Secondo il più recente Verizon Data Breach Incident (DBIR) del 2020, nel 2019 gli asset cloud sono stati coinvolti in quasi il 25% delle violazioni. Le identità individuali rimangono l’anello più debole nella maggior parte delle organizzazioni, poiché secondo lo stesso studio il furto di credenziali è stato impiegato nel 77% delle violazioni del cloud. Queste tendenze rafforzano la tesi che un accesso meno privilegiato agli ambienti cloud possa far diminuire gli attacchi andati a buon fine.
«In ambienti cloud, qualsiasi identità riferita ad umano, macchina o applicazione può essere configurata con i permessi di Identity and Access Management (IAM) per accedere a sistemi e servizi contenenti informazioni sensibili» dice Massimo Carlotti, Presales Team Leader di CyberArk. Le identità sono categorizzate per utente, gruppo o ruolo e i permessi assegnati a seconda dell’attività che deve essere eseguita. Tuttavia, molte di queste identità vengono inavvertitamente configurate con permessi che consentono l’accesso a risorse che in realtà non utilizzano o di cui non hanno bisogno.
«In questo modello le organizzazioni si proteggono in modo proattivo dalle minacce interne - sia accidentali che pericolose - limitando notevolmente i danni potenziali degli attacchi esterni. Se gli attaccanti compromettono un’identità cloud in un modello least privilege, non possono accedere a risorse che esulano dalle responsabilità di tale identità. In questo modo si limitano i movimenti e proteggono le risorse mission-critical, recuperando tempo prezioso per rilevare e rispondere a un attacco. Di fatto, l’adozione accelerata del cloud amplia la superficie di attacco mentre il minor privilegio la riduce».
Ovviamente non è tutto qui: la corretta configurazione dei privilegi e dei permessi in ambienti cloud è una vera e propria sfida. I ruoli cloud IAM per alcuni servizi applicativi possono infatti essere forniti con un’ampia gamma di permessi per facilitare il lavoro degli sviluppatori. Altre organizzazioni non tengono conto dei permessi obsoleti, come ad esempio la mancata rimozione dell’accesso degli sviluppatori a storage bucket e container pod alla chiusura di un progetto.
«E sono proprio questi permessi che rappresentano una sfida per le organizzazioni che si muovono verso i framework di sicurezza Zero Trust, che richiedono che ogni identità che tenta di accedere alle risorse aziendali sia verificata e che l’accesso sia intelligentemente limitato. Un recente sondaggio ESG , sponsorizzato da CyberArk e da altri fornitori di tecnologia, ha rilevato che gli account e i ruoli con autorizzazioni eccessive vengono considerati la principale configurazione errata dei servizi cloud. Non sorprende che gli attaccanti ne abbiano preso atto: lo stesso sondaggio ha classificato i privilegi eccessivamente permissivi come il vettore di attacco più comune contro le applicazioni cloud».
Compromettendo un’identità cloud con autorizzazioni troppo ampie, un cyber criminale può spostarsi lateralmente all’interno di un’organizzazione o aumentare i propri privilegi al fine di esfiltrare i dati ospitati nel cloud, interrompere le applicazioni ad alto valore o addirittura mettere offline l’intero account cloud. Per affrontare questa sfida, l’assegnazione del minor privilegio possibile, in cui tutte le identità hanno solo i diritti minimi necessari per svolgere le loro responsabilità, è una best practice consolidata per le organizzazioni nel percorso verso Zero Trust e cloud.
L’adozione di servizi cloud pubblici, le applicazioni SaaS e l’accesso remoto hanno di fatto eliminato il tradizionale perimetro di rete. Le identità diventano quindi il nuovo "perimetro" e, con l’affermarsi dei moderni modelli Zero Trust, la loro autenticazione e autorizzazione diventa fondamentale. «I framework con privilegi minimi mirano a limitare il numero di risorse a cui ogni identità è autorizzata ad accedere e anche il numero di entità che può concedere o configurare nuove autorizzazioni, rendendo difficile per i criminali aumentare i privilegi e raggiungere obiettivi di valore una volta stabilito un punto d’appoggio» continua Carlotti.
Le principali piattaforme di infrastruttura come servizio (IaaS) - Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) – stanno combattendo una battaglia sulle funzionalità. Questi fornitori introducono costantemente nuovi servizi per differenziarsi, aumentando la produttività e facilitando l’accesso a innovazioni come lo streaming dei dati, il networking blockchain e l’analisi dell’Internet of Things (IoT). «Ma questa accessibilità ha un prezzo. Nella fretta di adottare nuove funzionalità o di ampliarne l’utilizzo, le errate configurazioni di sistemi, risorse e strumenti cloud proliferano. Un semplice errore di configurazione può rapidamente trasformarsi in una grave violazione della sicurezza informatica».
Mentre la sicurezza in-the-cloud è una responsabilità condivisa tra fornitori e clienti, le aziende utenti sono in ultima analisi responsabili delle scelte di configurazione corrette per proteggere i loro dati. I modelli di adozione del minimo privilegio pongono l’accento sulla gestione delle autorizzazioni per identificare potenziali errori di configurazione e limitare l’accesso non autorizzato a servizi specializzati.
«Anche i consorzi per la sicurezza delle piattaforme-agnostiche come Cloud Security Alliance Cloud Control Matrix - così come le normative del settore finanziario tra cui MAS TRM, SWIFT e PCI DSS - sottolineano l’importanza di valutare continuamente il minor privilegio, una best practice che offre il giusto mix di pratiche di gestione degli accessi privilegiati e di controlli flessibili per bilanciare i requisiti di sicurezza e conformità con le esigenze operative e degli utenti finali».