La natura degli ambienti cloud richiede ai team tecnici e di sicurezza di adottare un mindset diverso per gestire la nuova superficie di attacco
Le industrie manifatturiere sono un obiettivo primario per i criminali informatici. In un settore che si basa sempre più sulla tecnologia intelligente e sull’interconnettività, il pericolo di un’interruzione massiccia è un rischio reale. Le minacce informatiche possono compromettere ogni fase dei processi, dalla progettazione e pianificazione alla produzione e distribuzione. Per salvaguardare le risorse critiche, le aziende del settore manifatturiero hanno bisogno di un sistema di difesa sofisticato e affidabile, capace di proteggere anche dati e risorse su cloud. La differenza tra la gestione della cybersecurity in ambienti on-premise e in ambienti cloud non è di poco conto. Sebbene le tattiche siano simili e gli obiettivi siano gli stessi, il cloud aggiunge una complessità che cambia completamente le dinamiche. L’architettura del cloud, la mancanza di controlli sulle modifiche e le differenze più o meno sottili nella progettazione e nelle operazioni di base delle varie piattaforme cloud rendono questo tipo di sicurezza più complessa. Nel cloud le minacce si concentrano principalmente sulle credenziali, sfruttano kill-chain superficiali e si muovono più rapidamente rispetto a quelle osservate on-premise. La stessa natura dinamica del cloud consente un’innovazione più rapida; tuttavia, gli attaccanti sfruttano anche questo vantaggio per infiltrarsi e compromettere gli ambienti. Tenendo conto di queste differenze fondamentali nel modo in cui si manifestano gli attacchi, i team di security devono pensare in modo diverso per difendere efficacemente le superfici di attacco ibride che sono chiamati a proteggere. Sebbene la migrazione verso infrastructure as a service (IaaS), platform as a service (PaaS), software as a service (SaaS) e serverless computing sia ormai consolidata, alcuni esponenti del management o dello staff tecnico che si sono formati in ambienti on-premise portano ancora con sé dei bias operativi nella gestione del cloud. La natura degli ambienti cloud richiede, però, ai team tecnici e di sicurezza di adottare un mindset diverso per comprendere e gestire la nuova superficie di attacco.
Più cloud, più ambienti
Le organizzazioni spesso utilizzano i cloud di più fornitori, per soddisfare specifiche esigenze operative, per ottimizzare prezzi e prestazioni o per accedere a funzionalità specifiche. La maggior parte delle organizzazioni di medie e grandi dimensioni utilizza due o più cloud insieme a server e infrastrutture on-premise. Per proteggere efficacemente ogni ambiente cloud, i team di cybersecurity devono essere esperti di sicurezza su ciascuno di essi. La superficie di attacco di ogni cloud è diversa, pertanto suddividere i workload su due cloud significa quasi raddoppiare le conoscenze e il lavoro necessari rispetto all’esecuzione di tutti i workload in un unico cloud. Comprendere le differenze strutturali e operative tra le operazioni on-prem e quelle in cloud è essenziale e deve essere un imperativo per le aziende.
La soluzione
Gli strumenti di prevenzione risultano insufficienti quando si tratta di rilevare nuovi vettori di attacco. Per proteggere gli ambienti cloud, è indispensabile che i team SOC si concentrino sull’identificazione degli incidenti di sicurezza grazie a una soluzione di Cloud Detection and Response (CDR). Dotata di Attack Signal Intelligence, l’offerta Vectra CDR monitora tutte le azioni in un ambiente cloud e fa emergere i comportamenti sospetti in tempo reale. Sfrutta l’intelligenza artificiale per andare oltre le anomalie basate sugli eventi o sulle semplici linee di base, concentrandosi invece sui comportamenti, le TTP (tattiche, tecniche e procedure) alla base di tutti gli attacchi. La chiarezza del segnale che ne deriva consente a Vectra di portare alla luce tempestivamente attacchi sofisticati in più fasi, in modo che i team SecOps possano rapidamente stabilire le priorità, indagare e rispondere alle minacce più urgenti. Che si tratti di un utente esistente che si comporta in modo sospetto o di un’entità esterna con credenziali compromesse che agisce all’interno dell’ambiente cloud aziendale, Attack Signal Intelligence è in grado di distinguere le azioni sospette dalle attività legittime. Quando si tratta di ambienti cloud dinamici, è indispensabile adottare gli strumenti giusti per fornire una copertura completa. Indipendentemente dalla fase in cui si trova l’azienda nel proprio percorso di migrazione al cloud, una soluzione CDR richiede pochi minuti per essere configurata e consente ai SecOps di andare rapidamente a caccia di minacce avanzate.
Vectra – https://it.vectra.ai