Cloud security, i punti di attenzione e gli approcci da seguire

Cloud security, i punti di attenzione e gli approcci da seguire

Cloud security, i punti di attenzione e gli approcci da seguire

In un’epoca in cui il cloud computing punta a diventare la spina dorsale dell’infrastruttura IT, la sicurezza informatica deve necessariamente evolvere. I professionisti e le organizzazioni si trovano ad affrontare un panorama di minacce in rapida trasformazione: questo comporta sfide diversificate che toccano tutto, dalla protezione degli ambienti multi-cloud alla protezione dei dati. Nel mitigare le vulnerabilità specifiche del cloud, del multi-cloud e del cloud ibrido, emerge a tutti i livelli la carenza di competenze specifiche nella forza lavoro: con l’aumentare della complessità degli ecosistemi cloud, serviranno strategie e competenze di sicurezza informatica avanzate e specifiche per il cloud.

Quali sono le principali problematiche della sicurezza del cloud

Uno studio che monitora le percezioni sulle problematiche di cloud security è l’analisi annuale di CSA, la “Top Threats to Cloud Computing 2024”, che nel 2024 ha individuato, come prime 6 problematiche in ordine di importanza, i seguenti aspetti:

  1. Configurazione errata, inadeguato controllo dei change
  2. Gestione delle identità e degli accessi (IAM)
  3. Interfacce e API non sicure
  4. Strategia di sicurezza del cloud inadeguata
  5. Servizi di terze parti non sicuri
  6. Sviluppo software non sicuro

Dai risultati dell’analisi CSA emerge una diminuzione dei problemi attribuibili ai Cloud Provider (dal denial of service, alle vulnerabilità delle tecnologie condivise tra più clienti, alle perdite di dati attribuibili al CSP) che nell’ultimo report CSA risultano addirittura escluse dalla lista. Con l’incremento dell’utilizzo del cloud, le problematiche di sicurezza sono sempre più legate a una maggiore complessità di gestione: nei confronti dei Cloud provider, rimane il tema dei problemi di una limitata visibilità / osservabilità degli ambienti cloud (ranking #9 nel 2024).

cloud security

(Fonte: “Top Threats to Cloud Computing 2024”, CSA)

Come è percepito dalle aziende il tema della Cloud security

Il Cloud Security Report 2024 di ISC2, basato su un sondaggio che in aprile 2024 ha riguardato 951 professionisti di cybersecurity, fornisce un’analisi approfondita sulle tendenze più attuali, le sfide e risposte organizzative. I risultati principali sono:

  • Preoccupazioni per la sicurezza del cloud: il 96% delle organizzazioni esprime apprensione per la sicurezza del cloud pubblico.
  • Le sfide legate agli ambienti ibridi e multi-cloud: la protezione degli ambienti multi-cloud è identificata come uno dei problemi principali da parte del 55% degli intervistati. Servono competenze in materia di protezione dei dati e una perfetta integrazione nel cloud.
  • L’importanza della semplificazione: l’indagine sottolinea la necessità di ridurre la complessità delle soluzioni di sicurezza, con il 69% delle organizzazioni che dipende da tre o più sistemi di sicurezza per gestire la sicurezza del cloud.
  • Ostacoli alla sicurezza del cloud: i principali ostacoli all’adozione della sicurezza del cloud sono i vincoli di budget (48%), la mancanza di personale qualificato (45%) e le preoccupazioni per la privacy dei dati (40%).
  • Gap nelle competenze: il rapporto sottolinea un significativo divario di competenze in materia di sicurezza informatica, con il 93% dei partecipanti preoccupati per la carenza di professionisti qualificati nel settore.

Secondo il sondaggio, il 96% degli intervistati è preoccupato per la sicurezza all’interno dei cloud pubblici, in leggero aumento rispetto al 95% del 2023. Questa apprensione quasi universale riflette un’acuta consapevolezza delle complesse minacce che affliggono le infrastrutture cloud. Sarebbe fondamentale che le organizzazioni adottassero misure di sicurezza avanzate e strategie globali di gestione del rischio. Dare priorità all’implementazione di tecnologie di sicurezza innovative e al miglioramento delle capacità di monitoraggio sono passi essenziali per rafforzare le difese.

cloud security

(Fonte: Cloud Security Report 2024 di ISC2)

Affrontare e superare gli ostacoli legati agli ambienti multi-cloud

Poiché le aziende sfruttano sempre più servizi cloud, mantenere la sicurezza su piattaforme diverse è un problema sempre più sentito. Nel 2024 la protezione degli ambienti multi-cloud rimane un compito complesso, in cui la protezione dei dati e la privacy sono le principali preoccupazioni, evidenziate da 55% dei partecipanti al sondaggio. Segue da vicino la mancanza di competenze per questi ambienti, al 51% nel 2024, in calo dal 58% nel 2023. Questo calo potrebbe indicare un miglioramento della formazione o uno spostamento dell’attenzione verso altre questioni emergenti.

Capire come si integrano le diverse soluzioni (47%) rimane al terzo posto, suggerendo un’enfasi continua sulla coesione dei servizi cloud. Allo stesso modo, la sfida della comprensione delle opzioni di integrazione dei servizi (44%) riflette la complessità di garantire un funzionamento senza soluzione di continuità tra diversi ambienti cloud. La gestione dei costi associati alle diverse soluzioni di sicurezza cloud ha registrato un aumento significativo delle preoccupazioni, dal 37 % nel 2023 al 42 % nel 2024.

cloud security

(Fonte: Cloud Security Report 2024 di ISC2)

Il passaggio a soluzione di sicurezza Cloud-Based

Man mano che le organizzazioni intensificano il loro impegno e i loro investimenti nel cloud computing, la transizione a soluzioni di sicurezza cloud-based introduce una serie di nuove problematiche. A guidare l’elenco degli ostacoli sono i vincoli di bilancio, citati dal 48% degli intervistati, mentre erano al secondo posto nel 2023 (44%). Ciò sottolinea il maggiore controllo odierno sugli investimenti tecnologici e la necessità di dettagliate analisi costi-benefici per giustificare ulteriori investimenti nella sicurezza del cloud.

A seguire, il 45% indica la mancanza di competenze e la necessità di formazione del personale come un ostacolo significativo. Le preoccupazioni sulla privacy dei dati, evidenziate dal 40%, rimangono una questione urgente (in aumento rispetto al 38% nel 2023): questa preoccupazione porta a una solida strategia di protezione dei dati con soluzioni di sicurezza cloud incentrate sulla privacy. La conformità ai requisiti normativi, citata dal 35%, sottolinea l’importanza di orientarsi tra gli standard legali e di settore nella sicurezza del cloud.

cloud security

(Fonte: Cloud Security Report 2024 di ISC2)

Questi risultati suggeriscono che per superare gli ostacoli all’adozione della sicurezza nel cloud è richiesto un approccio multidisciplinare, che consideri tutte le dimensioni finanziarie, tecniche, educative e strategiche. Le organizzazioni devono dare priorità agli investimenti nella formazione del personale, selezionare soluzioni di sicurezza cloud adattabili e conformi, affrontare considerazioni finanziarie e operative per garantire una transizione sicura ed efficiente a tecnologie di sicurezza basate sul cloud.

Protezione del software dal disegno alla messa in produzione

Man mano che le organizzazioni maturano nel loro percorso verso il cloud computing, l’attenzione si concentra sulla protezione del software, un aspetto cruciale per mantenere solide posizioni di sicurezza in ambienti cloud-native e multi-cloud. Questo focus include sempre più l’integrazione di solide pratiche di sicurezza nell’ambito del ciclo di vita dello sviluppo del software (SDLC) e l’adozione di solidi principi DevSecOps, che riflettono un approccio olistico per integrare la sicurezza nel tessuto dello sviluppo e delle operazioni del software.

L’indagine rivela un’applicazione diversificata delle pratiche di sicurezza nelle diverse fasi dell’SDLC. In particolare, il 24% degli intervistati sottolinea che la pianificazione e l’analisi iniziali sono una fase chiave per la sicurezza, evidenziando il trend della “sicurezza fin dalla progettazione (security by design)”. Poi, una parte significativa (il 21%) si concentra durante la fase di progettazione sull’integrazione precoce di misure di sicurezza. Solo il 16% afferma che l’integrazione della sicurezza avviene in tutte le fasi, nonostante questa dovrebbe essere la best practice: servirebbe infatti una cultura di sicurezza globale ed end-to-end.

cloud security

(Fonte: Cloud Security Report 2024 di ISC2)

Rispetto ad altri ambienti, qual è la sicurezza del cloud?

Un punto di vista interessante è quello che emerge da un’altra analisi, il 2023 Cyberthreat Defense Report: come mostra la figura successiva, gli ambienti cloud riceverebbero nel complesso una valutazione di sicurezza migliore rispetto ad altri ambiti.

cloud security

(Fonte: 2023 Cyberthreat Defense Report)

Anche se si parla piccole differenze, gli ambienti IaaS, PaaS e SaaS ricevono una valutazione di 4,14 – 4,15 (in una scala tra 1 e 5, quindi un buon livello), mentre ambiti come APIs, dispositivi Mobile, IoT e ambienti ICS/Scada sono di poco sopra la sufficienza in termini di rischiosità per l’impresa.

I dispositivi IoT e i sistemi industriali sono motivo di preoccupazione per diverse ragioni:

  • La proliferazione di sistemi connessi a Internet in uffici, fabbriche, case, veicoli, città, servizi pubblici, reti di trasporto, ecc., ecc.
  • L’emergere di nuove minacce contro questi sistemi, come la botnet Mirai e l’hack Verkada, da parte di organizzazioni state-sponsored nonché di criminali informatici
  • Il successo degli attacchi basati sulla catena di approvvigionamento, come l’hack di SolarWinds che ha colpito centinaia di organizzazioni in una volta sola.

Altri due domini IT che creano problemi ai Responsabili della sicurezza sono le interfacce di programmazione delle applicazioni (API) e i dispositivi mobili.

  • Le organizzazioni e i fornitori di software stanno rilasciando sempre più applicazioni cloud composte da molti servizi modulari. Questi servizi dipendono dalle API per interagire con centinaia di altri servizi.
  • La maggior parte delle organizzazioni non ha molta esperienza nella creazione e gestione di API sicure. Gli attaccanti hanno capito che le API rappresentano una superficie di attacco ampia e in crescita.

I dispositivi mobili continuano poi a essere un’area delicata per le organizzazioni IT. Lavoratori e clienti vogliono usarli sempre più spesso per transazioni aziendali e personali, ma questi dispositivi non possono supportano gli stessi controlli di sicurezza dei PC convenzionali. Inoltre, gli attaccanti si sono resi conto che, compromettendo dispositivi mobili possono sconfiggere alcuni sistemi di autenticazione a più fattori (MFA) e ottenere così ampio accesso alle reti aziendali e alle applicazioni. Abbiamo assistito a molti progressi negli strumenti di sicurezza per proteggere e monitorare i dispositivi mobili, ma i professionisti della sicurezza IT sicuramente non sono ancora a proprio agio con ciò che le loro organizzazioni avere in atto.

Mettere in sicurezza ambienti di cloud ibrido

La stragrande maggioranza delle organizzazioni oggi (il 96% da questo sondaggio) lavora in qualche forma di ambiente cloud ibrido. Ciò significa che le applicazioni sono distribuite tra data center privati e cloud privati, nonché piattaforme Public cloud di Amazon, Microsoft, Google, Alibaba, IBM e altri. Questa complessità crea però una serie di nuove sfide per i team di sicurezza IT. Quali sono le sfide più preoccupanti per la sicurezza del cloud ibrido?

Come mostra la figura successiva, gli intervistati di quasi la metà di tutte le organizzazioni intervistate (47,2%) ritengono critico il rilevamento dell’utilizzo non autorizzato del cloud. Devono infatti far fronte al business che contratta direttamente le risorse e i servizi cloud senza informare l’IT, creando attività di “shadow IT” senza controlli adeguati. Sanno che i dipendenti esperti di tecnologia utilizzano la crittografia e protocolli specifici per scambiare file e visualizzare siti sospetti sul dark web senza essere monitorati. E devono stare in guardia contro dipendenti senza scrupoli che si appropriano di costose risorse informatiche dell’azienda in cloud per estrarre criptovalute o per altre attività personali.

Inoltre, il 42,5% degli intervistati è preoccupato per la propria capacità di monitoraggio e risposta alle minacce cyber del cloud. Alcune tipologie di minacce possono essere rilevate solo correlando i dati provenienti da tutta l’azienda, cosa piuttosto difficile per un ambiente cloud ibrido. Sebbene i fornitori di servizi cloud offrano ora ottimi strumenti di sicurezza e monitoraggio della rete, la maggior parte di essi copre solo l’ambiente gestito da sé stessi. Altre sfide significative includono l’accesso e la valutazione del traffico di rete multi-cloud (36,2%), il mantenimento della conformità normativa (31,3%) e l’accesso e l’ispezione del traffico dei container (31,0%).

cloud security

(Fonte: 2023 Cyberthreat Defense Report)

In conclusione, quali dovrebbero essere le misure da considerare per la salvaguardia degli ambienti cloud? Le indicazioni fornite in letteratura sono:

  • Dare priorità alla sicurezza multilivello: implementare un framework di sicurezza completo che si integri con i servizi cloud adottati, affrontando le vulnerabilità a ogni livello.
  • Adottare un monitoraggio continuo: adottare strumenti di monitoraggio in tempo reale per rilevare e rispondere prontamente alle minacce. Con il 69% delle organizzazioni che gestiscono la sicurezza del cloud con tre o più soluzioni, l’integrazione del monitoraggio può semplificare e migliorare la supervisione della sicurezza.
  • Migliorare la protezione dei dati: per salvaguardare le informazioni sensibili, utilizzare la crittografia, i controlli di accesso e le tecniche di prevenzione della perdita di dati. Il 55% degli intervistati identifica la protezione dei dati come una delle sfide principali negli ambienti multi-cloud, sottolineandone l’importanza.
  • Investire in formazione e certificazione: colmare il divario di competenze con le più recenti conoscenze sulla sicurezza del cloud. Il 93% degli intervistati ha espresso preoccupazione per la carenza di professionisti qualificati, che può essere mitigata attraverso programmi di formazione e certificazione mirati.
  • Adottare un modello Zero Trust: supporre che nessuna entità sia attendibile per impostazione predefinita, dall’interno o dall’esterno della rete, richiedendo la verifica da chiunque tenti di accedere alle risorse della tua rete. Questo approccio è fondamentale in un panorama in cui i presupposti di fiducia possono portare a vulnerabilità.
  • Semplificare la gestione della postura di sicurezza del cloud (CSPM): utilizzare gli strumenti CSPM per automatizzare l’identificazione e la correzione dei rischi tra le piattaforme cloud, riducendo la complessità e migliorando la postura di sicurezza.
  • Implementare l’Identity e Access Management (IAM): assicurarsi che solo gli utenti autorizzati possano accedere a determinati dati o sistemi, riducendo al minimo il rischio di violazioni dei dati.
  • Pianificare la risposta agli incidenti: sviluppare e aggiornare regolarmente un piano di risposta agli incidenti su misura per scenari specifici del cloud, assicurandosi che il team possa agire in modo rapido ed efficace in caso di violazione della sicurezza.

A cura di:

Elena Vaciago, Research Manager di The Innovation Group