Il cloud è infestato di configurazioni errate, e non ce ne accorgiamo

Nessun malware, nessuna squadra di cyberspionaggio all’assalto: spesso le violazioni con furto di dati sono colpa di banali errori di configurazione. I data breach, in altre parole, spesso sono resi possibili da errate configurazioni delle risorse Infrastructure-as-a-Service che contengono i dati oppure da configurazioni volutamente non sicure, opera di disonesti dipendenti o collaboratori (attuali o ex). Una password che scompare, o privilegi di accesso inspiegabilmente generosi con qualsiasi sconosciuto si trovi a bussare alla porta di una risorsa cloud. Il problema delle configurazioni non sicure riguarda, infatti, soprattutto i server fisici e le macchine virtuali ospitati dal cloud, come evidenziato da una nuova ricerca di McAfee titolata “Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk”. 

La società di sicurezza ha messo insieme un migliaio di interviste (realizzate su altrettanti professionisti It di 11 nazioni) e dati reali (tratti da 30 milioni di utenti del servizio McAfee Mvision) per capire se sulla questione delle configurazioni errate ci sia una percezione realistica oppure no. Decisamente no: in media, gli intervistati ritengono di imbattersi in 37 problemi di configurazione di risorse IaaS al mese, mentre i monitoraggi di McAfee dicono che sono molte di più. In alcuni casi, migliaia. 

Non rassicura, inoltre, il fatto che circa un intervistato su quattro impieghi 24 ore o più per correggere l’errore dopo averne appreso l’esistenza. E si annoverano poi i casi estremi di chi ha ammesso di aver fatto passare più di un mese dalla segnalazione prima di arrivare a risolvere il problema.

Perché accade tutto questo? Il ricorso al cloud comporta i numerosi vantaggi che tutti conosciamo, dal denaro risparmiato (per gli acquisti di hardware non compiuti) alla maggiore flessibilità e scalabilità. Comporta però anche, almeno in molti casi, una perdita di visibilità sulle risorse che ospitano e che dovrebbero proteggere i casi. “Nella cosa all’adozione dell’Infrastructure-as-a-Service”, commenta Rajiv Gupta, senior vice president of Cloud Security di McAfee, “molte aziende sottovalutano il modello di condivisione delle responsabilità tipico del cloud e danno per scontato che sia il provider a farsi carico della sicurezza interamente. E invece la sicurezza di ciò che i clienti mettono nel cloud, e in particolare dei dati sensibili, è una loro responsabilità”.

Tutta questa negligenza e mancanza di visibilità non possono che produrre effetti nefasti. Sul totale degli intervistati, il 90% ha dichiarato di essersi imbattuto in un problema di configurazione almeno una volta. A detta di McAfee, gli incidenti con perdita di dati da risorse IaaS sono aumentati del 248% nel giro di un anno.