La nuova ricerca effettuata da Unit 42 di Palo Alto Networks, evidenzia quanto importante sia l’Identity and access management contro le minacce cloud. La transizione in corso verso le piattaforme cloud comporta sempre più dati sensibili memorizzati nel cloud. Quando si tratta di proteggere il cloud, l’identità è la prima linea di difesa. Senza un’adeguata strategia di identity and access management (IAM), un’organizzazione può implementare diversi strumenti di protezione, ma non otterrà mai una sicurezza completa.
L’Identity and access management
Per capire come le policy IAM influenzano la postura di sicurezza del cloud in azienda, Palo Alto Networks ha analizzato oltre 680.000 identità su 18.000 account cloud di 200 diverse organizzazioni. Così da comprendere configurazione e modelli di utilizzo. I risultati della ricerca sono stati scioccanti. Quasi tutte le aziende coinvolte non hanno controlli corretti delle policy di gestione IAM per rimanere sicure.
Le minacce al cloud
Aprendo la porta a ciò che Unit 42 definisce un nuovo tipo di minaccia: gli “attori di minacce cloud”. Ossia “un individuo o un gruppo che rappresenta una minaccia per le organizzazioni attraverso un accesso diretto e prolungato a risorse, servizi d, servizi o metadati incorporati della piattaforma cloud.” Gli attori delle minacce cloud meritano una definizione separata perché hanno iniziato a utilizzare una serie di tattiche, tecniche e procedure (TTP) fondamentalmente diversa, unica per il cloud. Ad esempio, sfruttare la capacità di eseguire contemporaneamente operazioni di movimento laterale ed escalation dei privilegi.
Perché i riflettori sono puntati sull’IAM?
Una delle conseguenze della pandemia è stata l’espansione significativa dei workload cloud. Con un’impennata significativa del numero di organizzazioni che ospitano per più della metà dei loro workload nella “nuvola”. L’identità deve quindi essere il punto chiave nella definizione di una strategia di sicurezza cloud.
Contrastare le minacce cloud con l’Identity and access management
Quando gli attaccanti approfittano di controlli di accesso all’identità mal configurati o troppo permissivi, non hanno bisogno di programmare un attacco complesso. Possono semplicemente ottenere l’accesso alle risorse come se ne avessero diritto. I cybercriminali cercano organizzazioni con controlli IAM non adeguati, creando una nuova tipologia di minaccia più sofisticata ma che richiede meno sforzi di esecuzione.
Principali risultati del “Cloud Threat Report: IAM la prima linea di difesa” di Unit 42
Alcuni dati che spiegano perché IAM sia un obiettivo.
- Riutilizzo delle password. il 44% delle organizzazioni consente il riutilizzo delle password IAM.
- Password deboli (<14 caratteri). il 53% degli account cloud consente l’uso di password deboli.
- Le identità cloud sono troppo permissive. Al 99% di utenti, ruoli, servizi e risorse cloud sono stati concessi permessi eccessivi che sono poi rimasti inutilizzati.
- Le policy integrate dei cloud service provider (CSP) non sono gestite correttamente dagli utenti e concedono 2,5 volte più permessi delle policy gestite dal cliente e vengono utilizzate dalla maggior parte degli utenti cloud. Sarebbero in grado di ridurre i permessi concessi, ma spesso non lo fanno.
- Con le organizzazioni che consentono permessi eccessivi e policy troppo permissive, gli hacker sono troppo spesso accolti nell’ambiente cloud di un’organizzazione a porte aperte.
L’Identity and access management per contrastare le minacce cloud
Come gli attori delle minacce cloud prendono di mira le identità del cloud
La maggior parte delle aziende è impreparata a un attacco che sfrutta policy IAM deboli. Anche gli avversari lo sanno e prendono di mira le credenziali IAM cloud e sono in grado di raccoglierle come parte delle loro procedure operative standard. Sfruttando nuove TTP uniche per le piattaforme cloud.
Difesa dalle minacce cloud IAM
Per aiutare le organizzazioni a difendersi da questa minaccia, Unit 42 ha creato il primo Cloud Threat Actor Index del settore. Esso traccia le operazioni eseguite dai gruppi di attori che prendono di mira l’infrastruttura cloud. Dettagliando le tecniche di ogni attore delle minacce cloud, per consentire a team di sicurezza e aziende di valutare le difese strategiche. Oltre a definire meccanismi adeguati di monitoraggio, rilevamento, allerta e prevenzione.
Chi prende di mira il cloud?
Il Cloud Threat Actor Index evidenzia i principali attori cloud, i primi cinque sono:
- TeamTNT: il gruppo più noto e sofisticato che prende di mira le credenziali.
- WatchDog: considerato un gruppo opportunista che ha come target istanze e applicazioni cloud esposte.
- Kinsing: Attore di minacce cloud opportunistico e motivato finanziariamente con un forte potenziale per la raccolta di credenziali cloud.
- Rocke: Specializzato in operazioni ransomware e di cryptojacking all’interno di ambienti cloud.
- 8220: Gruppo specializzato nel mining di Monero che presumibilmente ha elevato le proprie operazioni di estrazione sfruttando Log4j lo scorso dicembre.
Una corretta configurazione IAM può bloccare l’accesso involontario, fornire visibilità sulle attività cloud e ridurre l’impatto in caso di incidenti di sicurezza.