Sicurezza

Cloud e sicurezza, il connubio non è automatico

Perimetri, punti d’accesso e soluzioni di sicurezza. Alla segmentazione delle reti è necessario affiancare adeguate soluzioni tecnologiche per potenziare la protezione degli “end-point” (client, server e mobile).

Pubblicato il 30 Nov 2021

Bruno Giacometti

Virtual Chief Information Security Officer di Deda Cloud

cloud


È ormai evidente che per le aziende, di ogni dimensione e tipologia, cybersicurezza e cloud sono due aree di intervento prioritarie. Ambiti che vanno a braccetto e in cui è corretto – o forse si dovrebbe dire sarebbe corretto – muoversi con un approccio olistico, ma su cui ancora troppo spesso aleggia un grande equivoco. Esiste una convinzione diffusa che “migrare sul cloud” significhi mettere automaticamente al sicuro la propria azienda dagli attacchi cyber. Un grande errore dovuto a una non corretta conoscenza dell’“universo cloud”. È vero che i provider di questi servizi garantiscono la sicurezza, ma il misunderstanding sta nel fatto che questa viene intesa come affidabilità dell’infrastruttura e non come difesa da eventuali minacce verso i workload e i dati aziendali. Quando il cloud provider vende servizi IaaS o applicazioni, ne assicura il funzionamento e può mettere a disposizione gli strumenti di sicurezza da utilizzare, ma lo fa come se questi fossero una lavagna bianca su cui è il cliente a dover scrivere le regole. Il cloud provider non può entrare nel merito delle policy di cybersecurity del cliente.

Cloud e cybersicurezza

  • In primo luogo, con l’adozione del cloud viene meno il concetto di perimetro. Non c’è più un confine aziendale da difendere: è come se fossimo su un’autostrada a mille corsie, con mille punti di accesso.
  • In secondo luogo, il cybercrime è diventato una vera e propria industria, con fatturati e margini impressionanti. Per questo, dalle grandi alle piccole organizzazioni, tutti devono considerarsi un target certo d’attacco. La lotta è alquanto impari: da un lato il lavoro degli hacker è la minaccia informatica, a cui vengono destinate ingenti risorse a tempo pieno, dall’altro, per le aziende, la difesa è ancora un di cui della propria attività.
  • In terzo luogo, manca ancora la consapevolezza diffusa che, per un’impresa, i punti di accesso più probabili per un attacco sono gli utenti finali, ovvero i dipendenti, tipicamente attraverso i due canali sempre attivi: la navigazione e la posta elettronica. L’aumento dei servizi forniti o fruiti online accresce inoltre la quantità di dati sensibili disponibili, innalzando l’interesse da parte di organizzazioni criminali e, conseguentemente, aumentando le probabilità per le aziende di subire un attacco. Formazione e generazione di una consapevolezza (awareness) sono, quindi, elementi chiave nella strategia di difesa delle imprese; fattori che però, purtroppo, sono ancora considerati un onere più che un investimento.
  • Quarto elemento, frutto della grandissima evoluzione tecnologica in ambito produttivo degli ultimi anni, è lo sviluppo dell’Industria 4.0, che porta con sé nuove complessità dal punto di vista della cybersecurity. Le tecnologie che hanno automatizzato le linee di produzione sono oggi connesse alle reti IP che usiamo tutti. Ciò significa esporre a potenziali attacchi i sistemi di produzione, uno degli asset più importanti dell’industria. In aggiunta, sulle reti industriali – definite OT – che dialogano con le reti IT, intervengono tutta una serie di soggetti nuovi, come i direttori di produzione, a cui è solitamente in capo la loro evoluzione, e i manutentori degli impianti. Attori che non sempre si muovono di concerto con l’IT, nonostante gli impianti 4.0 siano destinati a connettersi alle reti aziendali, per disegnare ed implementare tali soluzioni all’interno di un progetto coerente e organico dal punto di vista della cybersicurezza.

Infine, i sistemi industriali basati su reti OT, per essere efficaci, devono per forza fondarsi su sistemi operativi molto snelli, che siano affidabili e utilizzino poche risorse, ma che di per sé sono anche vulnerabili dal punto di vista architetturale. Il risultato è una situazione in cui il governo degli impianti core dell’azienda è basato su reti molto spesso non protette adeguatamente e su applicazioni e sistemi operativi poco sicuri in maniera intrinseca.

Tutto questo incorniciato in un contesto in cui anche le aziende che comprendono l’importanza della cybersecurity e investono in tecnologie di sicurezza non hanno le adeguate risorse, in termini di competenze e capitale umano, per gestirle correttamente, per analizzare e interpretare costantemente gli eventi rilevati dalle diverse soluzioni di sicurezza e per contenere e bloccare con rapidità le eventuali intrusioni.

Per rispondere a questo scenario estremamente complesso sono necessari player che sappiano rispondere a nuovi bisogni attraverso conoscenze avanzate e profonde in ambito cybersecurity, in grado di portare a imprenditori, CEO e, più in generale, ai responsabili delle strategie aziendali, strumenti e competenze, sia per gestire la migrazione al cloud, abilitando lo sviluppo di nuovi modelli di business, sia per realizzare una corretta strategia di protezione degli asset IT aziendali, trasformando la cybersecurity da problema tecnologico e organizzativo a fattore abilitante del business. Il tutto con un approccio olistico.

cloud

La segmentazione delle reti una possibile contromisura

È chiaro che non si può parlare di un’unica soluzione per far fronte ai rischi generati dal cybercrime. È altrettanto evidente, però, che se gli attacchi sono sempre più sofisticati, è indispensabile evolvere verso misure di difesa più avanzate, partendo dalla rivisitazione dell’infrastruttura di sicurezza perimetrale, che dovrà interrompere il collegamento tra le mille corsie dell’”autostrada azienda” affinché il danno non possa facilmente dilagare.

Tipicamente, nelle aziende si trovano delle architetture di rete orizzontali protette da firewall ormai considerati commodities: sistemi che controllano il traffico facendo passare quello abilitato e bloccando quello non consentito. Il punto, tuttavia, è capire il criterio di valutazione e distinzione tra flusso buono e cattivo. Il firewall, se non correttamente posizionato, è come una guardia al di fuori dell’azienda che regola unicamente l’ingresso dal cancello perimetrale, ma non controlla i movimenti all’interno dell’azienda.

Se gli hacker riescono a compromettere un qualsiasi dispositivo dell’azienda (client, server, ecc.) utilizzando, per esempio, i canali di comunicazione sempre aperti come la navigazione e la posta o sfruttando errori di configurazione o vulnerabilità dell’infrastruttura e dei sistemi, riusciranno a realizzare un attacco che con altissima probabilità non potrà essere individuato. Lo stesso può accadere sulle infrastrutture virtuali, quando i clienti inseriscono applicazioni nel cloud e non le mettono in sicurezza, o lo fanno in modo molto generico, senza occuparsi di verificare come in realtà si sviluppa il traffico tra le varie macchine virtuali e come questo traffico deve essere regolato e protetto. Compito che, ricordiamo, non è in capo al cloud provider.

Una prima misura ancora scarsamente adottata è la revisione dell’architettura di rete in ottica di segmentazione. Spesso, anche per semplicità di gestione, le reti aziendali sono ancora caratterizzate da un’architettura “piatta”, con un accesso a Internet e uno sviluppo orizzontale che accoglie tutti i client, i server, le stampanti e le reti WiFi. In questa configurazione non è possibile identificare rapidamente se, ad esempio, un client – l’anello debole – è stato violato e l’attaccante si muove tramite “movimenti laterali” attraverso l’intera rete. In molte altre situazioni, le reti sono segmentate ma solamente a livello di switch, senza che tutto il traffico tra le diverse Virtual Local Area Network (VLAN) venga controllato dal firewall, con la conseguenza che, anche in questo caso, non sono presenti controlli di sicurezza né relativi log in grado di individuare eventuali attacchi o eventi comunque anomali. In una configurazione correttamente segmentata, al contrario, tutti i vari tratti di rete devono passare dai firewall per dialogare l’uno con l’altro.

Questo consente, attraverso la configurazione di corrette policy e controlli di sicurezza (ad esempio, di intrusion prevention, antivirus e antibot) – evitando quindi, per semplicità di gestione, regole generiche quali “any to any” che di fatto riducono sensibilmente l’efficacia del controllo del firewall – di identificare le anomalie e di intraprendere più velocemente le necessarie azioni correttive. Da anni ormai questo modello è considerato una best practice. Tuttavia, la sua adozione è ancora limitata perché da un lato presuppone, da parte dei clienti, la capacità interna di gestire un’infrastruttura più complessa, dall’altro, in caso di malfunzionamenti, può comportare il blocco di tutte le comunicazioni interne tra le diverse sottoreti, determinando un possibile importante disservizio. Ma se è vero che in una configurazione così concepita l’eventuale fermo del firewall può causare il blocco totale del traffico, è però anche vero che tale architettura rappresenta una soluzione estremamente efficace per identificare più velocemente un attacco, limitarne gli effetti e procedere al suo contenimento e blocco, evitando quindi la propagazione dell’attività intrusiva e l’accesso ai dati sensibili dell’azienda.

Anche se molte aziende non hanno le risorse necessarie per formare i propri collaboratori adeguatamente, affinché restino aggiornati sulle nuove tecnologie e problematiche di cybersecurity, la soluzione la offre il mercato con realtà specializzate di altissimo livello che erogano specifici servizi gestiti in grado di ottimizzare le architetture e le soluzioni tecnologiche per ottenere elevati livelli di sicurezza.

EDR E SOC: per i massimi livelli di sicurezza e gestione degli attacchi

Alla segmentazione delle reti è necessario affiancare adeguate soluzioni tecnologiche per potenziare la protezione degli “end-point” (client, server e mobile). Si tratta di soluzioni software di protezione di nuova generazione definite End-Point Detect & Response (EDR), basate su AI e che funzionano con principi di machine learning e behavioral analysis, che, attraverso l’analisi di tutti i processi eseguiti sui sistemi aziendali e il blocco di quelli considerati malevoli, permettono di ottenere elevati livelli di protezione dal punto di vista della cybersecurity. Mettendo in relazione una mole gigantesca di dati acquisiti da milioni di device, queste soluzioni consentono di evidenziare correlazioni utili all’identificazione di atti malevoli su server e postazioni utente che rappresentano i potenziali e principali target di un attacco informatico.

Il combinato disposto di queste due misure architetturali e tecnologiche, segmentazione delle reti e installazione di sistemi EDR, rappresenta ad oggi uno degli approcci più efficaci per la difesa delle aziende. Per contro, oltre a un adeguato supporto sistemistico necessario per la corretta e continua gestione e manutenzione di queste tecnologie di sicurezza, garantito solo attraverso un servizio gestito, va considerato che l’elevata quantità di dati e informazioni generata da questi sistemi richiederà anche una loro analisi approfondita con il supporto di servizi di Security Operation Center (SOC), strutture governate da tecnici analisti che, da un lato, conoscono molto bene le tecniche di attacco e, dall’altro, sanno come dare esecuzione alle metodologie di incident response. Il tutto unito alla possibilità di costruire un servizio sartoriale per il cliente, grazie alla realizzazione di attività di Penetration Test e Vulnerability Assessment, in grado di verificare il livello di efficacia delle architetture e delle misure di sicurezza implementate dall’azienda.

Il SOC, quindi, rappresenta la corretta soluzione con cui le aziende possono trovare il proprio esercito in grado di intercettare le sempre nuove metodologie di attacco e mettere a punto l’evoluzione delle strategie di difesa in un ciclo che è necessario interpretare come “infinito”.

È solo con questa consapevolezza, semplice e ineluttabile, e con la scelta di un fornitore specializzato nella gestione della sicurezza, che sappia lavorare al fianco del top management, che qualsiasi tipologia di azienda, di qualunque dimensione, riuscirà a organizzarsi per contrastare adeguatamente la continua evoluzione delle minacce del cybercrime.

Valuta la qualità di questo articolo

Bruno Giacometti
Bruno Giacometti
Virtual Chief Information Security Officer di Deda Cloud

Articoli correlati

Articolo 1 di 4