Se del cloud sono noti i benefici, sono altrettanto conosciuti i rischi che può comportare l’adozione di un’infrastruttura cloud pubblica. Ecco quindi che Unit 42, il team di Palo Alto Networks dedicato alla threat intelligence, ha pubblicato un report che mette in luce tutte le minacce alla sicurezza cloud, nuove ed esistenti, apparse da fine maggio a inizio settembre 2018, analizzando anche il comportamento delle aziende per bilanciare rischio ed efficienza.  

Tra i risultati principali del Report, intitolato “Trend e consigli di sicurezza cloud: gli elementi chiave per proteggere gli ambienti cloud AWS, Azure e Google”, se ne possono analizzare cinque, riportati di seguito. 

Le compromissioni degli account stanno diventando sempre più numerose e veloci: il 29% delle aziende possiede account potenzialmente compromessi, il 27% consente attività a utenti root e il 41% delle password non è stato cambiato negli ultimi 90 giorni. È opportuno rafforzare la governance e il controllo accessi, operando con la consapevolezza dell’esistenza di queste minacce e implementando un sistema di monitoraggio per rilevare e rispondere rapidamente a ogni attività sospetta da parte degli utenti.  

La compliance è un’attività costante: i numeri sono innegabili: il 32% delle aziende ha almeno un servizio di cloud storage a rischio, il 49% dei database non è crittografato e il 32% non supera i controlli di conformità al GDPR. È risaputo che configurazioni rischiose conducono a violazioni di alto profilo. Ci sono segnali di una protezione migliore dei servizi di storage cloud, ma con l’aumento delle normative, sono numerose le aziende che hanno ancora molto da fare per raggiungere conformità e governance complete sugli ambienti cloud pubblici.   

Le attività di cryptojacking potrebbero rallentare. Unit 42 ha riscontrato che l’11% delle aziende ha subìto attività di cryptojacking, cioè lo sfruttamento della CPU per il mining delle criptovalute all’insaputa degli utenti: un problema serio che sembra fortunatamente in calo rispetto al 25% del mese di maggio. Più di un quarto (26%) non limita il traffico in uscita e il 28% dei database riceve connessioni inbound da internet. Sembra che la diminuzione del valore delle criptovalute, unita a migliori capacità di rilevazione, stia aiutando a ridurre gli attacchi cryptojacking. Questo rappresenta un’opportunità per implementare contromisure efficaci prima della prossima ondata.  

Una nota positiva nella gestione delle vulnerabilità: Spectre e Meltdown sono stati i protagonisti di importanti interruzioni operative a inizio anno, oggi invece l’ultima vulnerabilità che colpisce i processori Intel (L1 Terminal Fault) e l’errore di un remote code execution (RCE) in Apache Struts 2 stanno provocando numerosi grattacapi: il 23% delle aziende si affida a host ai quali mancano patch fondamentali nel cloud. I Cloud Service Provider (CSP) forniscono una prima linea di difesa grazie all’aggiornamento delle proprie infrastrutture e servizi, ma i clienti giocano un ruolo importante nella rilevazione e risoluzione tramite patch di host vulnerabili. Questo non può essere fatto con strumenti di analisi delle vulnerabilità standalone, non progettati per architetture cloud. 

Contenere il modello container: non c’è dubbio che l’adozione dei container sia in forte espansione, con un’azienda su tre che utilizza un’orchestrazione Kubernetes nativa o gestita, e un quarto che fa leva su servizi gestiti nel cloud come Amazon Elastic Container Service for Kubernetes (EKS), Google Kubernetes Engine (GKE) e Azure Kubernetes Service (AKS). Queste piattaforme permettono agli sviluppatori di implementare, gestire e scalare applicazioni containerizzate in modo più semplice. Unit 42 ha rilevato che il 46% delle aziende accetta traffico nei pod Kubernetes provenienti da qualsiasi fonte, e il 15% non utilizza le policy di Identity e Access Management (IAM) per controllare gli accessi alle istanze Kubernetes.