Negli anni più recenti, con l’evoluzione delle architetture cloud pubbliche e private, stiamo assistendo al passaggio dalla migrazione “lift and shift” dei carichi di lavoro delle macchine virtuali tradizionali verso un unico provider cloud, all’adozione di servizi nativi del cloud. Oggi il multicloud rappresenta la norma, in quanto favorisce una serie di vantaggi, a seguito dei quali molte aziende stanno diversificando l’acquisto delle soluzioni as-a-service, rivolgendosi a più fornitori.
Potendo scegliere tra le molte opzioni presenti sul mercato, infatti, le aziende possono costruire una “nuvola” personalizzata e ottimizzata in base alle proprie esigenze, realizzando la principale promessa del cloud computing, ovvero il taglio dei costi rispetto alle corrispondenti tecnologie on-premise.
Da questi cambiamenti sorge anche la necessità di rinnovare gli approcci alla sicurezza del cloud pubblico sviluppati in passato. È qui che entrano in gioco le CNAPP, o Cloud Native Application Protection Platform, le piattaforme di protezione delle applicazioni native del cloud.
Per parlare degli strumenti necessari per la protezione degli ambienti multicloud abbiamo chiesto a Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet, di affrontare il tema della cloud data security, chiarendo quali best practice adottare per proteggere ambienti sempre più eterogenei e distribuiti.
Indice degli argomenti
Come garantire la sicurezza del multicloud
“Al cloud si dovrebbero applicare gli stessi principi e le stesse logiche che vengono utilizzate all’interno dell’azienda perché, per sua natura, il cloud deve essere visto come un’estensione dell’azienda. I sistemi di Next Generation Firewall permettono di vedere il traffico e la sua provenienza”, spiega Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet, compagnia statunitense specializzata nello sviluppo di software, dispositivi e servizi di sicurezza informatica quali firewall, antivirus, sistemi di prevenzione delle intrusioni e di sicurezza degli endpoint.
Oggi lo scenario è complicato dall’aumento del multicloud. È da considerare un’eccezione che un’organizzazione si affidi ad un solo provider IaaS (Infrastructure as a Service) o PaaS (Platform as a Service), mentre è sempre più frequente che coinvolga più provider e ambienti diversi.
Tutto ciò rende più difficile garantire che i controlli vengano implementati nei posti e per i workload giusti.
“Ci vengono in aiuto strumenti specifici, come ad esempio, le CNAPP, o Cloud Native Application Protection Platform (piattaforme di protezione delle applicazioni native del cloud) che garantiscono la sicurezza dei carichi di lavoro e delle applicazioni cloud, combinando la sicurezza dell’infrastruttura e dei servizi cloud. Nonostante vengano definite come “cloud native”, queste piattaforme possono essere applicabili sia ai carichi di lavoro che sfruttano i servizi nativi del cloud, quanto a quelli delle applicazioni tradizionali che vengono spostati sul cloud in modalità lift and shift”, aggiunge Di Mattia.
Alle CNAPP si affiancano le soluzioni Cloud Access Security Broker (CASB) che permettono di avere visibilità sui servizi SaaS (Software as a Service). Secondo la definizione fornita da Gartner, le soluzioni (CASBs) sono costituite da un insieme di prodotti e servizi utili a identificare i gap di sicurezza di un’azienda nell’utilizzo dei servizi in cloud.
“I CASB – spiega Di Mattia – operano ad un livello differente rispetto a quello delle tradizionali infrastrutture di sicurezza, come i firewall hardware e software, integrandole con nuove funzioni finalizzate alla gestione delle policy relative a tutte le attività in cloud e restituendo all’organizzazione un po’ di quella visibilità che si perde con i servizi SaaS, la cui sicurezza fa capo ai CSP (Cloud Service Provider) che erogano il servizio. In pratica, un CASB ci consente di vedere “chi sta facendo cosa in cloud”, obiettivo fondamentale per stabilire se le applicazioni in uso sono valide o meno ai fini degli obiettivi di business, in conformità con le policy di sicurezza aziendali”.
Intelligenza artificiale (AI) e cybersecurity
Nel settore della cybersecurity, l’intelligenza artificiale sta giocando un doppio ruolo. L’AI viene usata sia come arma di attacco che di difesa e, in entrambi i casi, ha un ruolo fondamentale.
Grazie ad essa, infatti, gli hacker riescono ad individuare molto più velocemente le vulnerabilità e i buchi di sicurezza o a modificare in modo molto più rapido il codice degli attacchi; lo stesso si fa dall’altra parte della barricata, per la difesa, utilizzando algoritmi molto sofisticati di machine learning per tracciare delle base-line e dei comportamenti standard, sulla base dei quali verificare tutto ciò che è difforme dalla normalità.
In base al grado della difformità, è possibile stabilire se si tratta di falsi positivi o di attacchi effettivi. “La grande rivoluzione introdotta dall’AI – precisa Di Mattia – sta proprio nella capacità di individuare i falsi positivi. La grande differenza in questo tipo di soluzioni è data proprio dal passaggio dagli algoritmi di apprendimento automatico, che creavano falsi positivi, a quelli di machine learning che invece ne consentono l’individuazione.
Inoltre, questi sistemi sono in grado di ridurre gli eventi da decine di migliaia a pochissimi incidenti da analizzare. E questo è molto importante in un ambiente dove c’è una forte penuria di esperti e analisti della sicurezza che siano in grado di eseguire il proprio lavoro. Del resto, avere un sistema che produce tanti alert è equivalente a non avere un sistema della sicurezza”.
La Cybersecurity mesh
Per far fronte alla crescita del multi-cloud, della domanda di tecnologia distribuita e dell’adozione di modelli di servizi cloud proposti da vari provider, IaaS, SaaS e PaaS, alle aziende serve un nuovo approccio che garantisca una connessione sicura e dalle prestazioni elevate tra utenti e applicazioni; quello che Gartner nel “Top Security Technology Trends for 2022: Cybersecurity Mesh”, ha indicato per definire la Cybersecurity Mesh Architecture (CSMA): “un approccio composito e scalabile per estendere i controlli di sicurezza anche a risorse ampiamente distribuite. … la CSMA consente agli strumenti di sicurezza di integrarsi fornendo un insieme di servizi abilitanti, come identity fabric distribuito, analisi di sicurezza, intelligence, automazione e trigger, nonché la gestione e orchestrazione centralizzata delle policy”.
La CSMA è stata inserita da Gartner tra le principali tendenze tecnologiche strategiche per il 2022, sostenendo che le organizzazioni che adottano la rete di sicurezza informatica come parte dei loro ecosistemi collaborativi ridurranno le perdite finanziarie derivanti dagli attacchi di sicurezza informatica del 90%.
“Se dunque fino a qualche anno fa, le best practice più consolidate prevedevano più elementi di vendor differenti per avere più possibilità di identificare una minaccia, oggi invece molti analisti consigliano pochi vendor che integrino le migliori tecnologie del settore in termini di sicurezza con analisi centralizzate e prevenzione automatizzata basate sull’intelligenza artificiale, con un minore effort dal punto di vista del personale e della formazione.
Questo nuovo approccio corrisponde ad un tipo di protezione che Fortinet promuove da dieci anni grazie al Fortinet Security Fabric. Alla base del Fortinet Security Fabric, vi è un sistema operativo che supporta casi d’uso granulari con più modelli di distribuzione di qualsiasi altra soluzione, tra cui ambienti fisici, virtuali, cloud e X-as-a-Service. E comprende l’ecosistema e il portafoglio di prodotti più ampio del settore, in cui si annoverano endpoint, reti e cloud”, spiega Di Mattia.
L’utilizzo di dati provenienti da sorgenti eterogenee interne ed esterne, da affiancare ed integrare con i normali presidi di sicurezza presenti in azienda, e la condivisione delle informazioni tra organizzazioni che condividono gli stessi interessi, sono strategie vincenti per essere maggiormente reattive nei confronti delle minacce esterne.
È quella che viene chiamata Cyber Threat Intelligence. Affinché la condivisione di informazioni di Cyber Threat Intelligence possa funzionare, è importante dotarsi di strumenti e regole comuni rispetto a cosa e come condividere.
“Oggi esistono delle piattaforme di threat intelligence, standard e open source, come ad esempio il progetto MISP – Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing, in grado di condividere IoC (Indice di Compromissione) internamente (alle distinte soluzioni di sicurezza) ed esternamente (ai vari partner) così da poter identificare e bloccare minacce altrimenti sconosciute”, conclude Di Mattia.
Per chi volesse sapere quali misure di OT Security garantiscono la riduzione del rischio informatico negli ambienti OT, vi invitiamo a leggere l’articolo su “Attacchi alle strutture OT sempre più sofisticati, quali soluzioni?” (inserire link all’articolo), nel quale vengono descritti gli standard di riferimento, i modelli e le soluzioni per proteggere l’infrastruttura OT da minacce cibernetiche sempre più frequenti e pericolose.