Le aziende continuano a incrementare il proprio ricorso al cloud computing per sfruttarne al massimo benefici come una maggiore efficienza, scalabilità, flessibilità e agilità. Questo trend comporta però uno spostamento del rischio di essere attaccati, tramite un ampliamento della superficie d’attacco, che ora comprende anche i nuovi ambienti e soprattutto vulnerabilità legate all’accesso degli utenti. Nonostante grandi cloud provider come Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) stiano costantemente espandendo i servizi di sicurezza rivolti alla protezione delle proprie piattaforme, alla fine, tutta la responsabilità sulle misure e sui processi da mettere in piedi ricade sull’azienda cliente.
L’edizione 2019 del “Cloud Security Report” realizzata da ISC2 (associazione internazionale di professionisti della cybersecurity) mette in luce che cosa funziona e cosa no nel momento in cui i team di security posizionano dati, applicazioni e risorse in cloud, utilizzando nei fatti un modello di Shared Responsibility.
Quale esperienza hanno le aziende di problematiche di cloud security?
Come emerge dalle risposte (il report si basa su una survey online effettuata da Cybersecurity Insiders sulla propria community di 400mila registrati), nonostante il 93% delle organizzazioni si dichiari oggi molto preoccupato per i temi della sicurezza in cloud, ben il 28% delle aziende rispondenti ha subito un incidente collegato a questi ambienti. L’incidente ha riguardato per il 27% dei casi l’esposizione di dati, e a seguire, infezioni malware (20%), compromissione di account (19%) e sfruttamento di vulnerabilità (17%).
Quali sono oggi i principali rischi legati al cloud?
Alle prese con i dettami del Business, che chiede maggiore velocità ed efficienza, sembra che per l’area ICT la strada verso il cloud sia segnata, ma come spesso avviene, il cambiamento avviene velocemente senza adeguate misure per la sicurezza di dati e processi critici. Quali sono oggi i principali rischi legati al cloud con cui devono confrontarsi le aziende? secondo la maggior parte degli intervistati, questi risiedono nella possibilità di perdita di dati (64% delle risposte) e non rispetto della privacy, quindi di nuovo possibile perdita o danneggiamento di dati personali (62% delle risposte).
Gli altri impatti negativi legati all’insicurezza del cloud registrano percentuali inferiori, ma sono comunque considerati dai professional della sicurezza: sono in ordine di importanza la compliance alle norme (39%), l’esposizione accidentale di credenziali (38%), il mancato controllo sui dati (35%), la scarsa capacità di risposta in caso di incidente (29%), il rischio di frode (28%), mancanza di visibilità e trasparenza (28%), mancanza di dati forensici (27%), Disaster recovery (25%), continuità di servizio (25%).
Quali sono le maggiori difficoltà nella migrazione al cloud secondo in tema di security?
Via via che i workload sono spostati in cloud, i responsabili della cybersecurity si accorgono delle complicazioni nella protezione di questi: i principali “mal di testa” riguardano la compliance (34%) e la mancanza di visibilità sulla sicurezza delle infrastrutture cloud (33%). Seguono molto da vicino il tema di definire procedure consistenti per la sicurezza, sia per ambienti cloud che on premises (31%), sia la perdurante mancanza di personale qualificato su questi aspetti (31%). Importanti anche aspetti come l’integrazione a livello tecnologico tra servizi in cloud e tecnologie on premises di sicurezza (29%) e il problema legato al fatto che la sicurezza ha difficoltà a tenere il passo con la velocità del cambiamento / le modifiche fatte a livello di nuove applicazioni in cloud. Questo conferma purtroppo una dicotomia che persiste, da un lato un business che innovando ha bisogno di “correre avanti” senza tener conto dei possibili rischi, o comunque considerandoli inferiori rispetto al rischio di “non innovare”: dall’altro lato, chi è responsabile della sicurezza, che ha difficoltà nel mantenersi allineato con gli sviluppi e che avverte costantemente un ritardo, una rincorsa, non riesce a instaurare un rapporto win-win e un’attività congiunta con altre aree del business.
Secondo i team di security, oggi il cloud presenta rischi molto elevati di:
- Accessi non desiderati/non autorizzati (42% delle risposte);
- Interfacce/APIs non sicure (42%)
- Problemi di cattiva configurazione del cloud (40%)
- Hijacking di account, servizi, traffico (39%)
- Condivisione di dati con esterni (37%)
- Malicious insiders (30%)
- Malware/ransomware (27%).
Come incrementare quindi la cloud security?
Nella migrazione ai nuovi ambienti, tra le problematiche che le aziende devono considerare il fatto che molti strumenti di security tradizionali non si adattano bene ad ambienti dinamici, distribuiti, virtualizzati. Molti vantaggi possono venire invece dall’adozione di servizi e tecnologie di sicurezza direttamente nel cloud: tra questi i rispondenti alla survey indicano:
- Risparmi (42%)
- Tempi più rapidi di deployment (39%)
- Migliore performance (34%)
Nel momento in cui si passa però a questi strumenti, emergono anche barriere all’adozione: normalmente qualsiasi cambiamento richiede di riallineare 3 aspetti
- Le Persone
- I Processi
- La Tecnologia
I risultati della survey indicano che la sfida maggiore non sta tanto nella tecnologia, quanto piuttosto in Persone e Processi: infatti, la barriera più elevata alla cloud security è costituita da Formazione e addestramento dello staff (41%), seguita da problemi di budget (40%), data privacy (38%), mancanza di integrazione con piattaforme on-premises (34%).
Tra le principali strategie quindi per migliorare la cloud security, le aziende indicano:
- Formazione e certificazione dello staff IT (51%)
- Utilizzo di strumenti di sicurezza nativi del cloud provider (45%)
- Partnership con un managed security services provider per ottenere le competenze che mancano (30%).
Accedi al “2019 Cloud Security Report” sul sito di Cybersecurity Insiders.
A cura di: Elena Vaciago, @evaciago
