I fondamentali della cloud security – quali sono e come implementarli?
Negli ultimi anni il cloud ha preso sempre più piede, perché un numero crescente di organizzazioni sta abbracciando la trasformazione digitale nel tentativo di diventare più agile.
La pandemia ha accelerato la tendenza, poiché le organizzazioni hanno adottato in massa gli strumenti di collaborazione nel cloud durante il lockdown. Tuttavia, se il cloud diventa sempre più critico, lo è anche la necessità di un'efficace sicurezza del cloud.
Il mondo del cloud iperconnesso non apre solo opportunità per le aziende, ma anche per i criminali informatici e altri attaccanti. Ci sono molti più punti di accesso potenziali ai sistemi e ricompense potenzialmente redditizie per coloro che riescono a violarli. Di conseguenza, il numero e la frequenza delle violazioni dei dati sono aumentati in modo esponenziale.
Rilevare e bloccare le violazioni
Se non puoi vederlo, non puoi fermarlo. WithSecure Elements Endpoint Detection and Response sfrutta le più sofisticate tecnologie di analisi e apprendimento automatico per proteggere le organizzazioni da minacce informatiche e violazioni avanzate.
Cos'è la cloud security?
Con sicurezza del cloud ci si riferisce alla protezione di infrastrutture cloud come Amazon Web Services (AWS) o Azure, nonché dei dati archiviati in una pletora di applicazioni cloud come Microsoft 365, Salesforce e Slack.
Tuttavia, in molte organizzazioni la gestione della postura di sicurezza non si è evoluta in linea con l'uso del cloud. Devono comprendere le proprie responsabilità per la protezione dei dati nel cloud.
Le identità devono essere gestite in modo molto più sicuro. I dispositivi devono essere costantemente monitorati per individuare eventuali segni di intrusione. È necessaria una maggiore automazione per garantire che i diversi sistemi cloud utilizzati siano configurati e monitorati correttamente, siano essi cloud pubblici, cloud privati, cloud ibridi, piattaforme di produttività e applicazioni cloud o applicazioni cloud indipendenti.
Ma la cosa più importante è che le aziende devono passare dalla presunzione di essere protette all'accettazione della possibilità di subire una violazione in qualche momento, il che significa aumentare le difese tradizionali con capacità di detection and response efficaci.
Ecco 10 elementi essenziali per una sicurezza cloud efficace:
1. Comprendere la responsabilità condivisa
Molte organizzazioni si espongono ad attacchi perché non comprendono il modello di responsabilità condivisa della sicurezza del cloud che hanno sottoscritto. In genere, i fornitori di infrastrutture e applicazioni cloud garantiscono la sicurezza della piattaforma stessa e vari aspetti della sicurezza dei sistemi e delle applicazioni. Tuttavia, è vostra responsabilità controllare l'accesso e proteggere i dati, i file e i link condivisi sulla piattaforma, sia da parte del vostro personale, sia da parte di partner e clienti esterni, sia da parte di malintenzionati mascherati da utenti legittimi. Il malware sulle piattaforme cloud come Salesforce o Microsoft365 può aggirare la sicurezza interna, mandare in tilt i sistemi, rubare dati sensibili e mettervi a rischio di multe e azioni penali in caso di violazione delle normative sulla conformità dei dati. È quindi fondamentale implementare strumenti appropriati per analizzare tutti i contenuti cloud alla ricerca di potenziali pericoli prima che gli utenti aprano i contenuti infetti.
2. Gestione del rischio e conformità
A seconda dei settori e delle giurisdizioni in cui operate, potreste dover rispettare una serie di norme e regolamenti per proteggere i dati e/o i sistemi. In caso di violazione, se i vostri controlli vengono giudicati insufficienti, potreste incorrere in multe, azioni penali, esclusione dai mercati e conseguenze potenzialmente catastrofiche per la vostra reputazione. Il cloud apre molte nuove vie di attacco e dovete essere certi che i vostri controlli di sicurezza siano efficaci. La gestione del rischio e la conformità sono argomenti ampi e complessi, ma una buona base di partenza è assicurarsi di conoscere le proprie responsabilità e implementare strumenti automatizzati per garantire che tutte le politiche vengano rispettate in ogni momento.
3. Configurazione dei controlli di sicurezza del cloud
È essenziale garantire che tutti i sistemi cloud siano sempre configurati in modo sicuro. Tuttavia, in particolare per le grandi organizzazioni con molti carichi di lavoro in esecuzione su più cloud in diverse aree aziendali, la gestione delle configurazioni al livello richiesto è al di là delle risorse interne della maggior parte delle organizzazioni. È fondamentale monitorare e aggiornare continuamente tutte le configurazioni del cloud per riflettere la postura di sicurezza attuale e l'evoluzione dei carichi di lavoro. Parte della soluzione consiste nell'implementare strumenti di gestione della postura di sicurezza del cloud (CSPM), in grado di affrontare la crescita esponenziale della complessità e della scala dei moderni carichi di lavoro del cloud per garantire che i workload dinamici, on-premise, containerizzati e serverless siano tutti configurati in modo sicuro, in modo da non lasciare inavvertitamente porte aperte agli attaccanti.
4. Rinforzo delle policy di utilizzo e condivisione dei dati
In un contesto di rapida crescita dell'utilizzo del cloud per il lavoro e la collaborazione da remoto, le organizzazioni si trovano ad affrontare un rischio significativamente maggiore di utilizzo o condivisione di dati riservati o sensibili in modo inappropriato, sia in modo doloso sia involontario. Sebbene sia importante che gli utenti comprendano le vostre politiche, non potete contare sul fatto che tutti si comportino in modo sicuro il 100% delle volte. Per applicare efficacemente le policy di utilizzo e condivisione dei dati senza far ricadere l'intera responsabilità sugli utenti, è necessario innanzitutto classificare i dati in modo da sapere di cosa si tratta, chi può accedervi e per quali scopi. È quindi possibile implementare strumenti per monitorare quando, come, dove e chi accede a determinati dati, in modo da poter bloccare automaticamente, o essere avvisati, di qualsiasi violazione delle policy.
5. Identity and Access Management efficace con Zero Trust
Un'efficace gestione delle identità e degli accessi (IAM) è fondamentale per garantire che le persone e i dispositivi che accedono ai vostri sistemi siano chi o cosa dichiarano di essere. Gli attacchi basati sull'identità sono citati da Forrester come una delle tipologie più comuni. Affidarsi a una semplice combinazione di nome utente e password non è più sufficiente: l'IAM deve supportare l'autenticazione a più fattori.
Le robuste funzionalità IAM aiutano le organizzazioni ad abbandonare l'approccio tradizionale che consiste nel fidarsi di tutti gli utenti all'interno della propria rete, che è facile da abusare per gli attaccanti. Il nuovo approccio dovrebbe basarsi sulla "zero trust", sostituendo la fiducia implicita con una "fiducia adattiva" e introducendo misure di sicurezza adatte alle moderne minacce e ai moderni ambienti di lavoro. Con un approccio zero trust, le organizzazioni possono sfruttare le moderne funzionalità IAM e consentire alla loro forza lavoro ibrida di accedere in modo sicuro ai sistemi ovunque, in qualsiasi momento e su qualsiasi dispositivo.
L’Identity and Access Management deve anche acquisire e registrare le informazioni di login, gestire le identità, gestire i privilegi di accesso e limitare l'accesso non autorizzato a dati e applicazioni in base a ruoli specifici. In modo ottimale, queste informazioni dovrebbero essere condivise con le soluzioni di detection and response per un rilevamento completo delle minacce avanzate che utilizzi l'analisi comportamentale e l'intelligenza artificiale per avvisare i team di sicurezza IT delle attività anomale. In questo modo, anche se i controlli di autenticazione vengono sovvertiti, è possibile individuare ed espellere rapidamente gli attaccanti prima che causino danni.
6. Proteggere gli endpoint
Proteggere i cloud significa anche proteggere i dispositivi utilizzati per accedervi. La compromissione di una workstation, di un dispositivo mobile o di un server è il primo passo più comune di ogni attacco. Per bloccare automaticamente la maggior parte delle minacce, è necessario implementare una piattaforma di Endpoint Protection (EPP). L'EPP è un po' come una soluzione antivirus avanzata che blocca sia le minacce note sia tutto ciò che mostra segni di comportamento sospetto, bloccando persino il ransomware prima che causi danni. Tuttavia, gli EPP non sono in grado di catturare tutto, quindi è necessario implementare anche l’endpoint detection response (EDR). Assicuratevi di scegliere una soluzione EDR che sia cloud-native e progettata per integrarsi con le applicazioni e le identità nel cloud, detta anche soluzione di rilevamento e risposta estesa (XDR). In futuro, si prevede una maggiore correlazione con i registri del pannello di controllo del cloud e una maggiore capacità di rilevare il furto di credenziali del cloud da un endpoint.
7. Visibilità sulla rete e log del cloud
Gli attaccanti utilizzano metodi sempre più furtivi per infiltrarsi nei sistemi, tra cui attacchi mirati e in più fasi che possono aggirare le misure di sicurezza tradizionali. In un mondo connesso al cloud, non è mai possibile proteggersi completamente dalle violazioni. È quindi necessario essere in grado di individuare ed espellere eventuali intrusi in modo rapido ed efficace prima che, ad esempio, rubino dati preziosi o attivino un ransomware. A tal fine, è necessaria una visibilità ottimale di ciò che accade sulla rete e sui cloud. Questo significa assicurarsi di monitorare costantemente le attività sospette o anomale, idealmente con strumenti di intelligenza artificiale automatizzati che sono stati addestrati da specialisti esperti di sicurezza informatica per garantire che non producano costantemente falsi positivi. Dovreste inoltre implementare una registrazione completa del cloud, che aiuterà sia nel rilevamento sia nel fornire al team di incident response le informazioni forensi necessarie per bloccare un attacco in corso nel modo più efficace.
8. Crittografia dei dati sensibili
Il modo migliore per proteggere i dati sensibili da occhi indiscreti è assicurarsi che siano crittografati in modo sicuro sia a riposo sia in transito. In molti casi, questo è essenziale per mantenere la conformità alle normative sulla protezione dei dati come il GDPR. Il primo passo consiste nel valutare la sensibilità delle informazioni che si stanno archiviando, in modo da conoscere il livello di protezione necessario. Scegliete un fornitore che utilizzi algoritmi di crittografia standard e collaudati e assicuratevi che i sistemi siano aggiornati frequentemente. Dovete anche considerare la funzionalità del sistema per assicurarvi di non ostacolare inutilmente la produttività degli utenti. La crittografia più potente dovrebbe essere riservata ai dati veramente sensibili, come le informazioni personali sul personale e sui clienti, la proprietà intellettuale di valore o il materiale sensibile alla concorrenza.
9. Implementare una soluzione di Threat Detection and Response
Gli attacchi avanzati sono in grado di eludere la maggior parte delle misure preventive, compresi gli scanner automatici di malware, quindi è necessario essere in grado di rilevare ed espellere rapidamente gli attaccanti che riescono a superare le difese di prima linea. A tal fine, è necessaria una capacità di detection and response efficace. L'EDR (Endpoint Detection and Response) monitora continuamente l'attività sui dispositivi e avvisa gli esperti di sicurezza interni o esterni quando individua qualcosa di potenzialmente malevolo. Inoltre, registra le informazioni forensi necessarie per eliminare gli attaccanti prima che facciano danni. Per una protezione ancora più completa, l'Extended Detection and Response (XDR) integra l'EDR con componenti aggiuntivi quali posta elettronica basata sul cloud, come Microsoft 365, e soluzioni di gestione dell'identità e dell'accesso (IAM), come Azure Active Directory (Azure AD). Per una panoramica completa di entrambe le soluzioni, leggete il confronto tra soluzioni XDR e EDR.
10. Abilitare formazione di sensibilizzazione alla cloud security
Sebbene si stia assistendo a un forte aumento di attacchi mirati e accuratamente realizzati che persino gli utenti con buona consapevolezza sulla sicurezza non riescono a individuare, la stragrande maggioranza degli attacchi è ancora in gran parte opportunistica. Si basa sull'ignoranza o sulla disattenzione per invogliare gli utenti a fare clic su link o allegati malevoli nelle email di spam o nei messaggi dei social media, o per indurli a divulgare credenziali di accesso e informazioni sensibili. Un programma di formazione efficace e regolarmente aggiornato sulla protection cloud, progettato specificamente per le applicazioni cloud in uso, è ancora un modo molto efficace per evitare di cadere vittima della maggior parte delle minacce di phishing e di altre minacce comuni alla sicurezza che sfuggono ai livelli di prevenzione e alle difese automatiche. Assicurarsi che gli utenti siano costantemente vigili e sappiano cosa cercare, riduce significativamente il rischio di dover impiegare risorse per costose attività di remediation.
Protezione endpoint unificata su tutti i dispositivi, cloud e server.
WithSecure Elements è una piattaforma basata su cloud che fornisce tutto il necessario, da from vulnerability management e collaboration protection fino a endpoint security e detection and response, gli unici quattro elementi di cui hai bisogno per coprire l'intera catena del valore della sicurezza. Il tutto è chiaramente visibile e facilmente gestibile da un'unica console.