La trasformazione digitale sta portando le aziende a ripensare interi processi del business per poter sfruttare al massimo le opportunità offerte dal cloud, dalla mobility e dai data analytics. In questo percorso però si sottostimano spesso i nuovi rischi e la possibilità che gli attaccanti si avvantaggino delle debolezze legate a una maggiore esposizione di dati in ambienti non adeguatamente protetti.
La flessibilità e scalabilità del cloud sono elementi che abilitano ulteriori trasformazioni. In cloud sono presenti soluzioni che il business può immediatamente recepire per collegarsi in modo più veloce ai clienti e ai partner del proprio settore di attività. I dipendenti utilizzano spesso questi servizi in modalità self service, e ove possibile, evitano controlli di sicurezza (se questi sono considerati un freno ai propri obiettivi).
La situazione sta diventando sempre più difficile da gestire da parte dei responsabili della Cybersecurity: occorre quindi fermarsi e ragionare su quali sono le corrette strategie per rendere il percorso verso il cloud il più possibile esente da rischi di incidenti di cybersecurity.
Una serie di spunti utili a questo scopo sono quelli emersi durante il Cybersecurity Summit 2021 organizzato da The Innovation Group lo scorso 9 marzo, durante il quale una sessione è stata dedicata ad approfondire il tema: IL CLOUD E LA CYBERSECURITY. LE NUOVE SFIDE, LE RACCOMANDAZIONI PER RECUPERARE CONTROLLO, VISIBILITÁ E SICUREZZA.
Li riportiamo di seguito in sintesi.
#1 – Cloud Security: cambiare il paradigma della cybersecurity
Durante la recente pandemia il digitale ha avuto un impulso importantissimo, e soprattutto molte PMI si sono interessate ad ampliare la propria quota di presenza online, a trasformare i canali di contatto da tradizionali a online.
“Adottare il cloud significa però cambiare il paradigma della sicurezza – ha commentato Marcello Fausti, Responsabile Cybersecurity di Italiaonline. Oggi alle aziende serve velocità e time-to-market, il business ragiona prendendo pezzi disponibili sul cloud, assemblandoli per ottenere nuove opportunità. Dal punto di vista di chi si occupa di sicurezza, quella della velocità è una sfida importante, molti manager della security non sono pronti a questo cambio di paradigma. Richiede un completo ridisegno delle logiche industriali del mondo dei servizi digitali: la security deve cominciare a ragionare come il business, che orchestra servizi e semilavorati in cloud”.
Chi si occupa di cybersecurity, quindi, non ha più un ruolo tecnico, ma deve intervenire fin dall’inizio – dal concept di un progetto – in fase di definizione dei contratti con i cloud provider (per mettere a punto uno share responsability model) o in rapporti contrattuali con chi offre semilavorati, per realizzare applicazioni in cloud. Inoltre, deve impostare una serie di controlli per i servizi cloud, il più possibile centralizzati.
In un mondo sempre più complesso, spariranno le attività tecniche e il focus del CISO sarà sempre di più la governance complessiva della sicurezza.
#2 – Per una migrazione sicura al cloud, è fondamentale dotarsi di una completa visibilità
Fino a qualche anno fa, l’uso del cloud era pioneristico. Oggi invece, sono già molte le aziende con ambienti ibridi (on prem e cloud) e multi-cloud (più di un cloud provider). La gestione di tecnologie diverse richiede però skill specifici, per la manutenzione e la sicurezza di questi ambienti: “Un problema per le aziende è diventato quello di dover gestire una superfice d’attacco più ampia e avere visibilità su tutti questi mondi – ha commentato Davide Rivolta, Technical Director di Skybox Security Italia – L’ideale sarebbe avere il più possibile una visibilità centralizzata, con tutte le informazioni sugli asset critici. Sapere dove sono localizzati (in datacenter o in cloud), aver assegnato ad ogni asset un profilo di rischio e poter quindi agire nel modo migliore, abbattendo il rischio complessivo”.
Per impostare una sicurezza nativa per il cloud bisogna introdurre visibilità e gestione unitaria anche secondo Emilio Turani, Managing Director per Italia, South Eastern Europe, Turchia e Grecia di Qualys. Solo partendo dalla visibilità è infatti possibile migliorare l’igiene di base, la postura di sicurezza, definire controlli efficaci e mitigare il rischio arrivando ad alleviare la reattività. “Gli ambienti cloud hanno potenzialità enormi, in termini di scalabilità, efficacia, interoperabilità con terze parti, ma bisogna concepire fin dall’inizio i controlli di sicurezza – ha detto Emilio Turani -. Cosa serve fare? orchestrare, usare piattaforme che tramite telemetria ricevono i dati e li mettono a disposizione dei diversi stakeholder. Se pensiamo al PaaS, la security è un tema nuovo, ma anche per il SaaS, non tutte le aziende sono consapevoli di dover essere in grado di riconoscere velocemente vulnerabilità o errori di configurazione”.
#3 – Astrarre la complessità e automatizzare il più possibile le attività a basso valore
Le piattaforme cloud e SaaS hanno creato ambienti digitali che permettono alle aziende di innovare, collaborare e condividere più che mai. Tuttavia, questo avviene spesso a scapito della visibilità e del controllo. Tra i problemi maggiori si osserva oggi una mancanza di risorse qualificate: con istanze cloud su tecnologie diverse, è sempre più complicato trovare persone competenti su tutti i diversi aspetti, compresa la cybersecurity. Si arriva così a un sovraccarico di attività time consuming e a basso valore (soprattutto per la parte di compliance e reporting).
Automatizzare la sicurezza può servire a ridurre la complessità e i costi, ha osservato Marco Cellamare, Regional Sales Director Mediterranean Area di Ivanti. Processi automatizzati in tempo reale possono portare a correzioni ancora prima che gli utenti si accorgano dei problemi. Aziende in contesti regolamentati, hanno bisogno di definire controlli per il rispetto di policy e privacy. Azioni automatiche (come alert o gestione di incidenti, o remediation istantanea) aiutano a rispettare requisiti minimi. Poiché oggi poi gli utenti sono costantemente fuori dal perimetro, ecco che il modello Zero Trust diventa fortemente consigliato perché basato su un approccio che verifica costantemente lo stato di sicurezza. L’autenticazione dell’utente, fatta in modi nuovi rispetto alla semplice password, è così il meccanismo principale per decidere chi accede a cosa e quando.
Una cybersecurity innovativa è quella che ripensa la protezione delle applicazioni cloud e SaaS, e si sforza di proteggere una forza lavoro dinamica e un’infrastruttura digitale in continua evoluzione. “La sicurezza deve essere omnicomprensiva e coesiva attraverso diverse piattaforme, ambienti ibridi on prem e cloud, superando approcci puntuali come le misure cloud-native e singoli controlli messi in atto da terze parti – ha commentato Corrado Broli, Country Manager di Darktrace – Le minacce evolvono con i nuovi ambienti: come rispondere ai rischi legati alla compromissione di credenziali, cattive configurazioni e Malicious Insider? Non si può più prescindere da quanto offerto da strumenti di Autonomous Response, capacità di reazioni automatiche in momenti critici: una piattaforma come la nostra, cloud native, usa l’AI per rilevare le minacce, eseguire indagini e fornire risposte adeguate”.
#4 – Le 7 principali sfide per la sicurezza del cloud
“Dobbiamo porci una domanda importante: nel viaggio verso l’adozione sempre più ampia del cloud, bisogna capire quali sono le nostre percezioni a livello di rischio e difficoltà organizzative, nel trasportare il carico di lavoro quotidiano nell’ambiente cloud” ha detto Nicola Vanin, Group CISO | AI Domain expert di Cedacri. “Sebbene la flessibilità e la scalabilità del cloud siano allettanti, le aziende possono inciampare quando tentano di sfruttare le tecnologie cloud. Sento spesso dire: “Non avevo idea che il cloud fosse così diverso da un ambiente locale”. Può esserci poca accortezza sia nella valutazione del rischio, sia nell’adozione di tutto quanto riguarda la sicurezza informatica. Dobbiamo avere percezione di quanto sia difficile e complesso gestire un carico di lavoro in questo ambiente”.
Le sfide per il CISO che risponde della sicurezza del cloud, secondo Nicola Vanin, sono quindi:
- Superfice d’attacco drammaticamente aumentata.
- Mancanza di visibilità e monitoraggio.
- Carichi di lavoro in continua evoluzione. In questo contesto fluido e dinamico, gli strumenti di sicurezza tradizionali sono semplicemente incapaci di applicare le politiche di protezione.
- Le organizzazioni più evolute che hanno già adottato concetti DevOps e DevSecOpes devono garantire che i controlli di sicurezza appropriati siano identificati e incorporati nel codice nelle prime fasi del ciclo di sviluppo.
- Privilegio granulare e gestione delle chiavi. Spesso i ruoli utente cloud sono configurati in modo molto approssimativo, garantendo ampi privilegi a utenti malevoli.
- Ambienti complessi: gestire la sicurezza in modo coerente negli ambienti ibridi e multicloud richiede metodi e strumenti che funzionino perfettamente tra provider di cloud pubblico, privato e on premise.
- Conformità e governance del cloud. Tutti i principali fornitori di servizi cloud si sono allineati alla maggior parte dei noti programmi di accreditamento come PCI 3.2, NIST 800-53, ISO/IEC 27017 e GDPR. Tuttavia, i clienti si accontentano di queste e data la scarsa visibilità dell’ambiente cloud, il processo di audit di conformità diventa quasi impossibile (a meno che non vengano utilizzati strumenti per ottenere controlli di conformità continui e emettere avvisi in tempo reale su errori di configurazione).
In conclusione, la sicurezza del cloud deve essere una responsabilità condivisa. Bisogna cercare di avere la collaborazione di tutti i colleghi e affrontare fin dall’inizio il problema della gestione sicura dei carichi di lavoro nel cloud. Non c’è trasparenza nelle organizzazioni su concetti base della sicurezza e sulle varie opportunità e costi legati al cloud: tutti i colleghi devono essere coinvolti in questo viaggio, è una grande opportunità ma bisogna condividere rischi e benefici con tutti gli attori aziendali.
A cura di: Elena Vaciago, @evaciago
L’intera registrazione della Sessione sulla Cloud Security può essere visionata online:
Articoli precedenti sul tema:
CLOUD SECURITY: LA MAGGIORE DIFFICOLTÀ È TENERE IL PASSO CON IL CAMBIAMENTO (18 GIUGNO 2019)
CLOUD INSECURITY: ERRORI DI CONFIGURAZIONE E MANCANZA DI VISIBILITÀ (12 FEBBRAIO 2020)
CLOUD SECURITY AL PRIMO POSTO TRA LE PRIORITÀ DEI CISO (15 FEBBRAIO 2021)
