Il 2022 ha dimostrato che il cyber crimine è un’azienda più florida che mai, che continua a investire in nuove tecniche in risposta alle contromisure dei team e dei software di sicurezza e ad aggiornare i metodi e gli strumenti di attacco. Tra i rischi in più rapida crescita, accanto al ransomware, vi sono quelli legati alla rapida diffusione del cloud computing e alla presenza di ambienti ibridi e multi cloud, che richiedono idonee strategie di cybersecurity.
“È essenziale predisporre strumenti innovativi per la difesa dei dati e delle applicazioni critiche che si trovano nel cloud così come dell’infrastruttura sottostante – osserva Paolo Cecchi, Regional Sales Director Italy di SentinelOne -. Nel cloud possono risiedere informazioni sanitarie personali, di identificazione personale o i dati delle nostre carte di credito, che potrebbero essere sottratti per essere rivenduti o per avviare un attacco ransomware. La maggior parte degli attacchi al cloud può essere ricondotto a tre modalità di accesso iniziale, rispetto alle quali è, pertanto, opportuno adottare opportune misure di protezione.”
I tre principali vettori di attacco sul cloud
Il primo tipo di vettore di accesso è rappresentato dagli errori nella configurazione delle risorse e, nello specifico, delle risorse cloud
rese pubblicamente accessibili a Internet. Per esempio, se si utilizza un bucket S3 (contenitore online per gli oggetti archiviati in Amazon S3), un cluster di nodi Elasticsearch o un altro tipo di database cloud e, per errore, lo si configura in modo che sia pubblicamente accessibile da Internet (quando non dovrebbe esserlo), sarà violato in pochi minuti, perché i cyber criminali scansionano continuamente Internet alla ricerca di qualsiasi tipo di risorsa esposta.
Un secondo modo classico in cui le organizzazioni subiscono violazioni nel cloud è la compromissione delle chiavi di accesso per accedere agli account cloud. Accanto alle chiavi di accesso costituite dal binomio username/password vi sono quelle dei sistemi di Identity and Access Management per impostare l’accesso in base al ruolo anziché all’utente.
Il terzo rischio più comune che le organizzazioni devono affrontare nel cloud è rappresentato dalle vulnerabilità delle applicazioni Web messe a disposizione dai cloud provider, che possono essere sfruttate in vari modi. Per esempio, un’azienda potrebbe sfruttare una versione di WordPress che presenta un plug-in corrotto oppure un modulo della sua applicazione che è suscettibile ad attacchi del tipo “SQL injection”.
I rischi degli ambienti ibridi e multi-cloud
Nuovi problemi di sicurezza sono posti anche dalla complessità legata ad ambienti ibridi, in cui il cloud pubblico si coniuga con l’esecuzione di applicazioni on-premise, e multi-cloud dove si utilizzano più fornitori di cloud per i carichi di lavoro host come, per esempio, AWS, Google cloud e Azure.
“Un aspetto interessante dal punto di vista della sicurezza – spiega Cecchi – è sottolineare che gli incidenti informatici possono iniziare in ambiente on-premise e poi spostarsi nel cloud o viceversa. Al momento, direi che la maggior parte delle soluzioni di sicurezza si concentra solo sulla sicurezza del cloud o solo sulla sicurezza on-premise. A causa di questa focalizzazione separata, molte soluzioni non riescono a realizzare il salto tra ambienti on-premise e cloud e questo limita la capacità di comprendere davvero la portata di un attacco o di un incidente. Per garantire una sicurezza efficace è importante ricomporre tutti i “pezzi” in una visione unificata che comprenda sia gli ambienti on-premise sia quelli cloud”.
Un esempio tipico è quello di un utente aziendale che potrebbe, accidentalmente, inserire le proprie credenziali in un sito Web compromesso a seguito di un’e-mail di phishing. L’attaccante potrebbe utilizzare tali credenziali per accedere al suo computer e da lì, utilizzando tecniche di escalation dei privilegi, acquisire credenziali di amministrazione oppure trovare credenziali di amministrazione esistenti sul computer compromesso. Se tali credenziali fossero di amministrazione del cloud l’attaccante potrebbe anche accedere al cloud e crearsi un proprio account utente a cui assegnare le autorizzazioni necessarie per procedere con ulteriori attività malevoli nel cloud.
SentinelOne Singularity
Per fornire una risposta efficace a questo tipo di problemi SentinelOne ha sviluppato Singularity, una piattaforma modulare che fornisce funzionalità di ricerca, rilevamento e risposta alle minacce unendo, all’interno di un unico flusso di lavoro e di un’unica architettura (che include agenti e piattaforme), funzioni e componenti che solitamente di trovano separate in molteplici prodotti quali: funzioni di previsione, prevenzione, rilevamento e risposta per gli endpoint (anche in modalità gestita); controllo dell’IoT; protezione dei carichi di lavoro; firewall; controllo dei dispositivi; blocco, quarantena e isolamento; inventario delle applicazioni; integrazione; visibilità e controllo della rete.
“Rilevare le minacce è solo la prima parte di una strategia di protezione – sottolinea Paolo Cecchi -. Servono efficaci misure per rispondere ed eventualmente ripristinare la situazione alla normalità nel caso di attacchi andati a buon fine, nel minor tempo possibile e minimizzando i danni. Questo è ciò che fa la piattaforma Singularity di SentinelOne, che è stata progettata per il SOC e le operazioni IT, capace di proteggere endpoint, carichi di lavoro, ambienti cloud di ogni tipo e dispositivi IoT con protezione, rilevamento e risposta basati sull’intelligenza artificiale”.
Singularity Cloud è la componente della piattaforma dedicata in modo specifico alla protezione dei carichi di lavoro cloud, capace di combinare ricerca delle minacce con rilevamento e risposta degli endpoint per proteggere anche gli ambienti cloud più complessi. Integra, infatti, funzioni di classe enterprise di rilevamento e risposta in tempo reale per gli endpoint, specificamente progettate per le macchine virtuali AWS, Azure e Google Cloud. Singularity Cloud prevede anche l’implementazione automatica di funzioni per la sicurezza dei container assicurando protezione, rilevamento e risposta per EKS, AKS, GKE e Kubernetes.