La cybersicurezza del cloud, invece di migliorare, peggiora. Il discorso non riguarda le tecnologie e i metodi di sicurezza offerti dai cloud service provider, come Amazon Web Services, Google Cloud, Microsoft Azure od Oracle Cloud. Riguarda, invece, la gestione dei permessi d’accesso e delle identità, il cosiddetto Identity and Access Management. Una nuova ricerca della Unit 42 di Palo Alto Networks svela che attualmente gli ambienti cloud delle aziende sono a rischio di attacco informatico ancor più di quanto non fossero alla fine del 2020. La causa? Configurazioni errate, password non efficaci, permessi di accesso troppo “generosi” e la mancanza di meccanismi di autenticazione multifattore (Mfa) sono le principali.
Questo nuovo studio aggiorna i risultati di una precedente analisi, il “Cloud Threat Report, 2H 2020”, pubblicato nell’ottobre dello scorso anno. Un aggiornamento necessario: dopo i clamorosi attacchi informatici realizzati attraverso il software SolarWindws e Microsoft Exchange Server, è interessante capire come si siano mosse le aziende per arginare il rischio di hackeraggi e furto dati.
In realtà i ricercatori della Unit 42 hanno rilevato un significativo aumento di aziende che non attivano meccanismi Mfa, che non fanno ruotare le credenziali con la necessaria frequenza o che utilizzano account di servizio troppo permissivi nelle loro istanze create con i cloud service provider. Tutto ciò espone le aziende al rischio di incidenti di sicurezza di alto profilo, conseguenti alla violazione di un account che può accedere all’istanza cloud.
In particolare, da un anno all’altro è cresciuto del 60% il numero delle aziende che configurano i bucket storage di Google Cloud in modo che siano accessibili a tutti gli utenti; quelle che non hanno attivato l’autenticazione multifattore per gli account root su Aws sono aumentate del 42%; ed è salito del 22% il numero di aziende che usano servizi Aws senza ruotare le chiavi di accesso per più di 90 giorni.
Ne emerge un quadro preoccupante. In particolare, i ricercatori sottolineano il fatto che gli account root (i primi che vengono creati all’interno di un ambiente cloud) rappresentino “un collo di bottiglia significativo” nella sicurezza: se viene compromesso uno di questi account, l’attaccante potrebbe aggirare anche i meccanismi di protezione delle identità forniti da un third party provider.