Vi è mai capitato di scrivere un’e-mail al vostro capo per poi scoprire di averla inviata con molteplici errori di battitura, di non aver rispettato un’importante scadenza o di aver cliccato frettolosamente su un’e-mail di phishing? Succede. Infatti, si dice che “le persone perfette non sono reali e le persone reali non sono perfette”. Nonostante i nostri sforzi, tutti commettiamo degli errori.
Il Verizon Data Breach Investigations Report (DBIR) del 2022 ha rilevato come l’82% di tutte le violazioni coinvolga l’elemento umano e il 13% derivi direttamente da errori umani, in particolare configurazioni sbagliate dei servizi cloud. Proteggere gli ambienti cloud diventa fondamentale per non perdere il controllo delle proprio patrimonio.
Oops, l’ho configurato male… di nuovo
Gli autori del DBIR di Verizon scrivono: “L’aumento degli errori di configurazione è iniziato nel 2018 ed è stato in gran parte provocato da implementazioni di data store nel cloud prive di controlli di accesso appropriati. Nonostante gli sforzi dei principali fornitori di cloud per rendere le configurazioni predefinite più sicure, questi errori persistono”.
Le configurazioni errate dei servizi cloud perdurano per due importanti motivi: in primo luogo, perché le persone commettono errori, in secondo luogo, perché la scala degli ambienti cloud aziendali dà luogo a una proliferazione di identità umane e non-umane. Ognuna di queste identità digitali, dagli amministratori del cloud ai ruoli utilizzati per le funzioni serverless, può essere configurata con decine di migliaia di autorizzazioni per l’accesso a servizi, dati e altre risorse del cloud. In base ai dati di CyberArk Cloud Entitlements Manager, attualmente tra AWS, Azure e GCP esistono più di 28.000 autorizzazioni per la gestione dell’identità e dell’accesso (IAM).
La maggior parte dei team cloud non è in grado di proteggere gli ambienti cloud perché non riesce a gestire in modo appropriato queste autorizzazioni. Il 70% dei responsabili IT afferma che la carenza di competenze in questo settore è una “preoccupazione critica”. Anche con l’aiuto della tecnologia può essere difficile adottare strumenti isolati per monitorare costantemente chi ha accesso a cosa. Le identità interconnesse da gestire sono semplicemente troppe.
Overprovisioning di permessi nel cloud: una soluzione rapida ma rischiosa
L’overprovisioning dei permessi IAM del cloud, ovvero l’assegnazione alle identità di più privilegi di quelli necessari, diventa spesso la soluzione predefinita. È molto più semplice che cercare di identificare i permessi di accesso con il minor numero di privilegi per ogni identità. Inoltre, concedere un ampio accesso agli sviluppatori e ai team di ingegneri del cloud aiuta a prevenire i blocchi della produttività, limitando al contempo i ticket IT.
Ma i potenziali aggressori possono sfruttare questi privilegi inutilizzati o non necessari. Una volta compromessa un’identità cloud, possono fare leva su autorizzazioni eccessive per muoversi lateralmente nell’ambiente o aumentare i privilegi per raggiungere il loro obiettivo. Ma possono fare danni altrettanto gravi compromettendo o creando account cloud admin con enormi privilegi al di fuori del programma PAM esistente.
Non lasciate che questi cinque ostacoli vi impediscano di prendere il controllo del vostro patrimonio cloud
Con l’adozione del cloud che continuerà a crescere, le autorizzazioni eccessive andranno ad accumularsi, contribuendo al debito di cybersecurity e al rischio organizzativo. Proteggere gli ambienti cloud, quindi, diventa complicato. Al fine di ridurre questi rischi sta emergendo una nuova categoria di soluzioni per la sicurezza dei privilegi cloud, tra cui le tecnologie di gestione dei diritti dell’infrastruttura cloud (CIEM) che sfruttano l’intelligenza artificiale (AI) per eliminare i permessi non configurati e non utilizzati. Ecco cinque ostacoli che le organizzazioni devono superare per riprendere il controllo:
- Mancanza di visibilità. Le organizzazioni non possono proteggere ciò che non vedono. La sicurezza delle identità diventa più importante – e più difficile – con l’aumentare della complessità di un ambiente cloud. Per proteggere gli ambienti cloud i team di sicurezza devono essere in grado di scoprire e mappare tutte le identità, sia umane che non, e le risorse a cui tali identità possono accedere. I controlli intelligenti dei privilegi, come il monitoraggio dei registri delle attività, possono essere utili per comprendere meglio come vengono utilizzate le autorizzazioni. Tuttavia, negli ambienti multi-cloud, questa visibilità non è scalabile se limitata a ogni singolo cloud provider. Deve estendersi all’intero perimetro cloud aziendale.
- Mancanza di granularità. Qualsiasi identità può diventare privilegiata in determinate condizioni. La capacità di monitorare e identificare le autorizzazioni inutilizzate o le configurazioni errate che potrebbero portare ad account eccessivamente privilegiati e alla creazione di “amministratori ombra”, è fondamentale per far rispettare il principio del minimo privilegio. Non bisogna dare per scontato che gli strumenti di gestione dell’identità e dell’accesso (IAM) cloud possano coprire su questo fronte, perché in genere non hanno le capacità per essere granulari.
- Mancanza di controllo. La standardizzazione è la chiave per la sicurezza delle identità su ampia scala, ma gli ambienti cloud sono complessi e dinamici, con strumenti e regole IAM che rimangono distinte tra AWS, Azure e GCP. Questo crea un’esperienza utente incoerente, che può rallentare i team di sicurezza e incidere sull’efficienza operativa. Inoltre, incoraggia un approccio ad hoc alla sicurezza che può portare a team isolati e a conoscenze specialistiche di piattaforme specifiche. Ciò rende più difficile applicare in modo coerente il criterio di minimo privilegio.
- Mancanza di rimedio. L’identificazione delle identità con privilegi eccessivi è solo una parte della sfida. I team di sicurezza hanno anche bisogno di rimedi implementabili per mitigare rapidamente i rischi e proteggere gli ambienti cloud senza interrompere le operazioni. Sebbene gli strumenti IAM nativi siano in grado di identificare alcune minacce, non dispongono di raccomandazioni granulari sulle policy IAM a livello di codice necessarie per correggere immediatamente il problema. Questi strumenti non sono inoltre in grado di integrare automaticamente gli account di amministratore del cloud o di amministratore ombra nella soluzione di gestione degli accessi privilegiati dell’organizzazione.
- Mancanza di una più ampia mitigazione del rischio. Un’altra considerazione importante è circa l’adeguata protezione di tutte le identità cloud fin dal momento della loro creazione, poiché le identità digitali vengono spesso create rapidamente e frequentemente senza tenere conto delle best practice di Identity Security. Altrettanto importante è l’integrazione del CIEM con i programmi di Identity Security esistenti per controllare in modo coerente credenziali e accessi. Questa coerenza è fondamentale per ottenere una riduzione misurabile del rischio informatico.
I singoli metodi manuali per la protezione delle identità digitali diventeranno ancora meno maneggevoli a seguito della crescente adozione del cloud e dell’aumento del numero di identità digitali. Non serve aspettare che l’errore umano diventi “umanamente impossibile da risolvere”. Per proteggere gli ambienti cloud è necessario adottare un approccio centralizzato che sfrutti l’intelligenza artificiale e l’automazione per limitare gli errori di configurazione ed evitare autorizzazioni eccessive per ridurre il rischio.
di Massimo Carlotti, Solution Engineer Team Leader di CyberArk Italia
