Debolezze e punti di forza del cloud pubblico

AutenticazioneCloudSicurezza

Una soluzione di cloud pubblico in alcuni casi solleva l’azienda da una serie di problematiche di sicurezza, ma espone anche tre tipologie di attacco importanti. L’analisi di FireEye

Il dibattito tra i responsabili dei dipartimenti IT riguardo la scelta di quale cloud sia preferibile non vede né vincitori né vinti. Stabilito che il cloud computing è un approccio irrinunciabile, è difficile infatti poter proporre soluzioni preconfezionate.

Per questo, nelle sue diverse declinazioni, una scelta ibrida è spesso quella vincente, ma non sempre, per questo gli scenari in cui si opera sono oramai scenari multicloud,  e per questo, in fondo, la capacità di comprendere bene tra le tante possibilità per scegliere un cloud sartoriale è una qualità non da poco richiesta ai CIO.

Seguendo una proposta di riflessione di FireEye, infatti, da un lato spazziamo via alcuni luoghi comuni, anche pregiudiziali, relativi al cloud pubblico, ma dall’altro dobbiamo porci una serie di domande chiave per non cadere nemmeno nell’errore di pensare che la soluzione migliore sia una e sia uguale per tutti.

FireEye parte da una giusta riflessione. Il cloud pubblico, per molti aspetti, è più sicuro di un data center tradizionale, perché una problematica “locale” è scalata e risolta a un livello più alto, mentre non in tutte le aziende sono disponibili risorse 24h24 in grado di aggiornare le proprie competenze.

Eppure, gli asset in cloud pubblico non hanno una natura diversa da quelli posizionati in un DC on premise. FireEye ha studiato il “cloud compromesso” per analizzare come gli attori delle minacce hanno successo, esplorando le modalità con cui gli aggressori accedono al cloud, come si muovono lateralmente e come poi riescono a sottrarre informazioni.

Tre sono le tipologie di attacco principali: l’hacking di applicazioni Web vulnerabili o già corrotte o non aggiornate, policies di autorizzazione improprie, e l’utilizzo di strumenti esterni per farsi consegnare le credenziali autentiche.

Quest’ultimo è il metodo più utilizzato e, come spiega Daniele Nicita, Consulting Systems Engineer di FireEye, prevede tre fasi: l’ottenimento delle credenziali, il movimento laterale nel cloud, l’esfiltrazione dei dati.

Le credenziali si possono così ottenere sfruttando phishing, trojan o grazie a pubblicazioni accidentali o non oscurate. Il phishing, per essere scoperto, richiede oltre che sofisticati sistemi di protezione, anche basati su AI, così come una certa carenza di expertise o attenzione da parte dell’utente per avere successo.

Come lavora FireEye Email Security Cloud Edition
Come lavora FireEye Email Security Cloud Edition

Per evitare guai seri, almeno su una certa tipologia di attacco phishing, è possibile intervenire adottando l’autenticazione a due fattori, si eliminano così le possibilità di accesso illegittimo pur con le credenziali corrette, ma in alcuni casi l’attaccante convince all’azione la vittima direttamente (per esempio nei casi di spear phishing) e spesso non si può fare nulla perché è la vittima a condurre per mano l’attaccante all’interno del sistema eseguendo quello che le viene chiesto, convinta che la richiesta sia di una persona legittimata a farlo.

Trojan, keylogger e altre tipologie simili di malware rappresentano ancora oggi un’altra grave minaccia per le aziende. Un nuovo utilizzo dei Trojan è quello di rubare credenziali per console e applicazioni cloud. Un attaccante, che è riuscito a prendere possesso di un asset on-premise, tramite uno di questi Trojan, è particolarmente pericoloso perché ha il potenziale per by-passare l’autenticazione multi fattore e i controlli di accesso basati su firewall.

Questo aumenta l’importanza dell’endpoint security nella sicurezza complessiva del cloud. All’errore umano della pubblica accidentale è difficile porre rimedio, ma anche in questo caso un ulteriore processo di autenticazione può evitare guai maggiori.

Ognuno di questi vettori mostra l’importanza che la sicurezza in tutti i suo aspetti assume per la protezione degli asset nel cloud in quanto, solitamente, per un attaccante è più semplice compromettere le credenziali piuttosto che compromettere direttamente un asset nel cloud.

Una volta penetrato in cloud l’attaccante di solito comprende il livello di accesso di cui dispone e mappa l’ambiente. Spiega FireEye: nel cloud pubblico questi due compiti sono incredibilmente facili. Il tutto può essere completato, ad esempio, in Amazon Web Services (AWS) utilizzando alcuni semplici comandi come ad esempio “describe snapshots”.

Tramite esso è possibile richiedere l’elenco di tutti gli snapshot delle macchine virtuali esistenti, il che può essere una modalità di accesso ai dati anche qualora siano state previste protezioni accettabili.

Un attaccante che possiede le credenziali per la creazione o il mounting di un determinato snapshot, può utilizzarle anche per setacciare gli snapshot ed estrarne i dati. Utilizzando questo meccanismo l’attaccante può aggirare l’autenticazione basata su password così come la segmentazione di rete.

Individuare questa tipologia di attività è difficile in quanto somiglia molto alle tipiche azioni amministrative. La gestione degli eventi e l’analisi di sicurezza sono gli strumenti migliori per rilevare gli abusi.

Gli eventi di sicurezza devono essere centralizzati e, oltre alle anomalie e al rilevamento basato su regole, le aziende dovrebbero possedere un programma di rilevazione maturo e attivo, che possa utilizzare una combinazione di machine learning e analisti per identificare comportamenti sospetti e indagare rapidamente. L’indagine può essere anche qualcosa di semplice come effettuare una telefonata ad un utente domandando se un comportamento strano sia stato intenzionale.

Daniele Nicita
Daniele Nicita – Consulting Systems Engineer di FireEye

Siamo alla terza delle fasi spiegate all’inizio. Continuiamo a seguire l’analisi di FireEye che evidenzia come una volta che un attaccante ha avuto accesso ai dati, vi siano molte modalità differenti per rubarli.

La fase si definisce di esfiltrazione. Per esempio un attaccante si può limitare ad avviare un trasferimento tradizionale di file con destinazione prevista su un sito di archiviazione cloud, un server FTP o qualche altro strumento di archiviazione, ma può anche arrivare a utilizzare cloud nativi per copiare i dati (come la replica bucket-to-bucket).

Questo metodo assicura che ogni qual volta vengano aggiornati i dati, questi aggiornamenti siano visibili anche all’attaccante e ai suoi complici. Il rilevamento dell’esfiltrazione dei dati può essere possibile utilizzando un alert statistico riferito ai byte trasferiti. Per combattere la replica non autorizzata del bucket, devono essere necessariamente monitorate specifiche chiamate API.

Le tendenze del settore evidenziano sempre più importanti carichi di lavoro spostati in cloud e la soerveglianza su tutte le modalità di attacco è particolarmente complessa, anche se con una scelta di cloud pubblico, effettivamente, non si ha più “in casa” una serie di problematiche.  Conclude Nicita: “È fondamentale che l’analisi avvenga in tempi rapidi con il minor danno possibile per i dati aziendali”.