News

Proteggere il cloud: attenzione ai privilegi degli sviluppatori

Proteggere il cloud è prioritario ed è una questione da affrontare fin da subito (qui il report su come funziona il furto di indentità nel cloud). Già in fase di progettazione di un nuovo ambiente cloud, pubblico, privato, ibrido o multicloud che sia, la componente di sicurezza è un elemento distintivo nell’offerta dei cloud provider. Quanto sono protetti i miei dati? Cosa si può fare per dormire sonni tranquilli?

La risposta a quest’ultima domanda rischia di essere “niente”, perché qualsiasi servizio digitale basato su una rete non può definirsi protetto. Di fronte all’affermazione che direbbe qualsiasi esperto di sicurezza, però, non alziamo le mani. Perché qualcosa, e anche di più, si può fare per proteggere il cloud, i dati, le applicazioni e la rete aziendale da un attacco.

La security negli ultimi anni ha compiuto passi da gigante nella protezione dell’IT aziendale. Si è totalmente cambiato l’approccio, passando da quello classico, passivo, a uno attivo, che punta a prevenire e neutralizzare l’attacco prima che sia troppo tardi.

Le tecniche di protezione hanno dovuto evolvere soprattutto perché quelle di attacco sono cambiate. Oggi è ben chiaro quali siano le tipologie di attacco più diffuse, gli obiettivi e anche il veicolo dell’attacco. Ebbene, tutti gli esperti concordano su tre principi di base:

  • Chi attacca mira al profitto (il ransomware è la tecnica più diffusa)
  • L’arma utilizzata può rimanere silente anche per anni
  • L’attacco si perpetua attraverso un accesso autorizzato

Proteggere il cloud dagli insider threat

Nella notte tra il 31 luglio e il primo agosto 2021, un attacco hacker ha mandato in tilt i sistemi della Regione Lazio. Ebbene, le indagini effettuate hanno evidenziato che l’attacco si è propagato attraverso il computer di un dipendente di Frosinone di LazioCrea (la costola di Regione Lazio che ne gestisce l’IT) a cui erano state rubate le credenziali di accesso ai sistemi della Regione Lazio.

Non è dato sapere come sia stato possibile rubare le credenziali al dipendente di LazioCrea. Potrebbe essere incappato in una mail di phishing, potrebbe aver aperto un file infetto e installato un controllo sulle attività del PC o, chissà, potrebbe aver lasciato il computer in mano a un minore e, da lì, l’escalation. Insomma, i motivi del furto delle credenziali possono essere diversi e, in fondo, non è poi tanto utile sapere come è successo.

Secondo il Verizon 2021 Data Breach Investigations Report, tra il 2018 e il 2020 si è verificato un aumento del 47% degli incidenti che rientrano nella categoria delle “minacce interne” o “insider threats”. Sempre secondo il rapporto, gli utenti autorizzati sono responsabili di circa il 22% degli incidenti. E, secondo il Ponemon Institute 2020 Insider Threats Report i motivi degli attacchi insider threat si distribuiscono in questo modo:

  • Il 13,86% degli attaccanti erano dipendenti consapevoli
  • Il 24,75% ha subìto il furto delle credenziali di accesso
  • Nel 61,39% il motivo principale è la negligenza.

Dunque, ciò che è importante sapere per proteggere la rete aziendale, e di conseguenza il cloud, non è tanto come ha fatto l’attaccante a ottenere username e password per accedere a un servizio. Perché può succedere, a chiunque.

Gli strateghi della difesa degli ambienti cloud (qui un report su un tool per la protezione del cloud) preferiscono ragionare su chi ha l’accesso e con quali privilegi. Una volta avuta una visione completa di chi accede e a cosa, il passo successivo è ragionare con i responsabili aziendali e rispondere alla domanda: il dipendente Tizio ha davvero bisogno di accedere a tutte le risorse in cloud? E il dipendente Caio perché deve avere i privilegi di amministratore di sistema nonostante sia un operatore della logistica?

Il ruolo degli Identity Management Systems

Ed è qui che entrano in gioco i sistemi di gestione delle identità. Perché, soprattutto in aziende con centinaia di dipendenti, sarebbe impossibile analizzare e gestire uno a uno i privilegi di accesso a tutti gli applicativi e i servizi sul cloud.

Questi sistemi automatizzano l’analisi, forniscono dei report precisi su cui lavorare e indicazioni su come ristrutturare la mappa degli accessi. Ed è possibile farlo per tutti gli accessi ai servizi aziendali, anche dei consulenti o di chi appartiene a fornitori e clienti.

Poniamo l’accento su quest’ultimo gruppo di utenti autorizzati. Potrebbero essere, come detto, fornitori e clienti che accedono ai servizi aziendali, ma anche tecnici e sviluppatori. In particolare, potrebbero essere dipendenti di un partner It che gestisce i servizi IT dell’azienda cliente, sviluppatori e tecnici in generale.

Gli sviluppatori possono essere un pericolo

Perché gli sviluppatori, interni o esterni, possono essere un pericolo? Per un paio di motivi. In primo luogo, in quanto attori protagonisti delle modifiche sul codice applicativo e sui microservizi attivati, quasi sempre il loro account ha il massimo dei privilegi. Gli sviluppatori, dunque, hanno realmente in mano tutta l’architettura IT dell’azienda cliente. In secondo luogo, per risparmiare tempo, troppo spesso con i tecnici e gli sviluppatori non si va tanto per il sottile: privilegi massimi per tutti. Inoltre, c’è da tener conto che gli sviluppatori non sono esperti di sicurezza e potrebbero tranquillamente sottovalutare ogni buona pratica di protezione dei loro account, a maggior ragione se l’infrastruttura su cui operano non è la loro.

Infine, potrebbe manifestarsi l’ipotesi, abbastanza remota in verità, di bug di sicurezza presenti in applicativi legacy o non aggiornati che sono stati integrati in un ambiente cloud distribuito.

Che cosa deve fare un’azienda cliente per proteggere il cloud ed evitare il più possibile un insider threat? Intanto pretendere delle garanzie precise dal partner IT, dal managed service provider o dal cloud service provider. È fondamentale che il fornitore che ha libero accesso all’ambiente cloud del cliente sia totalmente trasparente su questo, e che sia disposto a prendersi la sua parte di responsabilità.

Ricordiamo, infatti, che il GDPR definisce delle responsabilità precise in termini di sicurezza dell’infrastruttura IT. Per cui, se viene dimostrata una negligenza da parte di terzi, l’azienda che ha subìto un attacco informatico si può rivalere economicamente con chi l’ha provocato.

Inoltre, oltre a utilizzare un valido sistema di Identity Management, è importante sapere sempre chi può fare esattamente cosa nel cloud, chiudere l’accesso immediatamente a chi cambia azienda e limitare i privilegi costruendo dei gruppi di utenze che abbiano le chiavi solo di determinati servizi.