Quando si tratta di proteggere il cloud, l’identità è la prima linea di difesa e senza un’adeguata strategia di identity and access management (IAM), un’organizzazione può implementare diversi strumenti di protezione, ma non otterrà mai una sicurezza completa. Questa la convinzione di Palo Alto Networks che, per capire come le policy IAM influenzano la postura di sicurezza del cloud in azienda, ha promosso l’indagine Unit 42 che ha analizzato oltre 680.000 identità su 18.000 account cloud di 200 diverse organizzazioni e comprendere configurazione e modelli di utilizzo.
Un nuovo tipo di minaccia
Da questa ricerca è emerso che quasi tutte le aziende coinvolte non hanno controlli corretti delle policy di gestione IAM per rimanere sicure, aprendo la porta a ciò che Unit 42 definisce un nuovo tipo di minaccia: gli “attori di minacce cloud”, ossia “un individuo o un gruppo che rappresenta una minaccia per le organizzazioni attraverso un accesso diretto e prolungato a risorse, servizi o metadati incorporati della piattaforma cloud.”
Gli attori delle minacce cloud meritano una definizione separata perché hanno iniziato a utilizzare una serie di tattiche, tecniche e procedure (TTP) fondamentalmente diversa, unica per il cloud, come, per esempio, sfruttare la capacità di eseguire contemporaneamente operazioni di movimento laterale ed escalation dei privilegi.
Perché monitorare l’IAM?
Una delle conseguenze della pandemia è stata l’espansione significativa dei workload cloud, con un’impennata significativa del numero di organizzazioni che ospitano per più della metà dei loro workload nella “nuvola”. L’identità deve quindi essere il punto chiave nella definizione di una strategia di sicurezza cloud.
Quando gli attaccanti approfittano di controlli di accesso all’identità mal configurati o troppo permissivi, non hanno bisogno di programmare un attacco complesso, e possono semplicemente ottenere l’accesso alle risorse come se ne avessero diritto.
I cybercriminali cercano organizzazioni con controlli IAM non adeguati, creando una nuova tipologia di minaccia più sofisticata ma che richiede meno sforzi di esecuzione.
Ecco alcuni dati che spiegano perché IAM sia un obiettivo.
Riutilizzo delle password: il 44% delle organizzazioni consente il riutilizzo delle password IAM.
Password deboli (<14 caratteri): il 53% degli account cloud consente l’uso di password deboli.
Le identità cloud sono troppo permissive: al 99% di utenti, ruoli, servizi e risorse cloud sono stati concessi permessi eccessivi che sono poi rimasti inutilizzati (consideriamo i permessi eccessivi quando rimangono inutilizzati per 60 giorni o più).
Le policy integrate dei cloud service provider (CSP) non sono gestite correttamente dagli utenti e concedono 2,5 volte più permessi delle policy gestite dal cliente e vengono utilizzate dalla maggior parte degli utenti cloud, che sarebbero in grado di ridurre i permessi concessi, ma spesso non lo fanno.
Con le organizzazioni che consentono permessi eccessivi e policy troppo permissive, gli hacker sono troppo spesso accolti nell’ambiente cloud di un’organizzazione a porte aperte.
Come vengono prese di mira le identità cloud e in che modo difendersi
La maggior parte delle aziende è impreparata a un attacco che sfrutta policy IAM deboli. Anche gli avversari lo sanno e prendono di mira le credenziali IAM cloud sono in grado di raccoglierle come parte delle loro procedure operative standard, sfruttando nuove TTP uniche per le piattaforme cloud.
Per aiutare le organizzazioni a difendersi da questa minaccia, Unit 42 ha creato il Cloud Threat Actor Index, che traccia le operazioni eseguite dai gruppi di attori che prendono di mira l’infrastruttura cloud, dettagliando le tecniche di ogni attore delle minacce cloud, per consentire a team di sicurezza e aziende di valutare le difese strategiche e definire meccanismi adeguati di monitoraggio, rilevamento, allerta e prevenzione.
Il Cloud Threat Actor Index evidenzia i principali attori cloud, i primi cinque sono: TeamTNT, il gruppo più noto e sofisticato che prende di mira le credenziali; WatchDog: considerato un gruppo opportunista che ha come target istanze e applicazioni cloud esposte; Kinsing: attore di minacce cloud opportunistico e motivato finanziariamente con un forte potenziale per la raccolta di credenziali cloud; Rocke, specializzato in operazioni ransomware e di cryptojacking all’interno di ambienti cloud; 8220: gruppo focalizzato nel mining di Monero che presumibilmente ha elevato le proprie operazioni di estrazione sfruttando Log4j lo scorso dicembre.
In sintesi, una corretta configurazione IAM può bloccare l’accesso involontario, fornire visibilità sulle attività cloud e ridurre l’impatto in caso di incidenti di sicurezza.
