Il cloud? È mal configurato nella stragrande maggioranza dei casi. L'analisi di Zscaler

Mai nome fu più azzeccato per un rapporto sulla sicurezza! "2022 Cloud (In)Security Report" è il titolo della più recente analisi condotta da Zscaler sulla sicurezza in cloud. O della sua assenza! Secondo la multinazionale californiana, infatti, sono stati rilevati errori di configurazione nel 98,6% delle imprese analizzate. Dati non certo presi a campione, ma derivati proprio dall'utilizzo della piattaforma di Zscaler, che gestisce qualcosa come 260 miliardi di "transazioni" quotidiane (in questo caso non economiche o bancarie, ma intese come operazioni).

Tutti adottano il cloud, quasi nessuno lo configura adeguatamente

Il cloud è ormai estremamente diffuso. Più della metà delle imprese che si appoggiano alla piattaforma di Zscaler sfrutta più di un servizio di cloud pubblico, mentre il 66,7% usa bucket sul public cloud per archiviare dati. Purtroppo, nella maggior parte dei casi, lo fanno male, almeno secondo l'analisi di Zscaler. 

Il problema più diffuso, che affligge praticamente tutte le aziende analizzate da Zscaler (il 98,6%) è relativo agli errori di configurazione. Secondo la multinazionale, più di un data breach di elevato profilo che ha coinvolto risorse su cloud pubblico non era dovuto a vulnerabilità, bensì a questa tipologia di errori, fra cui errata gestione dei permessi di accesso, delle password, l'utilizzo di bucket non cifrati per lo storage. 

Un altro problema molto diffuso è il mancato utilizzo dell'autenticazione a più fattori (MFA): ben il 97,1% delle imprese consente l'accesso ad account con privilegi elevati senza richiedere un'autenticazione doppia o a più fattori. 

Sempre in tema di protezione degli account, numerose imprese non applicano adeguati controlli sugli utenti esterni. Il 68% delle imprese garantiscono l'accesso alle risorse della loro infrastruttura anche a partner e integratori. Di queste, 3 su 4 (75,4%) non applicano limiti o controlli più serrati su questi accessi, esponendosi così a potenziali rischi per la sicurezza. 

Per quanto riguarda il ransomwwre, una delle minacce più diffuse, il 59,4% delle imprese non applica i controlli base per prevenire e mitigare questi attacchi sulle loro risorse cloud. Un esempio classico è quello dell'utilizzo di Amazon S3 Versioning, una soluzione che consente di avere differenti versioni dello stesso oggetto nello stesso bucket. Amazon S3 Versioning include una potente funzione di sicurezza, MFA Delete, che richiede un'autenticazione a più fattori per sovrascrivere o eliminare questi oggetti. Funzione che, purtroppo, viene usata da meno di metà degli utenti.

Rispetto a questi dati, ci fa quasi sentire sicuri che "solo" il 17,4% delle realtà prese in esame utilizzi immagini di macchine virtuali che contengono vulnerabilità o che non restringono l'accesso ai server di storage. 

In definitiva, è evidente che c'è ancora molto da fare sotto il profilo della sicurezza sul cloud, soprattutto per quanto riguarda la consapevolezza. A giudicare dai dati, la sensazione è che le imprese che adottano il cloud spesso lo facciano senza realizzare il potenziale impatto sulla sicurezza delle proprie informazioni. Sicuramente una parte di errori di configurazione sono frutto di distrazioni o pratiche errate da parte dei team IT, ma in certi casi si ha l'impressione che alcune imprese (e non poche) abbiano a che fare con un perimetro che si è espanso troppo, di cui non riescono a tenere traccia né a garantire la sicurezza. Forse anche per voler snellire e semplificare le procedure di accesso, non vengono adottate tecnologie chiave come la MFA che, pur non essendo la panacea di tutti i mali, può evitare numerosi incidenti di sicurezza.