Cloud: per la sicurezza nubi nere all'orizzonte

Come abbiamo sottolinato più volte quando ci siamo trovati a parlare di questi temi, è bene ricordare che la sicurezza non è un prodotto ma un processo: non è pensabile risolvere il problema con l'adozione o sottoscrizione di un semplice servizio, ma bisogna affrontare la situazione orchestrando una strategia complessa e coordinata che abbia l'obiettivo di ridurre al minimo la possibilità che si verifichi un incidente di sicurezza. Oltre alle ovvie misure che dovrebbero essere adottate in tutti i campi, la strategia deve comprendere, com'è lecito immaginare, misure attive di contrasto e misure di prevenzione.

Partiamo da queste ultime, più semplici da comprendere ma non per questo altrettanto semplici da applicare. Il primo passo da compiere nel momento in cui si allestisce un ambiente cloud è quello di chiarire in maniera inequivocabile in che modo siano ripartite le responsabilità tra fornitore del servizio e cliente/utilizzatore. Le varie tipologie di servizi cloud, infatti, implicano differenti ripartizioni delle responsabilità: in un contesto IaaS (Infrastructure-as-a-Service), ad esempio, la protezione delle credenziali, l'aggiornamento dei sistemi operativi e la protezione delle comunicazioni tra le macchine virtuali sono compiti riservati al cliente/utilizzatore. Mentre, al contrario, in un contesto PaaS o SaaS, l'aggiornamento dell'ambiente operativo è a carico del fornitore. Non sono infrequenti, infatti, quelle situazioni in cui il cliente/utilizzatore del servizio non conosce con chiarezza come siano ripartite le responsabilità di questi compiti, così da creare una situazione in cui le misure di prevenzione anche basilari vengono trascurate perché si sottointende erroneamente che se ne debba occupare il fornitore del servizio.

Il secondo passo è quello di definire un'adeguata politica di gestione dei profili di amministrazione e dei rispettivi privilegi. In questo caso valgono le raccomandazioni dettate dal buon senso e tratte dalle normali best practice di sicurezza. Ogni amministratore dovrebbe anzitutto fare uso di forme di strong authentication e possibilmente di autenticazione a più fattori, utilizzare postazioni specifiche ed evitare di eseguire attività di amministrazione tramite sistemi non sicuri e seguire il buon vecchio principio del privilegio minimo (risale agli anni '70!), cioè disporre solamente delle risorse e delle informazioni minime indispensabili per svolgere ciò che legittimamente è chiamato a fare.

Un'altra azione molto importante, ma spesso sottovalutata o a cui non viene dedicata la giusta attenzione, è la formazione e l'aggiornamento degli utenti/dipendenti che si trovano ad operare con gli strumenti cloud. In questo caso la formazione e l'aggiornamento sulle minacce alla sicurezza e sui comportamenti più idonei da osservare per ridurre il livello di rischio dovrebbe essere rivolta a tutti, amministratori e utenti finali. Come siamo soliti sottolineare: un utente consapevole è un utente meno vulnerabile.

Sul fronte delle azioni di contrasto attivo sono molte le strade che è possibile percorrere. Si parte dai normali meccanismi di rilevazione, basati sull'analisi di pattern noti per essere dannosi, che rappresentano la metodologia più semplice ed economica che offre anche un minor numero di falsi positivi. Il rovescio della medaglia è che questo genere di contromisure sono facilmente eludibili da una tecnica di attacco sofisticata. La condivisione delle informazioni sugli attacchi e sulle minacce rappresenta però un elemento in più che aggiunge efficacia alla rilevazione di potenziali problemi.

Best practice, aggiornamento ed esperienza: elementi fondamentali per un efficace approccio di prevenzione e contrasto

Due misure tra le più sofisticate e simili tra loro sono l'analisi comportamentale e la rilevazione di anomalie. La prima delle due si basa sul principio molto semplice che è opportuno andare ad approfondire tutto ciò che accade in un momento o in un contesto in cui non dovrebbe accadere al fine di scoprire eventuali minacce. L'esecuzione di un processo insolito o in un ambiente insolito non rappresenta una minaccia di per sé, ma un campanello d'allarme che è bene non ignorare. La rilevazione di anomalie si basa invece sulla modellizzazione di un comportamento/elemento di una macchina virtuale. Una deviazione statisticamente significativa rappresenta un campanello d'allarme. Un esempio? Un attacco brute force alle credenziali di un account: quando ciò accade si verifica un elevatissimo numero di tentativi, in un breve arco di tempo, per "indovinare" la corretta combinazione user-password e rappresenta un evento che si allontana dalle condizioni di "normalità" ed è quindi meritevole di approfondimento.

La complementarietà è un principio importante anche per le misure di contrasto attivo e monitoraggio: tra falsi positivi e tentativi di depistaggio un singolo campanello d'allarme, pur confermato, potrebbe essere fuorviante o non rappresentare una reale minaccia. Tenendo presente ciò, una pratica efficace è quella di cercare una correlazione tra i vari allarmi ed eventi e gli anelli della Cyber Kill Chain: qualora infatti si riuscisse a collegare i vari campanelli d'allarme a ciascuna fase della catena, si avrebbe la riprova dell'effettivo accadimento di un incidente di sicurezza.

Se da un lato è vero che il paradigma del cloud offre agli attaccanti nuove opportunità da sfruttare per portare l'attacco a sistemi informativi, opportunità che non erano precedentemente presenti negli ambienti on-premise, dall'altro è sempre bene tenere presente che i principi di base su cui si costruiscono gli attacchi si basano sui ben noti meccanismi figli della sottile manipolazione psicologica propria dell'ingengeria sociale: le best practice di sicurezza, il costante e continuo aggiornamento (sia tecnologico, sia di conoscenze e competenze), il miglioramento delle procedure sulla base dell'esperienza (maturata anche in ambiente on-premise) sono tutti elementi che concorrono efficacemente alla costruzione di un approccio solido alla prevenzione e contrasto delle minacce alla sicurezza delle informazioni in ambiente cloud.