Il cloud introduce una serie di attacchi di natura diversa da quelli che le aziende hanno imparato a conoscere sui sistemi residenti. Implementazioni e configurazioni errate, DDoS e vulnerabilità XSS, sono alcune delle minacce più pericolose indirizzate ai fornitori di servizi cloud. Ai quali l’azienda cliente è chiamata a rispondere adeguando la propria analisi del rischio. Con tecnologie e soprattutto competenze evolute
Non sarà la stima più disinteressata di questo mondo. Ma quella dei Lloyd di Londra è un buon punto di partenza per immaginare quali danni potrebbe provocare un incidente di sicurezza che dovesse investire uno dei primi tre fornitori di servizi cloud. In estrema sintesi, un evento capace di mandare a gambe all’aria dai tre ai sei giorni uno dei global player provocherebbe secondo la compagnia di assicurazioni perdite tra i 5 e i 19 miliardi di dollari. Potrebbe trattarsi di un incidente che esula dall’ambito della sicurezza IT. Un problema di approvvigionamento, energia elettrica per esempio. Oppure un disastro che impatta la geografia, l’aspetto climatico di un territorio. «Gli incidenti più costosi riguardano gli ambienti cloud e la protezione dei dati» – conferma Morten Lehn, general manager Italy di Kaspersky Lab. «Due dei tre incidenti di cybersecurity più impattanti sono legati al cloud. Le falle nelle infrastrutture IT ospitate da terze parti mostrano di poter causare perdite ingenti».
MINACCE IN CLOUD
Un ransomware per esempio potrebbe infiltrarsi nel cloud. Virlock, conosciuto anche in Italia perché si spaccia per la Polizia Postale, si propaga attraverso server di condivisione file, sistemi di storage e strumenti di collaborazione crittografando tutti i file, compresi quelli condivisi e sincronizzati in cloud. I più esposti a questa minaccia sarebbero soprattutto i cloud provider più piccoli. Che a differenza di cloud service providers come Google, Amazon o Microsoft non dispongono delle risorse e dell’esperienza per contrastare efficacemente la minaccia. Indipendentemente dalla grandezza del fornitore, la nuvola è esposta a una serie di attacchi di natura diversa da quelli calibrati sui sistemi residenti che abbiamo imparato a conoscere. «La concentrazione del rischio in cloud è molto alta a causa del fattore umano nell’implementazione» – afferma Alessio L.R. Pennasilico, membro del comitato direttivo e del comitato tecnico scientifico di CLUSIT, l’associazione Italiana per la Sicurezza Informatica. Attacchi che potrebbero aumentare nei prossimi mesi. «Anche a causa di una caratteristica intrinseca dei servizi in cloud. La grande disponibilità e scalabilità di risorse» – osserva Pennasilico. Qualunque cloud provider è in grado di mettere a disposizione i propri server in tempi brevissimi. La potenza delle singole macchine (CPU, RAM, dischi, risorse di rete, etc.) può essere modificata e adattata alle proprie esigenze. «Se i cloud provider hanno tecnologie all’avanguardia per difendere i propri servizi, le aziende “normali”, siano esse PMI o large Enterprise, troppo spesso trascurano banali e datate best practice, rendendo i servizi in loro gestione su tali infrastrutture facilmente attaccabili» – spiega Pennasilico. Questa concentrazione di potenza nel cloud può essere sfruttata da chi attacca. «Per i criminali è facile trovare servizi, senza patch o con password banali, da utilizzare per quelle operazioni che richiedono massicce capacità di calcolo, quali il mining di criptovalute, il calcolo di password rubate da altri sistemi o attacchi DDoS».
Gli esempi non mancano. Uno dei più famosi condotto dal gruppo criminale APT10, il braccio cyber del People Liberation Army cinese, è stato descritto da PwC e BAE Systems. Lo schema è quello classico di un attacco informatico, con azioni di social engineering e spear phishing, combinate e condotte però su una scala tale da marcare un cambiamento deciso in termini di qualità ed efficacia. Gli attacchi di tipo Denial of Service (DoS), noti da tempo, sono cresciuti con la diffusione dei servizi in cloud. Forse le maggiori capacità di banda disponibile ai cloud service provider, hanno reso i tradizionali metodi di attacco DDoS meno efficaci. Ma come nota Stefano Buttiglione, service line manager, Global Security Services di Akamai Technologies – «la rapidissima evoluzione delle botnet e dei loro attacchi, mirati a seconda degli obiettivi allo scraping, al credential abuse, o ancora a servizi API, ha dimostrato quanto gli attacchi cambino rapidamente forma e obiettivi». L’esempio più citato è il famigerato Dyn attack, che un paio d’anni fa ha reso inaccessibili per parecchie ore siti web e piattaforme importanti come quelle di Amazon e Twitter. «Per difendersi da questi attacchi, sono necessarie sempre più risorse» – spiega Buttiglione. «Servono sistemi ben dimensionati, pronti ad assorbire eventuali stress e picchi di traffico. Persone, capaci di riconoscere attacchi in corso e di applicare le adeguate contromisure in tempi minimi, con competenze di sicurezza allineate allo scenario attuale. Professionisti che possano mantenere questi sistemi sempre aggiornati e configurati in modo ottimale per i livelli di traffico osservati». Contro questo genere di attacchi non è molto quello che chi non gestisce la piattaforma può fare. I più volenterosi potranno avventurarsi in stime sull’impatto del traffico di un massiccio attacco DDoS sui costi di un certo pool di servizi. Più in generale verificare costi e termini del servizio dei cloud service provider sul mercato, aggiornando così le modalità di protezione che si possono mettere in campo per prevenire gli attacchi, e offrendo un contributo importante alla due diligence.
ORGANIZZAZIONE E SICUREZZA
La gestione delle identità – in termini di assegnazione all’utente delle autorizzazioni appropriate al ruolo e alla posizione all’interno dell’organigramma – rappresenta da sempre uno dei problemi centrali di sicurezza per le aziende. Nel cloud un sistema debole di autenticazione se possibile è ancora più centrale. «I cloud provider sono quotidianamente impegnati a rilevare eventuali vulnerabilità all’interno della propria infrastruttura. Ma non è possibile prevedere a priori quante e quali saranno le vulnerabilità cross-cloud e cross-account» – rileva Alessandro Rani, ICT security business unit manager di VM Sistemi. «Lo sfruttamento di privilegi derivati dalla condivisione di documenti sarà sicuramente un punto nevralgico da presidiare». A questo proposito Gastone Nencini, country manager di Trend Micro Italia consiglia di prestare particolare attenzione agli accordi contrattuali, perché in caso di incidente non ci siano incertezze a individuare chi fa cosa e come, «lavorando in profondità sui concetti di identity management e identity access management (IAM)». In questo senso, il modello zero trust di riduzione del rischio – vale a dire la verifica e validazione di ogni user e dispositivo, sia all’interno del proprio perimetro che all’esterno, prima dell’accesso ai sistemi, unite alla verifica periodica dei livelli di accesso alle risorse – può essere la strada giusta da seguire. Anche qui si tratta di organizzazione prima ancora che di sicurezza. Scoprire che i proverbiali “buoi” sono scappati dal recinto, dopo che decine di utenti possedevano un set di privilegi amministrativi inutili, porta sempre troppo tardi ad apprezzare l’assunto che ogni utente privilegiato rappresenta un rischio.
RIPENSARE I DATA CENTER
Spesso si rimprovera all’IT di concentrarsi soprattutto su vulnerabilità ed exploits, trascurando i pericoli che possono derivare da cattive implementazioni. API (interfacce di programmazione delle applicazioni) deboli per esempio espongono a problemi di riservatezza, integrità e disponibilità del dato. Considerazioni analoghe valgono per password deboli, hypervisor configurati male o non patchati. Nel caso di elusione della sandbox, si tratta di attacchi che sfruttano vulnerabilità non patchate, consentendo a chi attacca di “uscire” da un sistema ospitato in cloud e guadagnare l’accesso al resto della piattaforma cloud. Un esempio è l’exploit cross-site scripting (XSS) zero-day scoperto in Microsoft Azure nel 2016. Un attacco tutto sommato semplice e circoscritto alla singola piattaforma.
Le vulnerabilità là fuori non mancano, alcune non ancora completamente conosciute come Spectre e Meltdown. Altre semplicemente ancora non sfruttate. Lo scorso gennaio i ricercatori di Google hanno rivelato la presenza di tre vulnerabilità, Meltdown e Spectre, comuni alla stragrande maggioranza dei microprocessori sfornati negli ultimi dieci anni, utilizzati tra gli altri su router e server di tutti i principali costruttori. Sebbene al momento non si conoscono exploits che possono sfruttare la capacità di Spectre e Meltdown di “rompere” l’isolamento tra applicazioni, aprendo ad attacchi di tipo side-channel, non è azzardato ipotizzare che si tratti solo di una questione di tempo. Il CERT USA raccomanda la sostituzione di tutti i processori infetti, che però ancora per parecchio tempo non saranno disponibili sul mercato.
Le patches che nel frattempo si sono succedute hanno reso a detta di molti esperti solo più difficile il compito per i potenziali aggressori. Senza peraltro limitare – come si è potuto verificare in questi mesi – il degrado delle performance dei processori. Da qui la scelta di alcuni di non patchare i propri sistemi. Ora sulla carta, ogni cloud provider ha tutto l’interesse a patchare i propri sistemi per parare la minaccia. Ma quali garanzie hanno i clienti che questo avvenga realmente? Una delle possibilità è quella di sollecitare il proprio fornitore a produrre report che documentino le azioni di patching sin qui intraprese.
Le probabilità che gli attacchi al cloud possano nei prossimi mesi aumentare sono alte. Un peggioramento del quadro generale alimentato dalle minori capacità di detection e più in generale di risorse a disposizione. Soprattutto, per le aziende più piccole. «Nella palude della sicurezza si impantanano così tante PMI che le poche virtuose sono una frazione vicina al rumore di fondo» – riprende Alessandro Rani di VM Sistemi. «Le grandi imprese, soprattutto per la maggiore disponibilità di budget, stanno sviluppando competenze interne in grado di mettere a fuoco il problema. Ma nella maggior parte dei casi resta ancora “pittoresco” rilevare come tutto continui a funzionare». Quadro confermato anche da Donato Ceccomancini, sales manager Italy di Infinidat, secondo il quale i fornitori di servizi cloud «devono iniziare a ripensare i loro data center introducendo tecnologie di gestione dei dati innovative in grado di mitigare questi rischi».
IT AUTOMATION E INTEGRITÀ DEI SISTEMI
Passare al cloud non significa rinunciare ad avere al proprio interno delle risorse che siano in grado di misurarsi con le tecnologie e i provider cloud. Al contrario. Oggi, si parla molto di controlli automatici di sicurezza e di come stanno velocemente sostituendo quelli manuali svolti da un operatore in carne e ossa. La sicurezza perché possa assicurare integrità dei sistemi, protezione dei dati e rispetto della normativa, richiede la scansione automatizzata dei sistemi e dunque una vigilanza ventiquattro ore al giorno, sette giorni alla settimana, 365 giorni all’anno. Non tutto però può essere automatizzato. Il risk assessment di un cloud provider per esempio non può esserlo. Detto questo, l’impiego di tool di automazione per uniformare le configurazioni e rilevare eventuali problemi nel cloud, libera tempo e risorse da dedicare a problematiche complesse come la formazione e la gestione delle relazioni con i cloud providers. «L’IT automation e la diffusione di soluzioni per la gestione delle configurazioni sono i critical building blocks per implementare le infrastrutture cloud» – conferma Fabio Rizzotto, associate VP & head of local research and consulting di IDC Italia. «Un processo in forte accelerazione per via della sempre maggiore popolarità dei servizi cloud presso le imprese europee, soprattutto tra quelle meno impattate dal trattamento di dati personali e sensibili». Qualcosa come il 73% delle medie imprese e il 56% delle piccole utilizza almeno un servizio cloud, stima Kaspersky Lab. «Email, archiviazione di documenti, collaboration service, finanza e contabilità sono tra i tool SaaS più popolari» – rileva Morten Lehn. Le aziende dunque continueranno ad aver bisogno di personale per svolgere determinate attività connesse al cloud. Dal punto di vista della sicurezza, ciò continuerà a rappresentare una minaccia da non sottovalutare. Dipendente, collaboratore, o partner, in uno scenario cloud, rappresentano una minaccia importante, potenzialmente in grado di distruggere o comunque causare danni gravi all’intera infrastruttura. Per prevenire questa minaccia la formazione resta un fattore critico.
CONOSCENZA E ANALISI DEL RISCHIO
La complessa natura del cloud, in costante evoluzione, suggerisce che c’è sempre qualcosa da imparare dagli incidenti di sicurezza che coinvolgono grossi nomi. Imparare dagli errori degli altri aiuta a mitigare il rischio cloud. E prima ancora nell’analisi dell’offerta cloud per definire il provider di servizi che meglio risponde alle proprie esigenze. In genere, quando si chiede a un’azienda di spiegare le ragioni del passaggio ai servizi gestiti, semplificazione dell’IT, attivazione di nuove applicazioni e servizi e risparmi sono le motivazioni principali. Tutti sanno che in cloud si pagano solo le risorse attivate. Perché siano sfruttate appieno bisogna però dotarsi di strumenti e competenze. Processi e procedure automatizzate che consentano di monitorare come e dove sono allocate le risorse; possibilmente puntellate da audit periodici per evitare l’overprovisioning o l’attivazione di risorse inutili. Passare al cloud implica la capacità di scegliere solo i servizi utili alle proprie esigenze. Idealmente, si tratta di coniugare da una parte valutazioni tattiche (uno o più servizi utili sin da subito) con altre di natura strategica, scelte cioè che imprimeranno una certa direzione nel processo evolutivo dell’azienda. L’elasticità è uno dei driver richiesto per abbracciare il cloud. Ma per sfruttarne appieno le potenzialità, l’azienda deve essere pronta a implementare applicazioni e servizi riorganizzando tutte le risorse di cui dispone. L’efficace transizione al cloud rappresenta o dovrebbe rappresentare una evoluzione strategica dell’azienda. Ancorare a una analisi lacunosa a monte le proprie scelte, espone l’azienda a rischi gravi.
La conoscenza delle minacce è essenziale nell’analisi del rischio. La definizione del proprio “risk appetite”, la formalizzazione cioè del livello di esposizione al rischio tollerato, si costruisce integrando il processo di due diligence. «Analisi del rischio e due diligence dovrebbero procedere di pari passo» – ci dice Pennasilico del Clusit. La stima del risk appetite influenza le revisioni periodiche del documento di due diligence. Optare per una bassa tolleranza al rischio porterà a rinunciare a servizi vantaggiosi dal punto di vista dei costi ma minori garanzie contrattuali su altri aspetti, sicurezza compresa. «Grazie al disaccoppiamento tra dispositivi d’accesso, reti e locazione dei servizi IT richiesti, noi aiutiamo le aziende e provider ad abbassare sensibilmente il proprio livello di rischio» – spiega Massimiliano Grassi, marketing manager di Citrix Italia. «Il perimetro digitale di sicurezza che creiamo attorno all’utente consente di gestire il rischio informatico in ambiente ibrido, indipendentemente da dove dati o applicazioni risiedano – in un data center, nel cloud o in entrambi i luoghi – e da quali tecnologie siano alla base dei datacenter o dei cloud stessi».
COME EVITARE BRUTTE SORPRESE
L’analisi del rischio inoltre trae beneficio dalla possibilità per l’azienda di audire il proprio cloud provider. Se negli accordi contrattuali questa possibilità non è contemplata nel caso di un incidente, ci si può trovare con le mani legate. Oggi, non sono ancora molti i cloud service provider che consentono ai loro clienti di condurre audit periodici sui loro data center, processi, procedure e misure di sicurezza. Si preferisce dichiarare sbrigativamente la propria compliance con tutto. Annegando le legittime preoccupazioni dietro ad affermazioni come “se succedesse qualcosa i cloud service provider sarebbero i primi a pagarne le conseguenze in termini contrattuali e di danni derivanti da un data breach”. Detto questo, l’audit non è una possibilità remota. Molto dipende dalla forza contrattuale delle due parti. «Sono poche le speranze di una piccola azienda di farsi ascoltare da un gigante del cloud» – ci dice Pennasilico di Clusit. «È chiaro però che un’azienda italiana strategica ha parecchie chance di essere ascoltata da un cloud provider italiano o comunque con un proprio data center sul territorio italiano».
Ci arriveremo. Probabilmente è solo una questione di tempo. Nel frattempo – però – valutare a propria volta le metodologie di audit sviluppate dal cloud provider è alla portata di una media azienda che disponga delle competenze necessarie per farlo. Per esempio, accedendo alla documentazione del cloud service provider relativa agli audit. Alcuni cloud provider affermano di essere solo dei data processor. Che non utilizzano né cedono ad altri questi dati. Che poi è solo un modo di eludere la domanda di partenza: come fare a verificare che quanto promesso venga effettivamente mantenuto? Il rischio legato alle reticenze di un cloud provider può essere ancora mitigato attraverso richieste di una reportistica più mirata e robusta che rilevi con chiarezza i principali indicatori di rischio. Anche qui comunque è necessario un supporto fattivo del proprio staff di audit durante la negoziazione del contratto.
Hacking e security non sono i soli rischi da considerare. Perdere le opportunità offerte dalla trasformazione digitale, soprattutto per le aziende più piccole e con minore esperienza, il rischio cioè di non approfittare dei vantaggi che il cloud comporta, è altrettanto importante. Il cloud non è solo una nuova tecnologia. Ha cambiato il business e il paradigma operativo di interi settori. «Nel breve periodo, la transizione al cloud sarà ancora parecchio impattata da problemi di sicurezza e di aderenza alla normativa – anche per l’entrata in vigore del GDPR» – osserva Rizzotto di IDC Italia. Uno sforzo supplementare, ma necessario per attraversare il guado. E non perdere le opportunità di sfruttare appieno le capabilities del cloud service provider nella gestione del rischio di security.
