Garantire la sicurezza nel cloud o nel cloud ibrido è un compito che spetta al security team. CyberArk aiuta le aziende a verificarne la reattività
Con il crescente ricorso ai servizi cloud pubblici, come AWS, Azure e simili, a servizi infrastrutturali (IaaS) e di piattaforma IT (PaaS), le aziende si trovano ad affrontare due problemi: chi ne è responsabile e come garantirne la preparazione.
Sebbene i provider pubblici come la citata Amazon o Google enfatizzino tatticamente che il loro uso, per quanto concerne la sicurezza dei carichi di lavoro, deve intendersi a responsabilità condivisa, gli utilizzatori tendono a considerare l’aspetto sicurezza come di competenza del fornitore del servizio.
E’ indubbio, osserva CyberArk, ai primissimi posti in una classifica mondiale di 500 fornitori di soluzioni di sicurezza e specializzata nella protezione degli account privilegiati su end-point e nel cloud, che le organizzazioni che fanno conto esclusivamente sulla sicurezza garantita dai cloud provider espongono la propria azienda a concreti rischi, e fatti recenti lo hanno dimostrato ampiamente.
L’asserzione è particolarmente vera per quanto concerne la riservatezza delle credenziali, che in ambienti cloud tendono a proliferare. Create automaticamente ed utilizzate per fornire, configurare e gestire migliaia di macchine e di micro servizi, se compromesse offrono ad un attaccante un accesso laterale a rete, dati e applicazioni e la successiva possibilità di accedere ad asset aziendali ancor più critici.
Espandere la propria infrastruttura IT nel cloud o nel multi cloud è quindi un approccio che, seppur pagante in termini di riduzione di Capex e Opex, va realizzato con estrema attenzione.
Cloud al sicuro con CyberArk Red Team
Il Cloud ha apportato al problema sicurezza nuove sfide. Con il cloud, la superficie per un attacco si è fatta notevolmente più ampia e complessa e interessa numerosi aspetti sistemistici e organizzativi quali gli ambienti ibridi, DevOps, SaaS e applicazione Web, solo per citarne alcuni.
Quello che in un tale scenario fa la differenza dal punto di vista di un’azienda è la capacità del suo team di sicurezza di individuare rapidamente la superficie disponibile per un attaccante e l’abilità nel bloccarlo.
Per aiutare le aziende nel passaggio al cloud, mantenendo un efficace controllo dell’infrastruttura e dei servizi IT, ovunque questi siano allocati, CyberArk ha sviluppato “Red Team Cloud Security Services”, un insieme di servizi che permettono alle aziende di verificare la propria posizione in termini di sicurezza e valutare se e come l’organizzazione è in grado di difendersi quando l’IT o una sua parte viene spostata nel cloud pubblico.
I servizi Red Team sono stati ideati per fornire ai team dediti alla sicurezza un modo sicuro per verificare la propria abilità nel difendere efficacemente e in profondità l’ambiente cloud aziendale, comunque esteso, da attacchi cibernetici.
Le verifiche si basano su simulazioni di attacchi che includono molteplici tattiche, tecniche e procedure (TTP) che sono state sviluppate da CyberArk specificatamente per ambienti cloud pubblici e ibridi.
I TTP si basano su quanto avviene nel corso di un attacco reale e l’obiettivo è quello di individuare le vulnerabilità insite nell’infrastruttura cloud complessiva di un’azienda, verificare la qualità delle procedure di sicurezza e individuare le aree dove questa deve essere migliorata.
L’approccio adottato dai servizi Red Team, che effettuano i test senza impattare sull’ambiente controllato, simula in sostanza il comportamento di un potenziale attaccante reale e mette alla prova la capacità del team di sicurezza nel rispondere ad attacchi avanzati.
Attacchi al cloud conosciuti e sconosciuti
Una volta definiti gli obiettivi da perseguire, l’azienda può optare per la verifica della capacità di individuare attacchi conosciuti o sconosciuti:
- Attacchi conosciuti: in questo scenario è verificata la capacità di individuare minacce già comprese in uno specifico modello di attacco.
- Attacchi sconosciuti: è uno scenario in cui il Red Team sviluppa strumenti personalizzati che vengono ideati con lo scopo di penetrare le difese dell’ambiente on-premise o cloud sotto test, di muoversi trasversalmente all’interno della sua rete e di esfiltrare dati sensibili. E’ un servizio ideato da CyberArk per verificare la capacità effettiva di individuare e rispondere ad attacchi avanzati senza introdurre rischi per il business.
Per valutare la qualità delle risposte agli attacchi, nel corso delle attività di test realizzate il Red Team mette in atto tecniche di evasione nei confronti degli strumenti di sicurezza di cui è dotato il cliente e per rimanere nascosto il più a lungo possibile all’interno della sua rete.
Con il proseguire dell’attività di test gli attacchi si fanno progressivamente più complessi e sono portati sempre più in profondità in modo da verificare e misurare quali tipi di attacchi il team di sicurezza è in grado di individuare e quali non è in grado di rilevare, in modo da quantificare la postura corrente in termini di sicurezza dell’organizzazione.
I benefici del servizio
Tra i benefici che il servizio permette di ottenere, osserva CyberArk, oltre ad evidenziare cosa è opportuno fare per migliorare la sicurezza, vi è la comprensione di quanto risulti facile o difficile per un attaccante esterno o interno l’entrare in possesso di dati sensibili e di valore come ad esempio credenziali privilegiate, rilevare le debolezze delle difese, valutare l’impatto sul business di vulnerabilità sconosciute e definire la priorità degli interventi da apportare.
Nessuna organizzazione è completamente a prova di attacco. Tuttavia, evidenzia CyberArk, simulando attacchi e facendone esperienza i team operativi possono migliorare la propria capacità di risposta e diventare più efficaci nella caccia alle minacce e nel rilevare vulnerabilità.