La nuova ricerca del team di Unit 42 di Palo Alto Networks sulle minacce cloud evidenzia l’importanza dell’Identity and access management (IAM).
La transizione in corso verso le piattaforme cloud comporta sempre più dati sensibili memorizzati nel cloud, rendendoli obiettivi più allettanti per gli attori di minacce, sottolinea Palo Alto Networks.
Quando si tratta di proteggere il cloud, l’identità è la prima linea di difesa e senza un’adeguata strategia di identity and access management, un’organizzazione può implementare diversi strumenti di protezione, ma non otterrà mai una sicurezza completa.
Per capire come le policy IAM influenzano la postura di sicurezza del cloud in azienda, Palo Alto Networks ha analizzato oltre 680.000 identità su 18.000 account cloud di 200 diverse organizzazioni per comprendere configurazione e modelli di utilizzo.
I risultati della ricerca – sottolinea in modo forte e drastico Palo Alto Networks – sono stati scioccanti.
Quasi tutte le aziende coinvolte non hanno controlli corretti delle policy di gestione IAM per rimanere sicure, aprendo la porta a ciò che Unit 42 definisce un nuovo tipo di minaccia: gli “attori di minacce cloud”.
Ovvero: “un individuo o un gruppo che rappresenta una minaccia per le organizzazioni attraverso un accesso diretto e prolungato a risorse, servizi o metadati incorporati della piattaforma cloud.”
Gli attori delle minacce cloud secondo Unit 42 meritano una definizione separata perché hanno iniziato a utilizzare una serie di tattiche, tecniche e procedure (TTP) fondamentalmente diversa, unica per il cloud.
Come, ad esempio, sfruttare la capacità di eseguire contemporaneamente operazioni di movimento laterale ed escalation dei privilegi.
Una delle conseguenze della pandemia – mette in evidenza il team di Palo Alto Networks – è stata l’espansione significativa dei workload cloud, con un’impennata significativa del numero di organizzazioni che ospitano per più della metà dei loro workload sul cloud.
Identità punto chiave della sicurezza cloud
L’identità deve quindi essere il punto chiave nella definizione di una strategia di sicurezza cloud, sottolinea Palo Alto Networks.
Quando gli attaccanti approfittano di controlli di accesso all’identità mal configurati o troppo permissivi, non hanno bisogno di programmare un attacco complesso, e possono semplicemente ottenere l’accesso alle risorse come se ne avessero diritto.
I cybercriminali cercano organizzazioni con controlli IAM non adeguati, creando una nuova tipologia di minaccia più sofisticata ma che richiede meno sforzi di esecuzione.
Il “Cloud Threat Report: IAM la prima linea di difesa” di Unit 42 presenta alcuni dati che spiegano perché IAM sia un obiettivo:
- Riutilizzo delle password: il 44% delle organizzazioni consente il riutilizzo delle password IAM.
- Password deboli (<14 caratteri): il 53% degli account cloud consente l’uso di password deboli.
- Le identità cloud sono troppo permissive: al 99% di utenti, ruoli, servizi e risorse cloud sono stati concessi permessi eccessivi che sono poi rimasti inutilizzati (Unit 42 considera i permessi eccessivi quando rimangono inutilizzati per 60 giorni o più).
- Le policy integrate dei cloud service provider (CSP) non sono gestite correttamente dagli utenti e concedono 2,5 volte più permessi delle policy gestite dal cliente. Esse vengono utilizzate dalla maggior parte degli utenti cloud, che sarebbero in grado di ridurre i permessi concessi, ma spesso non lo fanno.
Con le organizzazioni che consentono permessi eccessivi e policy troppo permissive, gli hacker sono troppo spesso accolti nell’ambiente cloud di un’organizzazione a porte aperte, avverte il team di Unit 42.
La maggior parte delle aziende è impreparata a un attacco che sfrutta policy IAM deboli. Anche gli avversari lo sanno e prendendo di mira le credenziali IAM cloud sono in grado di raccoglierle come parte delle loro procedure operative standard, sfruttando nuove TTP uniche per le piattaforme cloud.
Come difendersi dalle minacce cloud IAM
Per aiutare le organizzazioni a difendersi da questa minaccia, Unit 42 ha creato il primo Cloud Threat Actor Index del settore.
Questo traccia le operazioni eseguite dai gruppi di attori che prendono di mira l’infrastruttura cloud, dettagliando le tecniche di ogni attore delle minacce cloud, per consentire a team di sicurezza e aziende di valutare le difese strategiche e definire meccanismi adeguati di monitoraggio, rilevamento, allerta e prevenzione.
Il Cloud Threat Actor Index evidenzia i principali attori cloud, i primi cinque sono:
- TeamTNT: il gruppo più noto e sofisticato che prende di mira le credenziali.
- WatchDog: considerato un gruppo opportunista che ha come target istanze e applicazioni cloud esposte.
- Kinsing: Attore di minacce cloud opportunistico e motivato finanziariamente con un forte potenziale per la raccolta di credenziali cloud.
- Rocke: Specializzato in operazioni ransomware e di cryptojacking all’interno di ambienti cloud.
- 8220: Gruppo specializzato nel mining di Monero che presumibilmente ha elevato le proprie operazioni di estrazione sfruttando Log4j lo scorso dicembre.
Una corretta configurazione IAM – sottolinea Unit 42 – può bloccare l’accesso involontario, fornire visibilità sulle attività cloud e ridurre l’impatto in caso di incidenti di sicurezza.
