Le organizzazioni devono fare attenzione a quanto sia sicuro e protetto il loro cloud. Il panorama della cybersicurezza è in continua evoluzione e tenere il passo non è semplice. La protezione ha un impatto diretto sulla reputazione e sui risultati di business di un’azienda, quindi è sempre più importante affrontare gli argomenti e le sfide di sicurezza in modo che tutti possano comprenderli, anche le figure meno tecniche.
Il cloud computing ha trasformato il modo in cui le aziende utilizzano, archiviano e condividono i dati, introducendo nuove minacce e sfide. A causa del volume di dati salvati nel cloud, è diventato naturalmente un obiettivo dei cybercriminali. Ad esempio, strumenti cloud come Office 365 e GSuite sono ottimi a livello di collaborazione ed efficienza, ma se la persona sbagliata dovesse accedervi dall’account di un dipendente, un’azienda sarebbe davvero a rischio. Non solo perché l’aggressore avrebbe accesso ai dati sensibili nel cloud, ma perché potrebbe procedere con il furto dell’identità degli impiegati. Un account cloud compromesso può portare a frodi, violazioni dei dati e molto altro.
Si potrebbe pensare che gli unici bersagli siano dirigenti e manager di alto livello, ma non è così: i dipartimenti più colpiti sono operations e produzione, management e R&S/engineering. I cybercriminali possono sfruttare differenti meccanismi per accedere ai dati, a partire dagli attacchi di phishing per furto delle credenziali. L’obiettivo di questi attacchi è il furto di credenziali degli utenti, attraverso l’appropriazione dell’identità di un’azienda di fiducia e la richiesta dei dati di login dell’account cloud su un sito fittizio. Circa una persona su quattro aprirà un’e-mail di phishing e oltre il 10% cliccherà il link pericoloso o aprirà l’allegato “armato” incluso nel messaggio. Ciò significa che a un aggressore è sufficiente inviare dieci e-mail per avere il 90% delle probabilità di colpire un utente. Diversamente, un brute force attack è un metodo utilizzato per individuare una password di accesso inserendo tutte le possibili combinazioni fino a trovare quella giusta. È un procedimento più lungo rispetto al phishing, ma spesso si rivela efficace, in quanto molti utenti utilizzano la stessa password su diversi account. Esiste infine il rischio di una divulgazione intenzionale, o meno, di dati confidenziali in ambienti pubblici o non sicuri. Questo rischio non è esclusivo del cloud computing, ma è tra le prime preoccupazioni dei clienti di questa tecnologia. Le violazioni possono includere l’esposizione di informazioni e brevetti aziendali, dati personali sanitari, finanziari, proprietà intellettuale.
Quale può essere la miglior difesa? Definire una strategia di sicurezza che abbia come primo obiettivo la protezione delle persone e non delle tecnologie utilizzate.
Parlare di cloud security significa parlare di privacy del dato, conformità ai regolamenti e di una variegata serie di attività preposte alla protezione degli asset (vedi per esempio la crittografia). Come suggeriscono i principali fornitori di servizi cloud, i principi fondamentali possono essere riassunti in tre grandi macro-aree. La cloud security passa da un mix di soluzioni end-to-end, che include processi di identity management e l’autenticazione dei servizi (anche di terze parti). Abilitando processi di identity security è dunque possibile irrobustire l’integrità dei dati, mantenendo protetti gli asset confidenziali, e più importanti per il business dell’azienda, pur lasciandone pieno accesso agli utenti che ne hanno facoltà.
Proprio la gestione delle identità risulta cruciale, sia a livello di utente, sia di infrastruttura; si tratta di una componente che deve essere messa a punto per generare una reale protezione del cloud. In ottica di sviluppo dei servizi cloud, l’autenticazione si sta evolvendo per risolvere le criticità tipiche dell’attuale modello basato su user/password. Ciò significa innescare meccanismi coordinati che includono strong authentication, risk-based authentication, l’analisi del comportamento degli utenti e l’aggregazione di più fattori.
Abilitando invece attività di stronger authorization è possibile irrobustire l’intero processo di accesso ai dati, una procedura che permea l’infrastruttura cloud e il dato stesso. In termini di data security è poi possibile ipotizzare l’abilitazione di più gradi di protezione, come richiesto nel caso di dati sensibili, da mettere al sicuro parametrizzando le architetture a livello di file, di campo e di blocco.
Altri parametri importanti per assicurare una cloud security realmente efficace includono l’isolamento dei dati (data isolation), essenziale quando più utenti si trovano a dover accedere a risorse condivise. Per migliorare la sicurezza in questi casi si possono abilitare differenti gradi di protezione sfruttando tecniche di cifratura, controllo degli accessi e virtualizzazione degli ambienti. Oltre a solidi e dettagliati SLA, previsti nel contratto di gestione, è necessario validare l’intera architettura di security, con particolare scrupolo per ciò che compete la protezione di rete (firewall e accessi), ma anche a livello di rilevamento intrusioni e protezione da malware/virus. È bene considerare specifici piani per la business continuity e il disaster recovery, tasselli vitali per l’operatività d’impresa.
