Cloud&Business 67: Analisi predittiva e architetture scalabili rendono sicuri i dati nel cloud

Cloud & Business  esamina la sicurezza nel cloud e come perseguirla. La mobility e l’accesso da ambienti ibridi e multi cloud richiede particolare attenzione per gli utenti privilegiati

   

Nonostante nell’ultimo biennio si siano fatti consistenti passi avanti  per quanto concerne la sicurezza nel Cloud, questo grazie anche a prese di posizione e a normative di entità nazionali e sovranazionali, il problema di un cloud sicuro  persiste, soprattutto in un contesto evolutivo dell’IT che deve far fronte a esigenze di mobility e di rapidità nell’adeguarsi alle esigenze di business.

Il diffondersi del concetto di Smart IT, e del suo corollario di cloud pubblico e di multicloud,  e l’impatto che su di esso ha la sicurezza, ha come effetto negativo l’intensificarsi dell’intelligenza degli attacchi cibernetici. E’ pur vero che le soluzioni che li contrastano vengono immesse sul mercato da parte delle aziende specializzate in sicurezza abbastanza rapidamente ma si tratta comunque di una questione di tempi. Secondo Gartner però il tempo medio per rilevare una violazione è di oltre tre mesi, cosa che lascia a malware e ad altri tipi di attacchi il tempo di infiltrarsi.

Cloud & Business n. 67

Cloud & Business n. 67

La criticità del cloud e degli ambienti ibridi

Il problema dei tempi intercorrenti tra il primo rilevamento di un nuovo tipo di attacco e il momento in cui le patch sono disponibili risulta enfatizzato quando da un ambiente esclusivamente privato, e quindi che offre la possibilità di pianificare interventi rapidi connaturati anche alle proprie capacità di investimento e di percezione del rischio, si passa ad un ambiente completamente migrato sul cloud pubblico o a uno scenario cloud di tipo ibrido o ancor meglio, si fa per dire, multi cloud.

La combinazione di ambienti IT caratterizzati da una forte presenza di dispositivi mobili, caratteristici della Smart Economy,  che si collegano alle applicazioni business tramite infrastrutture cloud ibride e multi-cloud apre la strada a problematiche connesse allo stato di aggiornamento delle infrastrutture di terzi che si interpongono tra il dispositivo end user e il data center o i data center dove risiedono dati e applicazioni.

In sostanza, può avvenire che per mettersi al passo con la sofisticatezza degli attacchi e delle capacità elaborative e di analisi richieste si renda necessario apportare modifiche significative alla infrastruttura che data la scala di intervento richiesta ad un provider possono finire con il ritardare l’entrata in funzione delle contromisure di sicurezza atte a contrastarli.

Per rimuovere questo potenziale vulnus le aziende del settore si sono messe al lavoro. Forcepoint, ad esempio,  bypassando e compensando le eventuali carenze dell’infrastruttura cloud dei provider, ha spiegato Luca Mairani, Senior Sales Engineer di Forcepoint in Italia, ha puntato sull’analisi comportamentale estesa a livello di end-point.

La vision strategica della società ha avuto come risultato pratico quello di rendere disponibili funzionalità basate sull’analisi del comportamento e sull’analisi predittiva, volte a rafforzare le policy di sicurezza per quanto concerne lo scambio dei dati tra ambiente informatico legacy da e verso il cloud esterno (CASB: Cloud Access Security Broker), come ad esempio nel caso delle banche i cui dipendenti utilizzano Microsoft Office 365, la sicurezza su Web e quella della posta elettronica.

Approcciare la security attraverso un filtro human-centric, osserva Forcepoint,  aiuta le organizzazioni a comprendere meglio gli indicatori del normale comportamento informatico e identificare rapidamente attività e operazioni, quali la shadow IT, che rappresentano i maggiori rischi.

Il rafforzamento delle policy di sicurezza è stato perseguito con lo sviluppo di funzionalità che permettono di valutare il rischio di condivisione di file e di altre applicazioni cloud e proteggono dalla perdita di dati sensibili non archiviati nella rete aziendale, analizzando parametri quali il comportamento dell’utente e le caratteristiche dell’applicazione, ad esempio i dati, il dispositivo e la posizione da cui si accede.

Proteggere gli account privilegiati

Un altro punto critico  è quello che riguarda gli utenti privilegiati.  Per garantire la sicurezza di questa tipologia di utenti di servizi IT, CyberArk, società specializzata nella protezione ad alto livello proprio di questo tipo di utenti business critici per le aziende a causa dei dati riservati di cui sono sovente in possesso, sia quando operano dal loro ufficio che quando si trovano in mobility e accedono alle applicazioni e ai dati mediante dispositivi mobili, ha inglobato nel suo portfolio numerosi sviluppi che permettono di accelerare l’adozione di soluzioni di sicurezza che si posizionano tra quelle più avanzate disponibili sul mercato.

Le funzionalità hanno l’obiettivo primario di rendere più semplici le modalità necessarie per rafforzare la sicurezza, migliorare l’automazione dei processi di security e ridurre il rischio complessivo in cui possono incorrere gli utenti privilegiati.

Nel loro insieme, evidenzia CyberArk, fanno di CyberArk Privileged Account Security Solution V10 (CyberArk V10) una piattaforma di sicurezza che può facilmente scalare in funzionalità al fine di proteggere da exploit critici gli account privilegiati ovunque si trovino, sia quando utilizzano infrastrutture ICT on-premise che quando accedono ad applicazioni e dati tramite ambienti cloud ibrido o attraverso workflow DevOps.

Forte anche l’attenzione dedicata agli utenti  del cloud. Credenziali non adeguatamente protette costituiscono un target molto attraente per gli attaccanti esterni o per malintenzionati interni all’azienda stessa. Si tratta di rischi che sono amplificati per quelle aziende che hanno fatto del cloud la loro strategia di digital transformation e hanno allo stesso tempo accelerato l’adozione di DevOps.

Indipendentemente dalle dimensioni dell’azienda, le nuove funzionalità presenti nella versione V10 di CyberArk Privileged Account Security Solution sono volte a perseguire due obiettivi fondamentali.

Il primo è di prevenire l’attacco ad account privilegiati sugli Endpoint. Gli end-point costituiscono uno dei punti maggiormente critici per la sicurezza, soprattutto per la crescente mobility degli utenti privilegiati. Per eliminare il rischio connesso alla perdita di dati o credenziali, tramite le funzionalità contenute in CyberArk Application Risk Analysis Service si ha la possibilità, mediante funzioni di machine learning e analitiche basate su cloud, di aiutare a bloccare gli attaccanti e impedire, rilevando le applicazioni potenzialmente dannose e in grado di accedere a dati e informazioni sensibili, che questi possano posizionarsi in un end-point.

Il secondo è di accelerare la sicurezza nel Cloud. V10 estende il supporto per Amazon Web Services (AWS), automatizza il caricamento delle credenziali tramite l’integrazione con CloudWatch e Auto Scaling. In pratica, viene ridotto significativamente il rischio di credenziali non gestite in ambienti di elastic computing e il team dedito alla sicurezza ha la possibilità di ridurre sensibilmente il tempo che vi deve dedicare in modo da potersi meglio focalizzare sulla mitigazione dei potenziali rischi. CyberArk garantisce anche la sicurezza delle credenziali attraverso  piattaforme cloud  pubbliche quali AWS, Microsoft Azure e Google Cloud Platform (GCP) ed ha validato la sua capacità di attivare la sicurezza per account privilegiati su AWS in un massimo di 15 minuti.

Per quanto concerne il cloud e le funzionalità di CyberArk Privileged Account Security Solution v10 relativamente alla Google Cloud Platform (GCP), la tipica configurazione GCP comprende l’esecuzione delle vault primarie e di disaster recovery, nonché il monitoraggio della sessione in modo da rendere sicuro il workload che gira in un ambiente nativo GCP.

L’organizzazione aziendale può, in alternativa, estendere la propria installazione di CyberArk (ad esempio che gira su piattaforma on-premise, AWS o Azure) in modo che possa aiutare nel rendere sicuro anche l’accesso alla console GCP e a renderne sicuri i relativi workload.