Con l’aumentare dell’adozione dello strumento cloud, aumentano anche le sue vulnerabilità. Il cloud diventa bersaglio di attacchi che rendono le piattaforme di servizi off-site il terzo ambiente informatico più colpito.
La buona notizia è che stanno crescendo in parallelo gli strumenti di sicurezza cloud.
La tecnica del token forging
L’ultimo scatto in avanti si è avuto qualche giorno fa.
Nel luglio 2023, secondo quanto riportato dal The New York Times, il gruppo filocinese noto come Storm-0558 avrebbe sfruttato una falla nel cloud di Microsoft per ottenere l’accesso agli account di posta elettronica dei funzionari di diverse agenzie statunitensi che hanno relazioni con la Cina, fra cui il Segretario al Commercio Gina Raimondo e i funzionari del Dipartimento di Stato e del Commercio.
Una volta scoperta la vulnerabilità della sua piattaforma cloud, Microsoft ha affermato che gli hacker avrebbero usato la tecnica del token forging, rubando una chiave crittografica che gli ha permesso di generare dei token di autenticazione per accedere agli account dei suoi clienti ed estrarre dati non classificati. Nei sistemi cloud basati sul web, i browser degli utenti si connettono ad un server da remoto. Una volta inserite le credenziali si ricevono dal server dei dati, chiamati appunto token. La caratteristica di questo asset è quella di operare come una carta d’identità temporanea, consentendo ad un utente di usufruire del cloud per un intervallo di tempo determinato, senza dover inserire i propri dati di accesso. Per garantire che un security token non possa essere falsificato viene generata a livello crittografico una stringa di dati unica, nota come certificato che non può essere violato.
Per contenere la minaccia, Microsoft ha dato avvio a controlli e pratiche di sicurezza affermando di aver ricevuto una compromissione del sistema di autenticazione avvenuta in due fasi. Secondo quanto rilevato dalle indagini, Storm-0558 sarebbe inizialmente entrato in possesso di una chiave crittografica che Microsoft utilizza per firmare i token per i consumer dei servizi cloud; successivamente, sarebbe stato sfruttato un bug nel sistema di convalida dei token dell’azienda che ha permesso loro di firmare le stringhe di dati degli utenti e di riutilizzarle per accedere ai sistemi di livello aziendale.
La multinazionale statunitense ha affermato di aver bloccato tutti i token firmati attraverso la chiave rubata e di averla sostituita con una nuova, impedendo agli aggressori di accedere ai sistemi delle vittime.
I tool di sicurezza offerti da Microsoft
A seguito della violazione, la Vicepresidente di Microsoft per la Sicurezza, Conformità, Identità e Gestione Vasu Jakkal ha dichiarato che, a partire da settembre 2023, l’azienda con la seconda più grande piattaforma cloud al mondo, presenterà ed offrirà a tutti i licenziatari dei servizi cloud 31 security tools, tra cui il tipo di log delle e-mail.
Tali tools andranno ad integrarsi ai cloud security software già adottati dalla multinazionale, fra cui Microsoft Sentinel – Azure Sentinel e Microsoft Defender per il Cloud. Quest’ultimo offre quattro funzionalità chiave, quali:
- Security score, vale a dire un punteggio che definisce lo stato di sicurezza;
- Security recommendations che consistono in azioni prioritarie per migliorare il livello di sicurezza;
- Security alerts, riguardante il rilevamento delle minacce inviando avvisi via e-mail ai soggetti interessati e successivamente trasmettendoli al Security Information and Event Management (SIEM) e alla Security Orchestration, Automation, and Response (SOAR);
- Integrating with defender for endpoint, consistente nel monitoraggio dei server congiuntamente alle workstation IT tradizionali per migliorare la visibilità nell’intera architettura aziendale.
Microsoft Sentinel – Azure Sentinel, invece, è una soluzione che aiuta a gestire attacchi più sofisticati attraverso funzionalità quali:
- la raccolta di dati su scala per ogni utente, dispositivo, applicazione e infrastruttura;
- la rilevazione delle minacce evasive utilizzando i software d’analisi di Microsoft;
- l’uso dell’IA per indagare sulle minacce e identificare le attività sospette su larga scala;
- la risposta agli attacchi.
L’aggiornamento dei servizi di sicurezza cloud di Google
Oltre a Microsoft, un’altra società che ha aggiornato i propri servizi di sicurezza per il cloud è Google, la quale, in occasione della RSA Conference 2023 di San Francisco svoltasi il 25 aprile, ha annunciato l’intenzione di migliorare il servizio MxDR (Managed Extended Detection and Response) insieme ad Accenture Security, integrando Chronicle Security Operations con Mandiant Threat Intelligence e Security AI Workbench. Chronicle Security Operations è una piattaforma operativa basata sul cloud che consente ai team di sicurezza di rilevare, indagare e rispondere alle minacce tramite un’integrazione dell’actionable threat intelligence con la ricerca e l’analisi basate sull’intelligenza artificiale.
MxDR fa affidamento sulle informazioni fornite da Google Cloud e Mandiant, le quali vengono incorporate in Chronicle Security Operations per offrire funzionalità di rilevamento automatico, oltre a ricerche personalizzate per le singole organizzazioni.
Il programma Amazon Security Lake
Il 30 maggio anche Amazon Web Services (AWS) ha reso disponibile Amazon Security Lake, un programma lanciato nel novembre 2022 che centralizza i dati per tutto il loro ciclo di vita provenienti da ambienti AWS, da fornitori di software-as-a-service (SaaS), da fonti on-premises e dal cloud in un data lake centralizzato disponibile per gli utenti. Quest’applicazione normalizza automaticamente i log AWS nel formato Apache Parque, conforme allo schema Open Cybersecurity Schema Framework (OCSF). Disponendo di registri e risultati relativi alla sicurezza in una posizione centralizzata e nello stesso formato, le indagini su possibili eventi dannosi risultano agevolate poiché si riduce la necessità di raccogliere e convertire i log. Security Lake permette altresì l’integrazione con servizi di sicurezza di terze parti come gli strumenti SIEM (Security Information and Event Management) e XDR, nonché con i più diffusi servizi Amazon di analisi dei dati, come Athena e OpenSearch Service.
Cloud, le minacce di sicurezza alle organizzazioni
Nel maggio 2023, Cybersecurity Insiders e l’International Information System Security Certification Consortium (ISC)2 hanno pubblicato il 2023 Cloud Security Report, elaborato da un’indagine condotta su 823 professionisti della cybersicurezza tenutasi nel marzo 2023. Lo studio rivela come le organizzazioni che utilizzano i servizi cloud stanno affrontando le minacce relative a questi servizi, la formazione del personale, le certificazioni e le best practice prioritarie per i responsabili della sicurezza.
In base a quanto emerso, gran parte delle aziende sta spostando i carichi di lavoro nel cloud: il 39% degli intervistati ne ha già inseriti più della metà, mentre il 58% prevede di effettuare questo passaggio entro il prossimo anno. Nello stesso periodo, si prevede un aumento dal 20% al 27% nelle organizzazioni con carichi dal 51% al 75% nel cloud, mentre quelle con oltre il 75% dei carichi nel cloud dovrebbero passare dal 19% al 31%.
Microsoft Azure, AWS e Google Cloud Platform sono risultati i fornitori maggiormente impiegati, rispettivamente con il 72%, il 67% e il 40% delle preferenze. Inoltre, il 72% degli intervistati ha affermato di usare di due o più fornitori, evidenziando come le crescite della superficie e della complessità degli attacchi siano diventate alcune delle maggiori problematiche.
Nonostante la maturità di questa tecnologia, il 95% dei professionisti mostra ancora una preoccupazione da moderata a estrema per l’affidabilità del cloud pubblico.
Negli ultimi 12 mesi antecedenti l’intervista, il 24% delle organizzazioni ha registrato incidenti di sicurezza legati al cloud; l’errata configurazione è risultata la causa principale, seguita dalla compromissione degli account e dallo sfruttamento di vulnerabilità.
I risultati indicherebbero che le organizzazioni devono affrontare diverse sfide per la protezione dei carichi di lavoro in cloud, tra cui la carenza di personale qualificato (43%), la garanzia di conformità (37%) e la visibilità sulla sicurezza dell’infrastruttura (32%). Per risolvere questi problemi, afferma la ricerca, sarebbe necessaria una combinazione di strumenti e processi di sicurezza migliori, e maggiori investimenti nella formazione della forza lavoro.
Le sfide che le organizzazioni devono affrontare per mantenere la conformità al cloud
In merito alle sfide che le organizzazioni devono affrontare per mantenere la conformità al cloud, le principali criticità indicate sono la mancanza di competenze del personale (55%), il cambiamento degli ambienti cloud (43%) e l’esecuzione di regolari verifiche dei rischi (37%). Per affrontare queste difficoltà, le organizzazioni dovrebbero investire nella formazione e nella certificazione del personale, sviluppare processi di monitoraggio della conformità e rimanere aggiornate sulle modifiche normative e sulle minacce emergenti nell’ambiente cloud.
Secondo alcuni esperti, un’altra soluzione per superare queste problematiche sarebbe l’automatizzazione delle pratiche di sicurezza del cloud, dal momento che quest’operazione consente di collezionare grandi quantità di dati grezzi. Questi ultimi, se raccolti correttamente, possono aggiungere visibilità all’intero sistema, rivelando anomalie che potrebbero segnalare l’inizio di un attacco informatico.
Tuttavia, come sostiene Claudia Glover, giornalista di Tech Monitor, l’automazione potrebbe non essere una soluzione unica per la futura sicurezza del cloud.
Gli strumenti automatizzati possono infatti sbagliare causando danni rilevanti: un rapporto della società di sicurezza Titania mostra che le errate configurazioni di rete costano alle organizzazioni il 9% del loro fatturato annuo totale.
Anche gli strumenti a supporto dell’automazione starebbero diventando più complessi, acuendo la mancanza di competenze soprattutto per le piccole imprese.
Secondo Sergio Loureiro, Vicepresidente di Outpost24 e membro fondatore della Cloud Security Alliance, il modo più sicuro di archiviare i dati è il “Poly-cloud“, un metodo che prevede l’uso di più fornitori in un’organizzazione e la scelta del cloud migliore per ogni singolo progetto. Grazie alla distribuzione dei dati e dei backup, le aziende possono continuare a lavorare anche se i servizi in alcuni segmenti non funzionano. Tuttavia, tale opzione sarebbe eccessivamente costosa per la maggior parte delle realtà.
