È una minaccia sia per la sicurezza di un'azienda che per il suo portafoglio, per non parlare dei clienti che si fidano delle aziende per proteggere i loro dati.

Secondo McAfee, il 21% di tutti i file nel cloud contiene dati sensibili. Ecco perché regioni, paesi e stati hanno preso provvedimenti per proteggere la privacy dei loro cittadini. A causa delle normative sulla privacy dei dati nel cloud, i dati sensibili potrebbero dover essere gestiti diversamente in varie giurisdizioni.

Queste normative includono il Regolamento Generale sulla Protezione dei Dati (GDPR) nell'Unione Europea e il California Consumer Privacy Act (CCPA) che entrerà in vigore il 1° gennaio 2020. Le leggi sulla protezione dei consumatori relative ai dati nel cloud richiedono cose come il controllo degli accessi, la portabilità dei dati, la crittografia a riposo e il consenso del cliente. Molte richiedono anche alle aziende di fornire le informazioni che hanno raccolto sui consumatori quando richiesto.

Fortunatamente, le soluzioni di conformità al cloud sono progettate per garantire che tutti i requisiti di protezione dei consumatori pertinenti siano soddisfatti. Questi prodotti identificano le risorse attraverso ambienti cloud e IT, centralizzano la governance, valutano il rischio e applicano politiche allineate con le normative governative e di settore.

Le soluzioni di privacy dei dati e di sicurezza incentrata sui dati hanno guadagnato popolarità. Gli strumenti di privacy dei dati sono tipicamente utilizzati per garantire la visibilità delle informazioni sensibili e la loro consegna ai clienti. Gli strumenti di sicurezza incentrata sui dati sono progettati per aiutare a scoprire dati sensibili mentre si eseguono audit continui dei database e si indagano le risorse per informazioni sensibili che potrebbero essere esposte.

Utilizzare questi strumenti aiuta le aziende a evitare sanzioni severe come la multa di 50 milioni di euro che Google ha dovuto pagare all'Unione Europea per non aver rispettato gli obblighi del GDPR. Google avrebbe potuto evitare queste multe informando adeguatamente i consumatori su come vengono utilizzati i loro dati e dando maggiore trasparenza sulle loro politiche di consenso ai dati.

Sebbene ci siano molti rischi associati al cloud computing, non sta andando da nessuna parte. Le aziende dovrebbero generalmente accettare l'idea che la trasformazione digitale sia entrata in una nuova era di cloud computing e relazioni con i consumatori governate da dati, privacy e trasparenza.

I leader aziendali che gestiscono informazioni online devono continuamente educarsi sulle minacce emergenti e sulle normative. Se falliscono, falliranno nel proteggere le informazioni dei loro clienti, con conseguenti multe salate e, peggio ancora, la perdita della fiducia dei clienti.