Il cloud computing è flessibile, economico ed è metodo rodato per la fornitura e l’uso di servizi via internet. Poiché i servizi e i dati aziendali vengono affidati a terzi, sicurezza e privacy sono esposti a un livello di rischio più elevato, il cloud sfrutta infatti diverse tecnologie, ereditandone anche le vulnerabilità.

La natura del cloud costituisce di per sé un problema, il cui enunciato suona così: a risorsa condivisa corrisponde rischio condiviso. Dati e applicazioni possono acquisire e distribuire problemi di vulnerabilità e configurazione, i quali possono persino mettere in crisi tutta la struttura e causare il danno totale, il data loss (perdita di dati).

Robert Arandjelovic, Director product marketing EMEA di Symantec – Blue Coat
Robert Arandjelovic, Director product marketing EMEA di Symantec – Blue Coat

Le minacce a cui è esposto il cloud computing sono molte, racchiuderle in macro-aree aiuta a comprenderle meglio: tra queste gli attacchi hacker, il software malevolo, l’account hijacking e le insidie interne, in parte ereditate da una diligence perfettibile. Raggruppare le minacce aiuta solo a fare chiarezza ma non circoscrive il problema, soprattutto negli ambienti altamente virtualizzati, in cui le macchine possono essere spente o in stato di sospensione per diverse ore, rendendo più difficile l’individuazione di eventuale codice malevolo. La facilità con cui una macchina virtuale può essere replicata all’interno di una rete può dare il via, se già infetta, al proliferare di una pericolosa epidemia.

Queste macro-aree vanno interpretate in modo diverso a seconda del tipo di cloud: un datacenter ha problemi diversi da quelli del cliente finale il quale, a sua volta, necessita di procedure e policies che garantiscano affidabilità e sicurezza.

Ogni macro-area va inoltre contestualizzata nell’ambiente cloud a dipendenza dell’uso di Platform as a Service (PaaS), Software as a Service (SaaS) e Infrastructure as a Service (IaaS), piattaforme riunite sotto l’acronimo PSI e che, ognuna con le proprie peculiarità, sono compartecipi nello scenario del cloud.

Conoscere le minacce, oltre a favorire la crescita del cloud, aiuta chi ne fa uso a tutelarsi, ogni pericolo può essere limitato con procedure aziendali che devono essere seguite da ogni utente, perché la sicurezza, in ogni sua forma, parte dalla diligence interna. Molto spesso le procedure sono figlie del buonsenso e della prudenza.

Data breach
La violazione dei dati nasce prima del cloud ma ciò non toglie che, con l’affermarsi della nuvola, i pericoli siano per lo meno triplicati, così come sostenuto da uno studio condotto nel 2014 dal Ponemon Institute e ancora attuale, come insegnano  il caso Ashley Madison o il caso Duqu 2.0, il cavallo di Troia che Kaspersky Lab ha trovato nei propri sistemi, sospettando persino un attacco sponsorizzato da uno Stato terzo.

Malware
Un report del Department of technology systems della East Carolina University descrive il fenomeno delle porzioni di codice o interi script che possono essere iniettati nei servizi cloud, al pari di qualsiasi altro software (il riferimento in questo caso è al SaaS, Software as a Service) e che permettono a chi ha sferrato l’attacco di compromettere l’integrità dei dati, fino a poterli sottrarre. Un fenomeno definito di primaria importanza in ordine di gravità.

Denial of Service
È un attacco che tende a rendere inaccessibile una risorsa web (ad esempio IaaS o SaaS) ma che non ha, come scopo principale, quello di sottrrarre informazioni.

Account hijacking
Tecnica di dirottamento con cui chi attacca usa le credenziali di un dipendente dell’azienda vittima per accedere a  informazioni depositate in cloud. Un problema che cresce di pari passo con l’adozione della nuvola e che, nel 2010, non ha risparmiato neppure Amazon.

Minacce e abusi interni
Un attacco dall’interno dell’azienda appare improbabile ma è un pericolo reale, anche se spesso condotto in modo involontario da dipendenti poco ligi al rispetto delle norme e della deontologia. Così è possibile che sul cloud vengano depositati malware e virus o che un collaboratore poco accorto renda accessibili a terzi le proprie credenziali d’accesso alla rete aziendale. C’è ancora un ritardo nella cultura che emerge quando si pensa ai ransomware che vengono per lo più propagati via email e scaricati da utenti ingenui.

Genesi e soluzioni
Queste minacce hanno due aspetti in comune: il primo è l’inosservanza di regole interne all’azienda che il management deve imporre e chi ha compiti di supervisione deve monitorare, l’altro punto è invece l’assenza di una divisione netta tra vulnerabilità e minacce, che vanno trattate in modo diverso.

Poiché molti attacchi vengono sferrati ai server e alle risorse web, è necessario che il cloud provider sia in grado di blindare la propria struttura, ricorrendo alle tecniche più aggiornate. Difficile però che imponga procedure d’uso strette e vincolanti, perché toglierebbe al cloud quella flessibilità che lo contraddistingue. Chi usa risorse cloud deve imporre policies e norme che ricalchino le disposizioni aziendali e, tra queste, procedure d’uso e di sicurezza devono essere in testa.

Robert Arandjelovic, Director product marketing EMEA di Symantec – Blue Coat, spiega come è possibile arginare entrambi questi fenomeni. «La domanda non è cloud sì o cloud no, la vera domanda è come usare il cloud – argomenta a Nòva24 – perché non c’è un solo tipo di minaccia così come non c’è un solo tipo di difesa». Il rilevamento delle minacce non può essere svolto con attività manuali che impiegano tempo ad individuare e risolvere le vulnerabilità, occorre trovare una sinergia tra provider e clienti affinché ogni singolo punto della Comunicazione venga protetto.

«Nel 2015 una nostra indagine ha dimostrato che le persone non si proteggono in modo consono da pericoli quali phishing o frodi, nonostante riconoscano che le minacce diventano sempre più avanzate». Una percezione dei pericoli che può essere perfezionata e che non concepisce differenze tra l’uso di un device privato da quello professionale. «La ricerca che abbiamo condotto – continua Arandjelovic – dimostra anche che gli under  25 si espongono a minacce diverse dalle persone di età maggiore, quest’ultime persino propense a non rispondere a messaggi ricevuti da persone che non conoscono e quindi con ripercussioni negative sul business».

Una panacea non può esistere, ci sono però accorgimenti che Symantec – Blue Coat dispensa. Tra questi l’importanza di non farsi cogliere impreparati, utilizzando soluzioni di intelligence per individuare i segnali di una compromissione e porvi riparo in tempi brevi, tecnica figlia di un approccio corretto alla sicurezza, che andrebbe implementata a più livelli, ricorrrendo a crittografia, autenticazioni avanzate, non accontentandosi di standard SSL non del tutto immune agli attacchi di tipo man-in-the-middle.

Le aziende devono formare e aggiornare il personale, mostrando con casi pratici a quali pericoli si espongono le organizzazioni che usano risorse cloud. Una sensibilizzazione e responsabilizzazione dei dipendenti che crea unità di intenti e contribuisce al corretto uso degli strumenti di sicurezza. In ogni caso, conclude Robert Arandjelovic, «le aziende devono preparasi al peggio, che è il modo migliore per scongiurarlo. La gestione degli incidenti è il mezzo migliore per testare lo stato della sicurezza, che va migliorato costantemente».