I criminali informatici cercano sempre punti ciechi nella gestione degli accessi, siano essi configurazioni errate, pratiche di credenziali inadeguate, bug di sicurezza senza patch o altre porte nascoste del castello aziendale. Ora, mentre le organizzazioni continuano la loro tendenza alla modernizzazione verso il cloud, i malintenzionati stanno sfruttando un'opportunità emergente: accedere a difetti e configurazioni errate nel modo in cui le organizzazioni utilizzano i provider di servizi cloud Identity and Access Management (IAM) strati.
In un discorso di mercoledì 10 agosto al Black Hat USA dal titolo “Io sono quello che bussa”, Igal Gofman, responsabile della ricerca per Ermetic, offrirà una panoramica di questa frontiera del rischio emergente. “I difensori devono capire che il nuovo perimetro non è il livello di rete come lo era prima. Ora è davvero IAM: è il livello di gestione che governa tutto”, dice a Dark Reading.
Complessità, identità della macchina = insicurezza
L'insidia più comune in cui si trovano ad affrontare i team di sicurezza quando implementano il cloud IAM non è il riconoscimento dell'assoluta complessità dell'ambiente, osserva. Ciò include la comprensione della quantità crescente di autorizzazioni e l'accesso creati dalle app SaaS (Software-as-a-Service).
"Gli avversari continuano a mettere le mani su token o credenziali, tramite phishing o qualche altro approccio", spiega Gofman. “Un tempo, quelli non davano molto all'attaccante oltre a quello che era su una macchina locale. Ma ora questi token di sicurezza hanno molto più accesso, perché tutti negli ultimi anni sono passati al cloud e hanno più accesso alle risorse cloud".
La questione della complessità è particolarmente acuta quando si tratta di entità macchina — che, a differenza degli umani, lavorano sempre. Nel contesto cloud, vengono utilizzati per accedere alle API cloud utilizzando le chiavi API; abilitare applicazioni serverless; automatizzare i ruoli di sicurezza (ad esempio, broker di servizi di accesso al cloud o CASB); integrare app e profili SaaS tra loro utilizzando account di servizio; e altro ancora.
Dato che l'azienda media ora utilizza centinaia di app e database basati su cloud, questa massa di identità di macchine presenta una rete altamente complessa di autorizzazioni e accessi intrecciati che sono alla base delle infrastrutture delle organizzazioni, in cui è difficile ottenere visibilità e quindi difficile da gestire, dice Gofman. Ecco perché gli avversari cercano sempre di più di sfruttare queste identità.
"Stiamo assistendo a un aumento dell'uso di identità non umane, che hanno accesso a diverse risorse e diversi servizi internamente", osserva. “Questi sono servizi che dialogano con altri servizi. Hanno autorizzazioni e di solito un accesso più ampio rispetto agli umani. I fornitori di servizi cloud stanno spingendo i loro utenti a utilizzarli, perché a livello di base li considerano più sicuri. Ma ci sono alcune tecniche di sfruttamento che possono essere utilizzate per compromettere gli ambienti usando quelle identità non umane”.
Le entità macchina con autorizzazioni di gestione sono particolarmente interessanti da utilizzare per gli avversari, aggiunge.
"Questo è uno dei principali vettori che i criminali informatici prendono di mira, soprattutto in Azure", spiega. "Se non hai una conoscenza approfondita di come gestirli all'interno dell'IAM, stai offrendo una falla nella sicurezza".
Come aumentare la sicurezza IAM nel cloud
Da un punto di vista difensivo, Gofman intende discutere le numerose opzioni a disposizione delle organizzazioni per affrontare il problema dell'implementazione di un IAM efficace nel cloud. Innanzitutto, le organizzazioni dovrebbero utilizzare le capacità di registrazione dei provider di servizi cloud per creare una visione completa di chi e cosa esiste nell'ambiente.
"Questi strumenti in realtà non sono ampiamente utilizzati, ma sono buone opzioni per capire meglio cosa sta succedendo nel tuo ambiente", spiega. “Puoi usare la registrazione anche per ridurre la superficie di attacco, perché puoi vedere esattamente cosa stanno usando gli utenti e quali autorizzazioni hanno. Gli amministratori possono anche confrontare le politiche dichiarate con ciò che viene effettivamente utilizzato anche all'interno di una determinata infrastruttura".
Ha inoltre in programma di analizzare e confrontare i diversi servizi IAM dei primi tre provider di cloud pubblico — Amazon Web Services, Google Cloud Platform e Microsoft Azure — e i loro approcci alla sicurezza, che sono tutti leggermente diversi. L'IAM multi-cloud è un'ulteriore ruga per le aziende che utilizzano cloud diversi di fornitori diversi e Gofman osserva che comprendere le sottili differenze tra gli strumenti che offrono può fare molto per rafforzare le difese.
Le organizzazioni possono anche utilizzare una varietà di strumenti open source di terze parti per ottenere una migliore visibilità sull'infrastruttura, osserva, aggiungendo che lui e il suo co-presentatore Noam Dahan, responsabile della ricerca presso Ermetic, hanno in programma di provare un'opzione.
"Cloud IAM è estremamente importante", afferma Gofman. "Parleremo dei pericoli, degli strumenti che possono essere utilizzati e dell'importanza di comprendere meglio quali autorizzazioni vengono utilizzate e quali non vengono utilizzate e come e dove gli amministratori possono identificare i punti ciechi".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
