I 3 principali punti ciechi che portano a violazioni dei dati cloud

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Il sempre più frequente spostamento di workload nel cloud ha portato le organizzazioni (e gli amministratori IT) a perdere il controllo sugli stessi e ad abbandonare molti aspetti critici della sicurezza informatica. Di conseguenza, ciò che è considerato “dentro” in un mondo on-premise è improvvisamente “fuori” in un’infrastruttura cloud ospitata pubblicamente. Gli hacker possono avere un accesso ai workload ospitati su spazi pubblici agendo come amministratori IT e utilizzando metodi di connessione standard, protocolli e API pubbliche. In questo modo il mondo intero diventa una “minaccia interna”. La sicurezza del workload, quindi, è definita dalle persone che possono accedere agli stessi e dalle autorizzazioni che hanno.

Il problema risiede nella praticità e flessibilità associate agli ambienti cloud. Gli amministratori cloud spesso concedono autorizzazioni estese a gruppi di utenti per consentire loro di svolgere le attività senza problemi. In pratica, la maggior parte degli utenti utilizza solo una piccola parte dei permessi a disposizione e non ha necessità di usarli tutti nel proprio lavoro. Ciò rappresenta una grave lacuna nella sicurezza poiché se queste credenziali utente dovessero mai cadere in mani malintenzionate, gli aggressori avrebbero un ampio accesso a dati e risorse sensibili. Secondo il rapporto Managing Privileged Access in Cloud Infrastructure di Gartner, entro il 2023, il 75% degli errori di sicurezza del cloud sarà attribuibile a una gestione inadeguata di identità, accessi e privilegi.

#1 Non capire la differenza tra permessi UTILIZZATI e CONCESSI
L’ottanta percento degli errori nella concessione di eccessive autorizzazioni si basa sui ruoli. In un ambiente cloud in cui le risorse sono ospitate “al di fuori” dell’organizzazione, e quindi le autorizzazioni di accesso alla rete definiscono la superficie attaccabile dalle minacce.

Le autorizzazioni non necessarie derivano dal divario, in termini di autorizzazioni, tra ciò di cui gli utenti hanno bisogno per svolgere il proprio lavoro e ciò che hanno. In altre parole, è il divario tra i permessi definiti e quelli utilizzati. La differenza tra questi due valori è la superficie attaccabile della tua organizzazione.
Comprendere la differenza tra le autorizzazioni UTILIZZATE e CONCESSE è uno dei maggiori punti ciechi che portano a una violazione dei dati. Ecco perché è importante monitorare e analizzare costantemente questo divario per assicurarsi che sia il più piccolo possibile e, di conseguenza, che la superficie attaccabile sia altrettanto piccola.

#2 Il tuo problema non è rilevare. è correlare
Gli avvisi di sicurezza informatica sono oramai assimilabili al classico “al lupo, al lupo!”. Secondo moltissimi rapporti di terze parti, il centro operativo di sicurezza medio gestisce circa 10.000 avvisi al giorno.

Il sovraccarico di avvisi è una delle principali cause che portano ad ignorare o sottovalutare gli avvisi perché quelli indicativi di attività potenzialmente dannose finiscono persi nel mare magnum degli altri avvisi, portando così a una violazione dei dati.

Concentrarsi sugli avvisi che contano di più è uno dei più grandi punti ciechi della sicurezza del cloud che le organizzazioni hanno attualmente. I team di sicurezza critica hanno una visione più ampia in cui più ambienti cloud e account sono riuniti e utilizzano un sistema di “punteggio” per gli avvisi che rende efficiente la definizione delle priorità.

[Ti è piaciuto questo post? Abbonati ora per ricevere ogni settimana gli ultimi contenuti Radware via e-mail e per avere accesso esclusivo ai Contenuti Premium di Radware. ]

#3 Il non sapere “unire i puntini”
Le violazioni dei dati non avvengono istantaneamente; si sviluppano nel tempo. Esse sono il risultato di un processo lungo, fatto di svariati tentativi, fallimenti e successi di chi attacca, il tutto disseminato in tanti piccoli e numerosi passaggi e attività con cui l’aggressore tenta di ottenere l’accesso a dati sensibili.

Molti di questi piccoli passi e attività sono eventi a bassa o media priorità e come tali vengono spesso ignorati. A peggiorare le cose c’è il fatto che il tempo medio per una violazione dei dati è di sei mesi. Pertanto, anche se i singoli eventi vengono rilevati, spesso si finisce per dimenticarli quando ne vengono rilevati altri (correlati); nessuno “unisce i puntini”.

[Se ti interessa ti consigliamo: Distribuisci i workload delle applicazioni su più cloud e data center]

La capacità di correlare singoli eventi/avvisi nel tempo in una “trama” di attacco è uno dei più grandi punti ciechi della sicurezza del cloud che le organizzazioni hanno ed è fondamentale per fermare una violazione dei dati prima che si verifichi.