Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Rispondere alle violazioni del cloud: registri di controllo, rilevamento delle minacce e risposta agli incidenti

Per comprendere come rispondere alle violazioni della sicurezza del cloud, è utile cominciare da una piccola lezione di storia.

Chi è esperto in questa materia (o semplicemente, chi ha prestato attenzione a scuola) ricorderà senz’altro la Linea Maginot, una serie di posizioni di difesa costruite dall’esercito francese tra le due guerre mondiali. L’idea del governo francese era che, realizzando difese poderose, fosse possibile impedire che la Germania invadesse la Francia come aveva fatto durante la Prima guerra mondiale.

Sfortunatamente per i francesi, l’esercito tedesco si limitò ad aggirare la Linea Maginot nel 1940 e invase la Francia dal versante nordorientale, che non era fortificato. Avendo riposto una fiducia eccessiva nelle proprie misure difensive, gli alleati franco-inglesi furono colti impreparati per la guerra lampo che ebbe luogo non appena gli invasori fecero breccia nelle loro difese. In soli 46 giorni, i francesi, nonostante il loro eccellente profilo di difesa, subirono ciò che un famoso storico definì una “strana disfatta.”

Ma cosa ha a che vedere la disfatta della Francia con la sicurezza del cloud? La risposta è che, come la Francia ha dovuto imparare duramente sulla propria pelle nel 1940 che è impossibile evitare completamente un’invasione militare, le aziende di oggi devono riconoscere che è impossibile garantire l’immunità totale dalle violazioni del cloud. Per quanto sia importante investire in misure di protezione attraverso la gestione del profilo di sicurezza del cloud (CSPM), bisogna anche prepararsi a rispondere alle violazioni quando avverranno, perché lo faranno inevitabilmente.

La ricetta per prepararsi a rispondere a una violazione del cloud prevede tre ingredienti fondamentali:

  • Registri di controllo del cloud, che aiutano a rilevare attività insolite nell’ambiente cloud che potrebbero riflettere una violazione o una tentata violazione.
  • Rilevamento delle minacce, che utilizza diverse sorgenti di dati per individuare le violazioni attive.
  • Risposta agli incidenti, che consente di reagire in modo efficiente ed efficace nel momento in cui viene scoperta una violazione.

Questo articolo spiega come proteggersi dalle violazioni del cloud analizzando il ruolo dei registri di controllo del cloud, del rilevamento delle minacce e della risposta agli incidenti nella gestione delle minacce alla sicurezza del cloud.

L’ineluttabilità delle violazioni del cloud

Il primo passo per prepararsi a fronteggiare una violazione del cloud è riconoscere che avverrà. Indipendentemente da quanto si perfezionano gli strumenti e i processi CSPM per difendere l’ambiente cloud dagli attacchi, sussiste sempre il rischio che una configurazione non sicura si insinui in profondità nello stack o che emerga un nuovo tipo di minaccia in grado di sfruttare una vulnerabilità che nessuno aveva previsto.

Dopotutto, anche le società tech più sofisticate periodicamente sono soggette a violazioni della sicurezza, nonostante investano ingenti risorse nella sicurezza del cloud e dispongano di personale di incredibile talento. Se loro non possono evitare le violazioni, non può farlo nessuno.

Ovviamente, ciò non significa che non serve investire nella gestione CSPM come mezzo per prevenire le violazioni. Perfezionare il più possibile le difese che proteggono il cloud rilevando le configurazioni non sicure ed elaborando architetture sicure è fondamentale per minimizzare il numero delle violazioni. Aiuta anche a limitare gli eventuali danni causati.

Ciononostante, non è realistico aspettarsi di essere totalmente immuni alle violazioni.

Prepararsi a rispondere alle violazioni del cloud: registri di controllo, rilevamento delle minacce e risposta agli incidenti

È tuttavia possibile pianificare una soluzione per tempo, in maniera tale che, quando una violazione si presenta effettivamente, venga subito individuata, rilevata e gestita velocemente e nel modo più efficace possibile. Fare questo richiede un investimento in tre aree chiave: registri di controllo, rilevamento delle minacce e risposta agli incidenti.

Registri di controllo e cloud

Gli ambienti cloud sono complessi, per usare un eufemismo. È probabile che le aziende ricorrano a un grande numero di servizi cloud, ad esempio archivi di oggetti, macchine virtuali, container e funzioni serverless, per citare solo alcune delle categorie più popolari di servizi di cloud computing. Potrebbero anche prevedere più account per ciascun cloud e, come avviene per il 93% delle aziende di oggi, potrebbero utilizzare più cloud contemporaneamente.

I registri di controllo sono il primo passo fondamentale da compiere per tenere traccia delle potenziali minacce alla sicurezza in un ambiente cloud vasto e stratificato. I registri di controllo registrano sistematicamente le azioni che avvengono all’interno di un ambiente cloud mentre si verificano. Ci dicono chi ha fatto cosa, quando e cosa è cambiato.

In altre parole, grazie ai registri di controllo è possibile monitorare sistematicamente quali sono state le nuove risorse cloud utilizzate, quali policy IAM sono state modificate, quali account utente sono stati aggiunti o eliminati, eccetera. E questo può essere fatto in tutti gli ambienti e in tutti i servizi cloud.

Con tali informazioni, si ottiene una tempestiva visibilità su possibili minacce, anche nei casi in cui queste non siano ancora evolute in violazioni effettive. Per esempio, i registri di controllo possono avvertire della creazione di una VM non autorizzata o di un nuovo ruolo IAM, il che potrebbe rappresentare la prima azione compiuta da un hacker per fare breccia nell’ambiente cloud.

Utilizzare i registri di controllo del cloud

Tutti i principali provider di cloud pubblico offrono servizi nativi per consentire la creazione di registi di controllo. Tuttavia, poiché tali servizi tipicamente lavorano solo con singoli cloud e account cloud, è necessario aggregare i registri di controllo provenienti da tutti i diversi ambienti cloud per analizzarli centralmente mediante strumenti di controllo di terze parti in grado di rilevare azioni sospette nei dati desunti da un ambiente cloud pubblico.

Bisogna inoltre configurare i registri di controllo in modo efficace. La chiave per ottenere un buon registro di controllo è trovare il perfetto equilibrio tra la registrazione di troppe informazioni e la registrazione di poche informazioni. Di solito non è necessario essere informati su ogni modifica minore che avviene nell’ambiente cloud, inoltre, se si registrano troppe informazioni, i team soffriranno prima o poi di ansia da avviso. Ma, allo stesso modo, è necessario essere a conoscenza dei gravi eventi pericolosi per la sicurezza, ad esempio una modifica alle configurazioni IAM, aggiornamenti delle impostazioni di rete, la creazione di un nuovo workload o le modifiche agli account utente.

Rilevamento delle minacce nel cloud

I registri di controllo sono il primo passo per individuare eventuali violazioni, ma il rilevamento delle minacce non si limita a questo. Il rilevamento delle minacce è l’uso di diverse sorgenti di dati, ad esempio registri di controllo, registri di rete e metriche cloud, per rilevare le minacce attive e valutarne il potenziale impatto.

In altre partole, il rilevamento delle minacce non aiuta solo a individuare le violazioni, ma anche a comprendere la natura di ciascuna violazione e quanto potrebbe danneggiare il cloud. A sua volta, il rilevamento delle minacce aiuta a formulare un piano di risposta nel modo più efficiente possibile per le diverse minacce riscontrate.

Alcune minacce sono più gravi di altre. Una minaccia che interessa l’ambiente dev/test, per esempio, non è tanto pericolosa quanto una minaccia zero-day che coinvolge un workload di produzione critico. Rilevare le minacce aiuta a determinare di che tipo sono e quale priorità devono avere.

Allo stesso modo, il rilevamento delle minacce utilizza i dati raccolti per fornire informazioni contestuali sui diversi tipi di minacce. Queste informazioni aiutano i team a capire da dove ha avuto origine la minaccia, quali tipi di vulnerabilità ha sfruttato e come correggerla in modo efficace.

Risposta agli incidenti nel cloud

Infine, il passaggio finale per rispondere alle violazioni del cloud è la risposta agli incidenti. La risposta agli incidenti è l’insieme degli strumenti e delle procedure che un team utilizza per isolare, mitigare e correggere definitivamente una minaccia attiva.

Sebbene ogni minaccia sia diversa e sia impossibile prevedere esattamente quali saranno le misure da adottare per rispondere a un incidente, è possibile sviluppare playbook per diversi tipi di incidenti e utilizzarli come guida. Per esempio, si potrebbe creare un playbook per gestire un incidente di sicurezza che riguarda gli accessi non autorizzati ai dati, un playbook per le violazioni del runtime di un container e un playbook per le minacce che interessano le macchine virtuali basate sul cloud.

I playbook di risposta agli incidenti sul cloud dovrebbero indicare nel dettaglio non solo in che modo i team devono rispondere a ciascun tipo di minaccia, ma anche quali membri del team devono svolgere quale ruolo nella gestione della risposta. Bisognerebbe anche pensare in anticipo alle risorse di cui il team avrà bisogno per rispondere a un incidente.

E bisogna anche ricordare che, sebbene la correzione definitiva di una minaccia sia sempre l’obiettivo finale della risposta a un incidente, spesso è conveniente iniziare isolando la minaccia per impedirne l’escalation fino a quando non è possibile correggerla completamente. A questo scopo, i playbook dovrebbero per esempio indicare le misure da adottare per disabilitare gli account compromessi o per isolare i workload compromessi a livello di rete.

Prepararsi a gestire una violazione della sicurezza nel cloud

Sebbene si debba sempre fare il possibile per evitare violazioni della sicurezza nel cloud, quando queste avvengono non devono essere interpretate come una sconfitta definitiva. Al contrario, bisogna riconoscere che le violazioni sono inevitabili indipendentemente da quanto i team siano bravi nella gestione CSPM.

Ciò che fa la differenza tra la sconfitta e la vittoria è la capacità di rispondere efficacemente alle violazioni del cloud quando avvengono. Investendo in registri di controllo, rilevamento delle minacce e risposta agli incidenti, le aziende saranno in grado di gestire con successo le violazioni del cloud minimizzando il loro impatto e correggendo gli errori il più velocemente possibile.