Il nuovo report di Unit 42, il threat intelligence team di Palo Alto Networks dimostra come la superficie di attacco del cloud sia più estesa perché dinamica, come il cloud stesso. La crescente condivisione, archiviazione e gestione dei dati nel cloud da parte di organizzazioni di tutto il mondo estende in modo esponenziale la loro superficie di attacco. E poiché questo ampliamento spesso avviene senza i controlli o la protezione necessari, per gli attori delle minacce ogni workload cloud rappresenta un’opportunità. In mancanza di una gestione adeguata, quindi, le organizzazioni sono esposte a innumerevoli rischi.
A differenza dei report precedenti, che si concentravano su una singola minaccia (ad esempio, la gestione dell’accesso alle identità, gli attacchi alla catena di approvvigionamento e la sicurezza dei container), il “Cloud Threat Report, Volume 7: Navigating the Expanding Attack Surface” di Unit 42 esamina un problema più grande ed esteso: gli attori delle minacce che sono diventati abili nello sfruttare problemi comuni e quotidiani nel cloud, tra cui configurazioni errate, credenziali deboli, mancanza di autenticazione, vulnerabilità non patchate e pacchetti software open source dannosi.
Il report include un’analisi di due distinti casi reali, anonimizzati, di risposta a incidenti di violazione del cloud osservati nel 2022, in cui Unit 42 illustra come gli attaccanti abbiano sfruttato i dati sensibili trapelati sul dark web e l’interruzione dell’attività causata dal ransomware.
Superficie di attacco del cloud: alcuni dati e raccomandazioni di Unit 42
- In media, i team di sicurezza impiegano 145 ore (circa sei giorni) per risolvere un alert, mentre al 60% delle organizzazioni servono più di quattro giorni.
- Nella maggior parte degli ambienti cloud aziendali, l’80% degli avvisi viene attivato solo dal 5% delle regole di sicurezza.
- Il 63% delle basi di codice in produzione presenta vulnerabilità non risolte classificate come elevate o critiche (CVSS >= 7.0).
- Il 76% delle organizzazioni non applica l’MFA agli utenti di console, mentre il 58% non la applica a quelli root/admin.
Errori comuni nel cloud
Utilizzando dati su larga scala raccolti nel 2022, il report esamina violazioni reali che hanno colpito aziende di medie e grandi dimensioni a causa dell’espansione della superficie di attacco del cloud, dettagliando i problemi osservati in migliaia di ambienti multicloud e l’impatto delle vulnerabilità OSS sul cloud. In particolare, Unit 42 ha analizzato i workload di 210.000 account cloud di 1.300 organizzazioni diverse. Poiché molte dispongono di più implementazioni cloud, le falle di sicurezza sono oggetto di maggiore attenzione da parte degli attori delle minacce.
Gli errori degli utenti, come le configurazioni non sicure, sono ancora la preoccupazione principale, ma i ricercatori di Unit 42 hanno osservato anche problemi derivanti da modelli pronti all’uso e da configurazioni predefinite fornite dai cloud service provider. Queste impostazioni e funzionalità sono comode e rendono l’adozione di nuove tecnologie più semplice, ma non mettono gli utenti al sicuro. Dati sensibili sono stati rilevati nel 63% dei bucket di archiviazione esposti pubblicamente.
Impatto e rischi del software open source nel cloud
Il software open source è stato una delle forze trainanti della rivoluzione cloud. Tuttavia, l’aumento del suo utilizzo ne incrementa anche la complessità e la probabilità che vi siano software trascurati o abbandonato, contenuti pericolosi e cicli di patch più lenti, imponendo agli utenti di esaminarli prima di integrarli nelle applicazioni. Questo compito è particolarmente impegnativo quando le organizzazioni devono gestire decine di progetti che dipendono tutti potenzialmente da migliaia di software open source.
Numero di vulnerabilità nei progetti CNCF suddivisi per linguaggio.
Superficie di attacco del cloud: alcune raccomandazioni per non facilitare le attività degli attaccanti
Le aziende devono aspettarsi che la superficie di attacco del cloud continui a crescere, poiché gli attori delle minacce trovano modi sempre più creativi per colpire la configurazione errata di infrastrutture cloud, API e della stessa catena di fornitura del software.
Per difendersi da queste minacce, il report include utili indicazioni pratiche, tra cui la necessità di prevedere un processo di backup automatico per qualsiasi workload in cloud che potrebbe interrompere le operazioni aziendali in caso di guasto. I backup devono essere archiviati in luoghi protetti e isolati dall’ambiente di produzione, in diverse località geografiche, per evitare un singolo punto di guasto. Tutte le organizzazioni dovrebbero avere piani di business continuity e disaster recovery (BC/DR) che includano il processo di ripristino dei backup.
Inoltre, si prevede che il settore vivrà uno spostamento da soluzioni di sicurezza puntuali verso piattaforme di protezione delle applicazioni cloud-native (CNAPP) che offrono uno spettro completo di funzionalità per tutto il ciclo di vita delle applicazioni. Gartner conferma questa tendenza, avendo già segnalato un aumento del 70% delle richieste dei clienti relative a CNAPP nel periodo 2021-2022.
L’unico modo per difendersi dall’evoluzione della portata e della gravità delle attuali minacce alla sicurezza è essere sempre un passo avanti rispetto ai cybercriminali che le perpetrano.
