Sicurezza del public cloud sotto i riflettori. A rinnovare l’attenzione, l’attacco subito da Capital One la scorsa estate, che ha portato alla violazione dei dati personali associati a 106 milioni di carte di credito archiviate su AWS. Ad orchestrare l’intrusione, per inciso, è stato un ex ingegnere di sistema di Amazon, che avrebbe sfruttato un firewall non configurato correttamente per rubare dati sensibili ossia nomi, indirizzi e numeri di previdenza sociale.
Attacchi SSRF: che cosa sono e come funzionano
La sottrazione dei dati personali relativi a milioni di clienti (100 Mln negli Stati Uniti e 6 Mln in Canada) è stato uno dei più grandi attacchi sferrati a danno di un gruppo finanziario Usa.
Secondo gli esperti, la vulnerabilità che ha minato la sicurezza del public cloud è collegata a una falsificazione della richiesta lato server (Server-Side Request Forgery – SSRF). Più nel dettaglio, questo tipo di attacco è sferrato da un utente malintenzionato che riesce a influenzare una connessione di rete instaurata da un server, controllando tutto o in parte l’URI al quale il server si connette. In questo modo la connessione di rete risulta proveniente dall’indirizzo IP interno del server. L’hacker utilizza questa connessione per aggirare i firewall ed enumerare o attaccare risorse interne alla rete.
Gli attacchi SSRF destano particolare preoccupazione nelle aziende che utilizzano provider di cloud pubblici. Come fanno notare gli analisti, infatti, non è chiaro se i fornitori stiano adottando le misure necessarie per impedire il verificarsi di questo tipo di attacchi.
Sicurezza del public cloud: 4 cose da sapere
Aziende grandi e piccole sono consapevoli delle minacce interne. Negli ultimi anni, la prevenzione della perdita di dati e le funzionalità progettate per proteggere i sistemi dall’esfiltrazione dei dati provenienti dall’interno sono all’ordine del giorno in molti sistemi di sicurezza.
Come ribadiscono gli esperti, è fondamentale che le aziende si prendano il tempo necessario per comprendere le politiche di sicurezza del cloud pubblico dei loro fornitori. Ecco 4 cose da considerare:
#1 Data storage location: è importante verificare sempre dove vengono archiviati i dati. A seconda del Paese in cui sono archiviati i dati, i diritti dei clienti e le responsabilità dei cloud provider variano di conseguenza. Le normative europee sulla privacy che sono entrate in vigore nel 2018 hanno posto questo argomento in cima all’elenco delle priorità. Di conseguenza, ottenere questo tipo di informazioni generalmente è abbastanza facile.
#2 Crittografia dei dati: una volta scoperto dove sono stati archiviati i dati, la seconda domanda da porsi è su quanto sono sicuri. Quando vengono crittografati, ad esempio, chi detiene la chiave? Un importante fornitore di backup su cloud, ad esempio, si affida a un sistema di crittografia predefinito basato sull’ID e sulla password dell’utente. Le risposte sono accettabili, ma pongono la domanda su chi abbia accesso a tali informazioni. La maggior parte dei fornitori consente di scegliere la propria chiave di crittografia. Sebbene tale approccio sia sicuramente più sicuro, nel caso in cui si perda la chiave, i dati diventeranno inaccessibili se il cloud provider non possiede la chiave…
#3 Accesso ai dati: nell’incidente di Capital One, la banca non si è nemmeno accorta che i suoi dati erano così facilmente accessibili fino a quando un hacker etico non lo ha fatto sapere ai funzionari. A differenza del furto fisico, infatti, il furto dei dati spesso non ha conseguenze immediate per cui rimane invisibile. L’impatto che consegue al furto, però, è tutt’altro che invisibile. Secondo un analista di Morgan Stanley per il risanamento Capital One dovrà sostenere costi potrebbero variare da $ 100 a $ 500 milioni. Quando si parla di sicurezza del public cloud spetta ai clienti richiedere maggiori informazioni su chi nell’organizzazione del fornitore ha accesso ai dati. Bisogna, ad esempio, verificare se l’accesso è limitato a certe persone o hanno accesso anche i subappaltatori. Attenzione anche alle modalità di accesso: riguardano solo i dati o anche le informazioni sull’account?
#4 Disposizione dei dati e Lifecycle Management: uno dei vantaggi di passare al cloud è che i provider si occupano di aggiornare periodicamente l’hardware. Ma cosa succede al vecchio disco, che rimane probabilmente pieno di dati non crittografati? Valutare anche questo aspetto della sicurezza del public cloud è importante. prima di lasciare un ambiente in cloud, infatti, bisogna sempre assicurarsi che i propri dati vengano cancellati. È necessario interrogare il fornitore in merito alle sue politiche di gestione, confidando che esistano. Allo stesso modo, se si decide di interrompere l’abbonamento a un servizio di storage in cloud, cosa succede ai dati archiviati? Storicamente, le funzioni di eliminazione del sistema operativo sono poco sicure. L’impostazione predefinita, infatti, elimina solo i puntatori di directory ma non i dati anche perché ci vorrebbe molto più tempo per sovrascrivere con degli zeri tutti i dati ospitati. Ecco perché è fondamentale capire se anche questo aspetto relativo alla sicurezza del public cloud è stata risolta dal fornitore. Quando si decide di terminare il servizio di abbinamento bisogna verificare che i propri dati vengano eliminati veramente.
Le recenti violazioni ci ricordano che non possiamo semplicemente presumere che i fornitori dispongano di un sufficiente framework di sicurezza per il cloud pubblico. Proprio come con i dati che risiedono in locale, i dati archiviati fuori sede dai fornitori di servizi cloud devono essere protetti a livello di politiche e procedure formali. Anche se i fornitori potrebbero lamentarsi di tutte queste verifiche e domande preliminari, gli esperti ricordano che si tratta di non mettere in difficoltà la salute della propria azienda. Quindi è bene farlo.
