Neil Thacker, CISO EMEA di Netskope, propone cinque interessanti spunti per irrobustire la sicurezza cloud; utili consigli per i CISO delle imprese.
Negli ultimi 18 mesi, l’utilizzo delle applicazioni cloud è salito alle stelle. Secondo l’ultimo Cloud and Threat Report di Netskope (luglio 2021), un’organizzazione media con 500-2000 dipendenti utilizza 805 diverse applicazioni cloud. Questo dato porta a un livello sbalorditivo la portata di nuovi rischi che i CISO devono affrontare. Allo stesso tempo, l’uso del cloud è cresciuto, così sono aumentati anche gli sforzi degli attori malintenzionati per prendere di mira le applicazioni cloud che troppo spesso sono scarsamente protette e presentano una costante opportunità di compromissione dei dati non protetti.
La sfida può sembrare insormontabile, con i dipendenti che portano le applicazioni cloud nell’organizzazione attraverso lo shadow IT più velocemente di quanto possiamo bloccarle una per una, ma ci si può difendere. Ecco cinque suggerimenti per i CISO che devono gestire la sicurezza del cloud.
Collaborare con i team IT per creare security by design
Con il proliferare del cloud all’interno delle organizzazioni, i team di sicurezza devono collaborare strettamente con l’IT e far sì che la sicurezza non sia mai una questione legata a considerazioni dell’ultimo minuto. Molte organizzazioni stanno già ristrutturandosi in tal senso, unendo team IT e di sicurezza perché collaborino con KPI condivisi.
Perché la sicurezza sia integrata “by design” non può, per definizione, essere considerata e applicata in un secondo momento, e questo è uno dei motivi per cui la sicurezza del cloud richiede una piattaforma cloud nativa. La maggior parte delle organizzazioni realizza i limiti delle proprie architetture basate su appliance nel momento in cui tenta di proteggere dati, applicazioni e utenti che si trovano al di fuori del proprio perimetro.
La security by design adotta un approccio architetturale incentrato sui dati, riconoscendo che non esiste più un perimetro in cui utenti, dispositivi e dati possono risiedere in sicurezza. Utenti, dispositivi e dati sono oggi dispersi ovunque e si muovono liberamente, dentro e fuori da qualsiasi app e servizio cloud fornito dall’azienda, e queste app e questi servizi necessitano di una sicurezza che funzioni ovunque si trovino.
Questo approccio è spesso definito Secure Access Service Edge (SASE) e significa collocare la sicurezza nel cloud, integrarla nell’architettura IT ed eseguire controlli in linea. Adottando questo approccio architettonico alla sicurezza, non è necessario creare e personalizzare nuovi controlli di sicurezza per ogni app cloud.
Comprendere i flussi di dati
Dal momento che i dati non sono più statici, ma si spostano costantemente attorno a servizi cloud di terze parti, è chiaro che un CISO ha bisogno di una comprensione molto maggiore dei flussi di dati. Un’organizzazione dovrebbe conoscere i movimenti dei propri dati, avere visibilità sulle categorie di dati in gioco e comprendere il profilo dell’applicazione cloud per decidere quali controlli sono necessari.
Una visione della sicurezza incentrata sui dati ha senso se si considera che le normative e i calcoli del rischio sono comunemente incentrati proprio sui dati. La visibilità e la comprensione dei flussi di dati sono particolarmente critiche quando si esplorano aree come il modello di responsabilità condivisa o si valuta il rischio della catena di approvvigionamento. Le organizzazioni devono intraprendere valutazioni di sicurezza continue basate sui propri flussi di dati.
Ottenere il massimo dalla sicurezza delle API
Il cloud ha reso più urgente che mai che le organizzazioni valutino il rischio della catena di approvvigionamento e le garanzie dei partner. Questo si collega al punto precedente sulla comprensione dei flussi di dati (quindi, sapere esattamente dove risiedono i tuoi dati e quali sono le tue responsabilità), ma va anche oltre se si sfruttano al massimo le opportunità di integrazione e analisi offerte dal cloud.
Le integrazioni cloud sono incredibilmente convenienti e possono aggiungere molto valore. Tendono a essere basate su API e sono molto facili da configurare. Tuttavia, le appliance di sicurezza legacy non comprendono le API. Tendono a comprendere solo il linguaggio del web e dei protocolli di rete tradizionali e non sono in grado di monitorare o sorvegliare i servizi cloud. È un altro motivo per cui devi proteggere il cloud dall’interno del cloud. Avere dispositivi legacy che tentano di sorvegliare il cloud è un po’ come avere una forza di polizia che non parla la stessa lingua della comunità che sta cercando di proteggere. Non possono comprendere cosa sta succedendo e quindi risultano inefficaci.
Impostare l’approccio Zero Trust come predefinito
Con le architetture cloud che rimuovono il concetto di perimetro sicuro attorno ai dati e all’IT di un’organizzazione, Zero Trust diventa importante. L’azienda guarda alla figura del CISO in cerca di rassicurazione e fiducia, ma in realtà bisogna assumere la posizione di massima allerta e sfiducia verso chiunque. Zero Trust Network Access (ZTNA) è esattamente questo: non concedi l’accesso a nessuno, a nessun dispositivo o servizio cloud, senza una serie specifica di credenziali di sicurezza autenticate. I dati sono troppo preziosi per fare ipotesi di autenticità.
Una soluzione ZTNA fa una differenza immediata per il livello di sicurezza inerente a un’architettura di rete o cloud tradizionale e dovrebbe essere considerata un componente chiave man mano che le organizzazioni migrano ulteriormente in un mondo cloud-first.
Sensibilizzare e attivare la forza lavoro
La sicurezza delle informazioni è qualcosa che dovrebbe essere nella job description di ogni dipendente. Ma mentre noi, gli esperti, dobbiamo lavorare così duramente per rimanere al passo con i nuovi rischi e le minacce del cloud, non possiamo aspettarci che i dipendenti riescano a gestire con successo i migliori sforzi degli attori malintenzionati senza formazione.
Basta un semplice errore o una configurazione errata per esporre passivamente dati sensibili o soggetti a normative. Gli attori malintenzionati stanno lavorando duramente per rendere le loro trappole ancora più difficili da individuare per il dipendente medio. Sanno come camuffarsi replicando un marchio noto e le schermate di accesso di servizi cloud affidabili. Utilizzano persino gli stessi servizi cloud affidabili nella loro architettura di attacco, garantendo loro la familiarità di un URL conosciuto. Le credenziali delle app cloud sono uno dei principali obiettivi per le campagne di phishing, con il 36% delle campagne nel 2020 che prendono di mira le credenziali delle app cloud e lo fanno in pagine che sono ospitate e sembrano in modo convincente l’autentica istanza aziendale del servizio cloud utilizzato dall’organizzazione.
È nostra responsabilità far sì che la forza lavoro mantenga i dati al sicuro e che il consueto monito di “non fare clic su collegamenti sospetti” non sia più necessario. La sensibilizzazione è il primo passo, ma l’obiettivo deve essere “l’attivazione”: le persone devono sentirsi responsabili della sicurezza, fino al punto in cui ogni dipendente diventa un membro del team di sicurezza.
Proprio come il cloud ha causato un ripensamento rivoluzionario delle architetture IT, dei flussi di lavoro e dei centri di costo, così dovrebbe fare la sicurezza. Che il cloud entri nel business attraverso importanti progetti di trasformazione aziendale o tramite un’app scaricata su un dispositivo non gestito, i team di sicurezza non possono ignorarlo. Una strategia SASE, con solidi principi Zero Trust, è il modo migliore per garantire che il cloud rimanga una forza positiva all’interno di un’organizzazione e non crei preoccupazione.