Past & Present. Hybrid Computing and Insider Threats.
L’infrastruttura basata su cloud è chiaramente il “gold standard” oggi e la prospettiva del futuro. Il 77% delle aziende ha almeno una applicazione o parte dell’infrastruttura informatica aziendale nel cloud. La realtà è che la maggior parte delle aziende, soprattutto quelle di grandi dimensioni, gestirà la propria infrastruttura su un modello ibrido di on-premise e cloud (privato e / o pubblico) per il prossimo futuro.
Accettare la realtà di un paradigma di calcolo ibrido è la chiave per costruire un programma di sicurezza che funzioni effettivamente. È importante riconoscere che le minacce interne assumono diverse sembianze nei mondi cloud vs on-prem. Man mano che l’infrastruttura diventa più complessa e diversificata, le identità e le credenziali degli addetti ai lavori si moltiplicano. Questo rende difficile per i team di sicurezza mantenere le schede in modo centralizzato.
Un programma di insider threat di successo è in grado di identificare e bloccare comportamenti rischiosi, sia che avvenga su un endpoint, su una rete locale, nel cloud pubblico o altrove. Diamo un’occhiata a ciò che le aziende devono capire sul computing ibrido per proteggersi dalle minacce interne.
Past & Present. Nuove strade per l’Insider Threats nel Cloud.
Il cloud apporta molti vantaggi alle aziende, dalla rapida scalabilità ai risparmi sui costi. Tuttavia, per sua natura, il cloud apre anche molti più vettori per l’accesso ai dati e quindi maggiori opportunità per gli incident delle minacce interne.
Il cloud ha reso più facile per le aziende l’utilizzo di third-party contractors per portare a termine il lavoro, il che ha portato a un aumento di questa pratica. Le aziende possono ora portare MSSP a contratto in un portale SIEM condiviso, proprio come farebbero con un dipendente. L’utilizzo di manodopera a contratto può essere una mossa aziendale molto intelligente. Significa però che esiste un gruppo più ampio di persone che potenzialmente possono diventare minacce interne. Molti di questi appaltatori possono essere utenti privilegiati, con credenziali amministrative che consentono loro l’accesso a parti sensibili dell’infrastruttura aziendale.
La buona notizia è che i fornitori di cloud pubblici hanno svolto un lavoro eccellente documentando le loro misure di sicurezza e conformità. Offrono una vasta gamma di strumenti per aiutare le aziende a bloccare la loro infrastruttura contro le minacce interne. Per sfruttare il cloud senza esporti a nuove minacce interne, è importante comprendere due principi chiave.
Past & Present. Shared Responsibility.
Le aziende devono acquistare il modello di responsabilità condivisa quando si tratta di cloud. L’idea di base è questa: i fornitori di cloud pubblici come AWS e Azure sono responsabili della sicurezza del cloud, mentre le organizzazioni sono responsabili della sicurezza nel cloud. Spetta a te assicurarti di implementare misure di sicurezza come la crittografia e i controlli di accesso e autenticazione per proteggere i dati e le applicazioni nel cloud. Finché si prendono queste misure, non vi è alcun motivo per cui non è possibile memorizzare dati sensibili nel cloud.
Past & Present. Least Privilege.
Uno dei modi migliori per mitigare il rischio di minacce interne consiste nell’utilizzare il principio del privilegio minimo. Ciò significa che gli addetti ai lavori, che vanno dai dipendenti agli appaltatori terzi, dovrebbero avere solo l’accesso necessario per completare il proprio lavoro e non di più. In alcuni casi, ciò potrebbe significare concedere l’accesso temporaneo e revocarlo tempestivamente. Il minimo privilegio può essere un utile principio anche per la sicurezza on-premise. È però particolarmente importante nel cloud. Lasciare l’accesso all’infrastruttura aperto non significa solo che un dipendente o un appaltatore può ottenerlo: potrebbe significare che chiunque può arrivare a esso.
Past & Present. Consolidating Identity Across Infrastructure.
Una delle maggiori sfide nella gestione di un’infrastruttura di elaborazione ibrida è che può essere difficile per i team di sicurezza indicare chi è chi attraverso le applicazioni on-prem e basate su cloud. Per questo motivo, l’infrastruttura ibrida spesso causa significativi “punti ciechi” per la sicurezza. Ciò può rendere difficile l’identificazione quando, ad esempio, un dipendente abusa dei privilegi e rappresenta una minaccia interna. L’implementazione di una piattaforma di gestione delle identità centralizzata può creare un’identità unificata tra on-prem e cloud per ciascun utente. Aumenta la visibilità per le aziende di sicurezza e consente di capire chi è chi all’interno dell’organizzazione. Una volta che è possibile capire “chi è chi” attraverso un’infrastruttura ibrida, l’attenzione per il rilevamento delle minacce interne dovrebbe spostarsi sull’attività dell’utente e sul movimento dei dati, di cui parleremo in seguito.
Past & Present. Cloud-Friendly Approach.
Il monitoraggio delle attività degli utenti e il monitoraggio delle attività dei dati sono i modi migliori per monitorare e acquisire dati e contesto chiave relativi agli incidenti delle minacce interne. Questo indipendentemente da dove si svolgano attività sospette. Concentrarsi sull’attività degli utenti e dei dati significa che sei agnostico su dove si svolge l’attività.
I team di sicurezza dovrebbero essere in grado di monitorare e segnalare lo spostamento di file tra cartelle locali e servizi di archiviazione basati su cloud o supporti rimovibili. Gli analisti e gli investigatori della sicurezza dovrebbero essere in grado di catturare tutti i comportamenti degli utenti e ricostruire il contesto attorno a qualsiasi incident si verifichi.
La piattaforma ObserveIT, monitora e acquisisce i dati chiave relativi agli incident delle minacce interne, sia che avvengano in loco o nel cloud. Monitora le sessioni utente (attività su schermo, mouse e tastiera, accessi locali e remoti) e trasmette i dati acquisiti in tempo reale. È così possibile documentare gli incident legati alle minacce interne e intervenire in modo tempestivo.
L’Hybrid Computing è la realtà oggi e probabilmente lo sarà ancora per molto tempo. Le aziende devono tenerne conto quando creano un insider threat program per ridurre il rischio di costosi incident di minacce interne.
Per avere maggiori informazioni su ObserveIT consulta la nostra pagina: http://www.bludis.it/p/observeit/
Se invece vuoi informazioni di carattere tecnico o commerciale contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.