Sebbene la sicurezza del cloud abbia sicuramente fatto molta strada dai tempi selvaggi dell'adozione del cloud, la verità è che c'è ancora molta strada da fare prima che la maggior parte delle organizzazioni oggi abbia veramente maturato le proprie pratiche di sicurezza del cloud. E questo costa enormemente alle organizzazioni in termini di incidenti di sicurezza.
Uno studio di Vanson Bourne all’inizio di quest’anno è emerso che quasi la metà delle violazioni subite dalle organizzazioni nell’ultimo anno hanno avuto origine nel cloud. Lo stesso studio ha rilevato che l’organizzazione media ha perso quasi 4.1 milioni di dollari a causa di violazioni del cloud nell’ultimo anno.
Dark Reading ha recentemente incontrato il padrino della sicurezza Zero Trust, John Kindervag, per discutere dello stato della sicurezza del cloud oggi. Quando era analista presso Forrester Research, Kindervag ha contribuito a concettualizzare e diffondere il modello di sicurezza Zero Trust. Ora è capo evangelista presso Illumio, dove nonostante il suo impegno è ancora un grande sostenitore del zero trust, spiegando che è un modo fondamentale per riprogettare la sicurezza nell'era del cloud. Secondo Kindervag, le organizzazioni devono affrontare le seguenti dure verità per raggiungere il successo.
1. Non diventi più sicuro semplicemente passando al cloud
Uno dei più grandi miti odierni sul cloud è che sia intrinsecamente più sicuro della maggior parte degli ambienti on-premise, afferma Kindervag.
"C'è un malinteso di fondo sul cloud, ovvero che in qualche modo ci sia più sicurezza incorporata in modo nativo, che si sia più sicuri passando al cloud semplicemente con l'atto di andare nel cloud", afferma.
Il problema è che, sebbene i fornitori di cloud iperscalabile possano essere molto bravi nel proteggere l'infrastruttura, il controllo e la responsabilità che hanno sulla sicurezza dei loro clienti sono molto limitati.
“Molte persone pensano di esternalizzare la sicurezza al fornitore di servizi cloud. Pensano di trasferire il rischio”, dice. “Nella sicurezza informatica, non è mai possibile trasferire il rischio. Se sei il custode di quei dati, sarai sempre il custode dei dati, indipendentemente da chi li conserva per te."
Questo è il motivo per cui Kindervag non è un grande fan della frase spesso ripetuta “responsabilità condivisa”, che secondo lui fa sembrare che ci sia una divisione 50-50 del lavoro e dello sforzo. Preferisce la frase “stretta di mano irregolare”, coniato dal suo ex collega della Forrester, James Staten.
"Questo è il problema fondamentale, è che la gente pensa che esista un modello di responsabilità condivisa, e invece c'è una stretta di mano irregolare", dice.
2. I controlli di sicurezza nativi sono difficili da gestire in un mondo ibrido
Nel frattempo, parliamo di quei controlli di sicurezza cloud nativi migliorati che i fornitori hanno sviluppato negli ultimi dieci anni. Sebbene molti fornitori abbiano svolto un buon lavoro offrendo ai clienti un maggiore controllo sui carichi di lavoro, sulle identità e sulla visibilità, tale qualità è incoerente. Come dice Kindervag, “Alcuni di loro sono buoni, altri no”. Il vero problema di tutti questi servizi è che sono difficili da gestire nel mondo reale, al di là dell'isolamento dell'ambiente di un singolo fornitore.
“Ci vogliono molte persone per farlo, e sono diverse in ogni singolo cloud. Penso che ogni azienda con cui ho parlato negli ultimi cinque anni abbia un modello multicloud e uno ibrido, entrambi realizzati contemporaneamente", afferma. "Essere ibrido: 'Sto utilizzando i miei contenuti e i cloud on-premise e utilizzo più cloud e potrei utilizzare più cloud per fornire l'accesso a diversi microservizi per una singola applicazione.' L’unico modo per risolvere questo problema è avere un controllo di sicurezza che possa essere gestito su tutti i cloud”.
Questo è uno dei grandi fattori che guidano le discussioni sullo spostamento del Zero Trust nel cloud, afferma.
“Lo zero trust funziona indipendentemente da dove metti dati o risorse. Potrebbe essere nel cloud. Potrebbe essere in sede. Potrebbe essere un endpoint”, afferma.
3. L'identità non salverà il tuo cloud
Con così tanta enfasi posta al giorno d'oggi sulla gestione delle identità nel cloud e un'attenzione sproporzionata sulla componente identità in Zero Trust, è importante che le organizzazioni comprendano che l'identità è solo una parte di una colazione ben bilanciata per Zero Trust nel cloud.
“Gran parte della narrativa Zero Trust riguarda identità, identità, identità”, afferma Kindervag. “L’identità è importante, ma consumiamo l’identità nella politica in zero trust. Non è tutto, insomma. Non risolve tutti i problemi”.
Ciò che Kindervag intende è che con un modello zero trust, le credenziali non forniscono automaticamente agli utenti l'accesso a qualsiasi cosa sotto il sole all'interno di un determinato cloud o rete. La policy limita esattamente cosa e quando viene concesso l’accesso a risorse specifiche. Kindervag è da molto tempo un sostenitore della segmentazione – di reti, carichi di lavoro, risorse, dati – molto prima che iniziasse a delineare il modello Zero Trust. Come spiega, il nocciolo della definizione dell’accesso Zero Trust in base alla policy è dividere le cose in “superfici protette”, poiché il livello di rischio dei diversi tipi di utenti che accedono a ciascuna superficie protetta definirà le policy che verranno allegate a ciascuna credenziale.
“Questa è la mia missione: convincere le persone a concentrarsi su ciò che devono proteggere, mettere gli elementi importanti su varie superfici di protezione, come dovrebbe essere il database delle carte di credito PCI sulla propria superficie di protezione. Il database delle risorse umane dovrebbe trovarsi nella propria superficie protetta. L'HMI del sistema IoT o del sistema OT dovrebbe trovarsi sulla propria superficie protetta", afferma. “Quando suddividiamo il problema in piccole parti, le risolviamo una alla volta e le facciamo una dopo l’altra. Lo rende molto più scalabile e fattibile”.
4. Troppe aziende non sanno cosa stanno cercando di proteggere
Quando le organizzazioni decidono come segmentare le proprie superfici protette nel cloud, devono prima definire chiaramente cosa stanno cercando di proteggere. Questo è fondamentale perché ogni risorsa, sistema o processo porterà con sé il proprio rischio unico, e ciò determinerà le politiche di accesso e il rafforzamento attorno ad esso. Lo scherzo è che non costruiresti un caveau da 1 milione di dollari per ospitare poche centinaia di penny. L'equivalente cloud metterebbe un sacco di protezione attorno a una risorsa cloud isolata dai sistemi sensibili e non ospita informazioni sensibili.
Kindervag afferma che è incredibilmente comune per le organizzazioni non avere un'idea chiara di ciò che stanno proteggendo nel cloud o oltre. In effetti, la maggior parte delle organizzazioni oggi non ha nemmeno necessariamente un'idea chiara di cosa si trova nel cloud o di cosa si collega al cloud, per non parlare di cosa necessita di protezione. Per esempio, uno studio della Cloud Security Alliance mostra che solo il 23% delle organizzazioni ha piena visibilità sugli ambienti cloud. E lo studio Illumio dell'inizio di quest'anno mostra che il 46% delle organizzazioni non ha piena visibilità sulla connettività dei servizi cloud della propria organizzazione.
"Le persone non pensano a ciò che stanno effettivamente cercando di realizzare, a ciò che stanno cercando di proteggere", afferma. Si tratta di una questione fondamentale che porta le aziende a sprecare molti soldi per la sicurezza senza impostare adeguatamente la protezione nel processo, spiega Kindervag. "Verranno da me e mi diranno 'Zero Trust non funziona', e io chiederò: 'Bene, cosa stai cercando di proteggere?' e loro diranno: "Non ci ho ancora pensato" e la mia risposta è "Beh, allora non sei nemmeno vicino a iniziare il processo di zero trust. '"
5. Gli incentivi per lo sviluppo nativo del cloud sono fuori controllo
Le pratiche DevOps e lo sviluppo nativo del cloud sono stati notevolmente migliorati grazie alla velocità, alla scalabilità e alla flessibilità offerte dalle piattaforme e dagli strumenti cloud. Quando la sicurezza è adeguatamente integrata in questo mix, possono accadere cose buone. Ma Kindervag afferma che la maggior parte delle organizzazioni di sviluppo non sono adeguatamente incentivate a realizzare ciò, il che significa che l’infrastruttura cloud e tutte le applicazioni che si basano su di essa sono messe a rischio nel processo.
“Mi piace dire che quelli che lavorano con l'app DevOps sono i Ricky Bobby dell'IT. Vogliono solo andare veloci. Ricordo di aver parlato con il responsabile dello sviluppo di un'azienda che alla fine è stata violata e gli stavo chiedendo cosa stesse facendo riguardo alla sicurezza. E lui ha detto: 'Niente, non mi interessa la sicurezza'”, dice Kindervag. "Ho chiesto: 'Come puoi non preoccuparti della sicurezza?' e lui dice "Perché non ho un KPI per questo". Il mio KPI dice che devo fare cinque spinte al giorno nella mia squadra e, se non lo faccio, non ottengo un bonus.'”
Kindervag afferma che questo è un esempio di uno dei grandi problemi, non solo in AppSec, ma nel passaggio allo zero trust per il cloud e oltre. Troppe organizzazioni semplicemente non dispongono delle giuste strutture di incentivi per realizzarlo, e in effetti molte hanno incentivi perversi che finiscono per incoraggiare pratiche insicure.
Questo è il motivo per cui è un sostenitore della creazione di centri di eccellenza Zero Trust all'interno delle imprese che includano non solo tecnici ma anche leadership aziendale nella pianificazione, progettazione e nei processi decisionali in corso. Quando questi team interfunzionali si incontrano, dice, ha visto “le strutture di incentivi cambiare in tempo reale” quando un potente dirigente aziendale si fa avanti per dire che l'organizzazione si muoverà in quella direzione.
“Le iniziative Zero Trust di maggior successo sono state quelle in cui sono stati coinvolti i leader aziendali”, afferma Kindervag. “Ne ho avuto uno in un’azienda manifatturiera in cui il vicepresidente esecutivo, uno dei massimi leader dell’azienda, è diventato un sostenitore della trasformazione Zero Trust per l’ambiente produttivo. Tutto è andato molto bene perché non c’erano inibitori”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
