techtarget

Minacce cloud: conoscerle per proteggere dati e risorse critiche



Indirizzo copiato

Con la raccolta e l’analisi delle informazioni sui pericoli legati al cloud, il team sicurezza ha la possibilità di individuare gli attacchi da cui difendere le proprie infrastrutture critiche. Allo stesso tempo, può anche riuscire a capire quando e se può farlo in modo più proattivo

Pubblicato il 26 mar 2024



Shutterstock_2197426809 (1)

Da quando il cloud è entrato nella vita della maggior parte delle organizzazioni abbiamo assistito a un continuo trasferimento di dati e risorse sensibili dall’on-premises a questo ambiente. Ora la maggior parte si trova quasi sempre lì e il cybercrime lo ha notato da tempo, tenendone conto nelle proprie strategie.

È diventato quindi essenziale conoscere i pericoli che minacciano il cloud e che cambiano in modo costante. L’unico modo per tenersi aggiornati è utilizzare dati e informazioni che le descrivono, analizzandoli regolarmente. Tutto questo si definisce in inglese con il termine di threat intelligence, intendendo al contempo la raccolta, la classificazione e lo sfruttamento di tutte le informazioni reperibili sugli avversari e sulle loro mosse. Se ne possono ricavare da diverse fonti: i registri, i controlli di sicurezza e i feed di intelligence sulle minacce di terze parti, per esempio. I responsabili della sicurezza devono poi analizzarle in modo da minimizzare i rischi.

All’interno di questo processo di individuazione e analisi dei rischi, il cloud non può non esserci, data l’importanza che oggi ricopre all’interno dell’ecosistema IT di quasi ogni organizzazione. I team di security, se non lo hanno già fatto, devono investire tempo e risorse per sviluppare, raccogliere e implementare threat intelligence specifiche per questo ambiente che mostra caratteristiche diverse dall’on-premises. Per raccogliere informazioni sulle minacce specifiche in tal senso, si può guardare ai fornitori di servizi cloud (CSP – Cloud Services Provider), ai fornitori di informazioni sulle minacce e ai fornitori di servizi di sicurezza gestiti. Tanto per cominciare.

Informazioni strategiche e operative sui pericoli del cloud

Sia le minacce strategiche che le minacce operative vanno prese in considerazione. Le prime riguardano le attività dei dirigenti e degli stakeholder non tecnici: di tutti coloro che generalmente prendono decisioni sulla gestione del rischio.

Esempi di intelligence strategica sulle minacce del cloud sono:

  • trend e campagne di attacco attuali rivolte a un CSP esistente, come quelli ipoteticamente sponsorizzati dalla Cina che hanno preso di mira Microsoft nel 2022 e 2023.
  • cambiamenti nella reputation dei servizi cloud che potrebbero impattare sull’organizzazione dell’utente
  • nuove vulnerabilità o attacchi mirati a specifici carichi di lavoro cloud o tipi di servizi in uso, come serverless, Kubernetes o container.

Guardando invece alle minacce operative, si entra in una dimensione più tattica. Le informazioni a riguardo servono a supportare infatti le attività dei centri operativi di sicurezza (SOC), di threat hunting e di DevOps e IT.

Esempi di intelligence operativa sulle minacce sono:

  • modelli specifici di attacchi contro le risorse del cloud, tra cui lo spraying di password, l’abuso e l’uso improprio di chiavi API e ruoli privilegiati e l’implementazione e il funzionamento di miner di criptovaluta nei container
  • uso del cloud storage e di altri servizi per ospitare e diffondere malware
  • registri del CSP e dati di eventi che potrebbero indicare un uso illecito delle risorse come, per esempio, tentativi di accesso insoliti o di connettività in uscita per l’esfiltrazione dei dati o il comando e controllo, ecc)

“Bozza di programma” di threat intelligence per il cloud

Per implementare efficacemente l’intelligence sulle minacce che riguardano l’ambiente cloud, è necessario disporre di team e tecnologie adeguati. Le persone che se ne occupano, a seconda delle dimensioni e della tipologia di ogni organizzazione, dovrebbero avere background molto vari per formare una squadra composta da:

  • un team di architettura e ingegneria del cloud
  • specialisti DevOps
  • esperti di architettura e ingegneria della sicurezza
  • un team SOC
  • ruoli dedicati di threat intelligence o threat hunting

Assieme a questi specialisti, potrebbero essere coinvolti anche i team interni di gestione del rischio e la leadership esecutiva, ma in seconda battuta. Anche gli analisti di terze parti possono inoltre fornire informazioni preziose sulle minacce e sulla sicurezza del cloud.

Per facilitare la creazione di un database di informazioni coerenti e utili relative alle minacce del cloud, ci sono alcune tecnologie da implementare e monitorare:

  • Servizi di creazione e raccolta di log nel cloud, come AWS CloudTrail o Amazon CloudWatch, Azure Monitor e Google Cloud Logging.
  • Strumenti di raccolta di dati sui flussi di rete in tutti i principali cloud IaaS.
  • Servizi di sicurezza che si allineano o forniscono informazioni sulle minacce negli ambienti CSP, come Microsoft Sentinel, Amazon GuardDuty o Google Cloud Security Command Center
  • Piattaforme di protezione di workload in uso, come i principali strumenti di rilevamento e risposta degli endpoint o le piattaforme di protezione delle applicazioni cloud-native
  • Piattaforme di gestione della postura di sicurezza del cloud e di broker della sicurezza dell’accesso al cloud che forniscono informazioni e contesto sullo stato della configurazione e sui comportamenti interattivi del cloud.

I team di sicurezza devono definire i casi d’uso e sviluppare playbook di integrazione per rendere accessibili e fruibili i dati raccolti. Solo in questo modo si arriva a poter prendere decisioni informate sui rischi e svolgere indagini più accurate e mirate per l’identificazione e la risposta alle minacce.

Anche la creazione di una dashboard con le variazioni del rischio rilevate e monitorate nel tempo può aiutare a diffondere le informazioni sulle minacce del cloud in metriche e KPI verso i manager.

Articoli correlati

Articolo 1 di 5