L’ultimo decennio ha visto un aumento vertiginoso dell’adozione del cloud.
Anni fa il cloud era una parola accolta con molto scetticismo, poiché molti la consideravano semplicemente un’innovazione nell’archiviazione e nell’accesso ai dati.
Ma non ci è voluto molto perché maturasse in una struttura informatica, con una spirale di diversi modelli e servizi informatici come software SaaS, piattaforme PaaS e infrastrutture di servizi IaaS.
Mentre le imprese sono state le promotrici costanti della spesa per il cloud, le PMI stanno iniziando a interfacciarsi in questo settore, con Amazon che prevede che entro il 2025, il 30% delle PMI sposterà metà dei propri carichi di lavoro chiave nel cloud per promuovere l’agilità aziendale e la resilienza futura.
Sebbene il cloud computing prometta scalabilità ed efficienza in termini di costi, spesso nasconde numerose trappole di sicurezza.
Un recente rapporto sulla sicurezza cloud di Orca Security rivela che l’81% delle organizzazioni presenta vulnerabilità negli asset cloud rivolti al pubblico.
Un’altra scoperta di BlackFrog sulla sicurezza mostra che il 61% degli attacchi dello scorso anno hanno preso di mira le PMI.
In questo articolo esploreremo lo stato della sicurezza del cloud tra le PMI, identificheremo le vulnerabilità comuni ed evidenzieremo le migliori pratiche di sicurezza del cloud.
Il panorama della sicurezza cloud per le PMI
Tra le aziende con meno di 500 dipendenti, il costo medio di una violazione dei dati, secondo IMB, è di circa 3,31 milioni di dollari per incidente.
Dato che sempre più PMI optano per modelli cloud, i criminali informatici hanno reindirizzato i loro radar verso queste organizzazioni.
A tal proposito, un sondaggio di Sophos ha indicato che il 56% degli intervistati ha riscontrato un aumento nel volume degli attacchi, il 59% nella complessità e il 53% nell’impatto.
L’indagine ha inoltre evidenziato che i servizi cloud mal configurati rappresentano i principali rischi per la sicurezza cloud per le piccole imprese.
Configurazioni errate
Le PMI si trovano ad affrontare una minaccia significativa derivante da risorse cloud configurate in modo errato, che creano involontariamente vulnerabilità facilmente fruttabili dai criminali informatici.
Gli studi di CheckPoint mostrano che l’errata configurazione delle risorse cloud ha aumentato l’esposizione ai rischi delle aziende.
Oltre agli errori di configurazione, Chris Doman, co-fondatore e CTO di Cado Security, ha dichiarato a Techopedia che gli autori delle minacce sono diventati abili nello sfruttare altri problemi, come interfacce e API non sicure e credenziali di Identity and Access Management (IAM) configurate in modo errato.
“Interfacce e API non sicure, come l’utilizzo di credenziali predefinite o API Docker aperte, il dirottamento degli account, come attacchi di phishing per ottenere credenziali cloud e credenziali IAM configurate in modo errato, sono violazioni cloud comuni.”
Sebbene i fornitori di servizi cloud abbiano apportato alcuni miglioramenti per prevenire le errate configurazioni nel cloud, Doman ritiene che gli altri problemi non possano essere risolti da questi fornitori, diventando una seria sfida per le PMI.
“La buona notizia è che i fornitori di servizi cloud hanno migliorato la configurazione predefinita, rendendo molto più difficili le configurazioni errate. La cattiva notizia è che gli altri problemi non possono essere risolti dai fornitori di servizi cloud.”
Sicurezza nel cloud per le PMI: 5 passi essenziali nel 2024
Sebbene le PMI si trovino ad affrontare vincoli di budget e risorse che rendono difficile proteggere i loro ambienti cloud, esistono ancora misure che possono aiutare a rafforzare le difese.
1. Comprendere il proprio ambiente cloud
La scelta del fornitore di servizi cloud non dovrebbe basarsi esclusivamente sul costo e sulla popolarità.
Le PMI devono impegnarsi a comprendere l’ambiente cloud del proprio fornitore preferito e garantire che i propri servizi principali siano allineati al carico di lavoro che intendono migrare nel cloud.
Oltre a questo, le PMI devono comprendere che la sicurezza del cloud è una responsabilità condivisa tra il fornitore di servizi e i suoi clienti.
Shawn Loveland, COO di Resecurity, è d’accordo, affermando che le PMI devono “prima comprendere il proprio ambiente cloud e riconoscere che la sicurezza del cloud è una responsabilità condivisa tra loro e i fornitori di servizi”.
2. Dare priorità all’attuazione dell’AMF
Doman ha suggerito che le PMI dovrebbero implementare l’autenticazione a più fattori MFA su tutti i loro account, nonché optare per i ruoli IAM anziché per gli utenti IAM per mitigare il rischio di configurazioni errate delle credenziali IAM.
Sempre Doman ha inoltre consigliato alcuni strumenti per ridurre automaticamente le autorizzazioni IAM, aggiungendo:
“L’applicazione dell’MFA su tutti gli account aiuta a prevenire gli attacchi di phishing e l’utilizzo dei ruoli IAM al posto degli utenti IAM aiuta a prevenire credenziali IAM configurate in modo errato. Ad esempio, strumenti come AWS Access Advisor possono ridurre le autorizzazioni IAM in modo semiautomatico. La protezione delle interfacce e delle API è un po’ più complicata e può essere eseguita tramite gateway API e WAF, utilizzando gli strumenti di sicurezza dei fornitori di servizi cloud per monitorare e rilevare comportamenti insoliti e scansionare l’infrastruttura alla ricerca di vulnerabilità.”
3. Cominciare in sicurezza e rimanerci nel tempo
La leadership in materia di sicurezza all’interno delle PMI dovrebbe concentrarsi sulla garanzia che l’integrazione e l’implementazione continua (CI/CD) non diventi una vulnerabilità, ha affermato Fawaz Naser, CEO di Softlist .
“Il principio di base è iniziare in sicurezza e restare al sicuro durante tutto il percorso di migrazione al cloud. Iniziare in sicurezza significa assicurarsi che tutto sia adeguatamente rafforzato prima del lancio, e restare in sicurezza significa seguire buone pratiche per la gestione di modifiche e configurazioni”.
4. Sfruttare le funzionalità di sicurezza del fornitore di servizi cloud
Le PMI possono anche sfruttare le funzionalità del fornitore di servizi cloud per rafforzare la sicurezza del cloud.
I principali fornitori di servizi cloud, come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP), offrono un’ampia gamma di funzionalità e strumenti di sicurezza integrati, progettati per aiutare le organizzazioni a rafforzare la propria sicurezza nel cloud
Pertanto, invece di pagare per uno strumento di terze parti, le PMI possono adottare le funzionalità di sicurezza pertinenti offerte dal proprio fornitore di servizi cloud.
Questo approccio può aiutare le PMI a migliorare le proprie capacità di sicurezza senza richiedere competenze interne approfondite o investimenti aggiuntivi.
Ad esempio, AWS offre servizi come AWS Identity and Access Management (IAM) per il controllo degli accessi, AWS CloudTrail per l’auditing e la registrazione e AWS Web Application Firewall (WAF) per proteggere le applicazioni Web dagli exploit Web comuni.
Allo stesso modo, Azure fornisce un centro sicurezza per la gestione unificata della sicurezza e la protezione avanzata dalle minacce, mentre GCP offre strumenti come Cloud Identity and Access Management (IAM) e Cloud Security Command Center.
5. Spingere per migliorare gli standard
Le PMI devono spingere i propri fornitori a migliorare gli standard in termini di crittografia, best practice e framework, ha riferito a Techopedia via e-mail Larry Zorio, Chief Information Security Officer di Mark43 .
“Gli utenti devono esigere standard migliori, punto. Se puoi permetterti di lavorare per un’azienda, fai pressione sui tuoi fornitori affinché implementino una crittografia avanzata e altre buone pratiche di sicurezza. Assicurati che seguano un quadro. Richiedi prove come un audit SOC2, una certificazione ISO o un’autorizzazione FedRAMP.”
Inoltre, le PMI dovrebbero implementare pratiche di crittografia avanzate per i dati inattivi e in transito.
I fornitori di servizi cloud offrono servizi e strumenti di crittografia, come AWS Key Management Service (KMS), Azure Key Vault e Google Cloud Key Management Service (Cloud KMS).
Questi servizi possono consentire alle PMI di generare, gestire e archiviare chiavi di crittografia, garantendo che solo le parti autorizzate possano accedere e decrittografare i dati sensibili.
Conclusioni
Comprensibilmente, il cloud rimane un percorso difficile da percorrere per molte PMI. Ma poiché l’adozione del cloud sta aumentando a ritmi frenetici e i criminali informatici continuano a prendere di mira questi sistemi, garantire misure di sicurezza efficaci non è un’opzione, ma una necessità.
Anche se risorse finanziarie e umane limitate potrebbero rappresentare un ostacolo all’implementazione di misure di sicurezza efficaci, alcune delle strategie sopra descritte sono economicamente vantaggiose e possono essere applicate dalle PMI senza spendere grosse cifre.
In altre parole, è fondamentale ricordare che gli investimenti nella giusta strategia di sicurezza informatica sono un investimento nella protezione degli investimenti aziendali.