Home » News » La sicurezza dei dati nel cloud
La sicurezza dei dati nel cloud
Il panorama della sicurezza dell'archiviazione cloud è in evoluzione
Il “cloud” esiste da più di un decennio ormai, ma abbiamo appena iniziato a vedere aziende migrare in massa verso i servizi cloud o affermarsi come aziende ospitate al 100% sul cloud. Prendiamo ad esempio l’archiviazione dei dati aziendali.
10 anni fa, la maggior parte delle aziende aveva ancora un qualche tipo di file server on-premise che ospitava i dati critici dell’organizzazione. Ora sta diventando più comune sfruttare l’archiviazione cloud per questo. SharePoint Online e OneDrive for Business stanno diventando sempre più il luogo in cui i dati risiedono e sono protetti con servizi come Microsoft Entra. Pertanto, la sicurezza dei dati nel cloud diventa un argomento importante, non solo nel cloud M365, ma per i servizi cloud in generale.
Anche se nel Cybersecurity Report ci concentreremo su Microsoft 365 e sull’ecosistema cloud Microsoft , molto di quanto discusso qui si applica anche ad altri provider cloud.
Le difese di base nel cloud Microsoft sono migliorate nel corso degli anni, ma sono tutt’altro che perfette. Sempre più organizzazioni stanno utilizzando nuove funzionalità di sicurezza come l’autenticazione a più fattori (MFA) e la sicurezza di base della posta elettronica tramite servizi come Exchange Online Protection, ma spesso non è ancora sufficiente. Gli aggressori sono in continua evoluzione e questo può essere visto chiaramente nel caso degli attacchi Adversary-in-the-Middle.
Passkey e attacchi Adversary in the Middle (AitM)
Dove vanno i difensori, gli aggressori li seguono. Per diversi anni, noi qui di Hornetsecurity, così come ogni altra persona e azienda attenta alla sicurezza, abbiamo sostenuto l’MFA come un sostituto più sicuro del tradizionale ballo nome utente + password per l’accesso ai sistemi.
C’è stato un lento e costante aumento nell’adozione di varie forme di MFA, dai messaggi di testo SMS alle chiavi di sicurezza hardware. Tuttavia, non è che i criminali alzeranno le mani e rinunceranno al loro redditizio “business” e si sono invece adattati.
Il loro approccio principale è stato quello di utilizzare kit di phishing in stile reverse proxy, pacchetti open source o “commerciali” che aiutano a creare e-mail convincenti per indurre gli utenti a cliccare su un collegamento e impostano anche servizi proxy con pagine di accesso dall’aspetto legittimo.
Quando un utente clicca sul link e viene portato a una pagina di login falsa per inserire il suo nome utente e la sua password, queste credenziali vengono poi passate al sito reale (oltre a essere catturate dall’attaccante). Quando viene quindi sollevato il prompt MFA, questi toolkit reverse-proxy consentono all’utente finale di inserire il suo codice MFA o di approvare il prompt come al solito e anche questo viene passato alla vera pagina di accesso dietro le quinte.
Nel frattempo l’aggressore ruba il token generato dal servizio di identità di destinazione (ad esempio Entra ID) e ora può utilizzarlo per accedere come utente effettivo, per questo questo metodo è chiamato Attacker in the Middle (AitM).
Per sconfiggere questi attacchi più sofisticati, hai bisogno di un metodo MFA resistente al phishing. Questi metodi sono più recenti e non hanno ancora visto una grande adozione nel settore. Alcuni esempi includono Windows Hello for Business , chiavi USB hardware FIDO2 e più di recente Passkeys .
Questi metodi MFA bloccano l’autenticazione solo all’URL del sito legittimo, quindi anche se l’utente viene ingannato e visita una pagina di accesso che sembra legittima, la tecnologia stessa si rifiuta di funzionare perché rileva che l’indirizzo del sito non corrisponde.
Il problema è che Windows Hello for Business richiede hardware specializzato (e funziona solo per Windows), mentre le chiavi hardware FIDO2 sono costose, il che ne ha limitato l’adozione.
Detto questo, una Passkey usa le stesse tecnologie di una chiave FIDO2 ma si basa sul chip di sicurezza del tuo iPhone o telefono Android, eliminando la necessità di hardware extra. Anche in questo caso, l’adozione è stata lenta, ma sempre più servizi ora la supportano e se sei responsabile della sicurezza nella tua organizzazione, dovresti sicuramente iniziare a sperimentarla oggi stesso.
Prevediamo che ora che Entra ID di Microsoft, Google Workspace e AWS, insieme a Facebook e molti altri, supportano le passkey, l’adozione aumenterà notevolmente nei prossimi 12 mesi.
Le preoccupazioni sulla dipendenza eccessiva dai fornitori aumentano per quanto riguarda la sicurezza dei dati nel cloud
La Vendor Overdependence è la pratica di affidare molti o quasi tutti i processi e le procedure aziendali principali nelle mani di un partner fornitore. Il problema con l’accordo è che se il fornitore ha problemi di qualche tipo (relativi alla sicurezza o altro), allora l’azienda ne soffre di conseguenza.
Abbiamo parlato a lungo del potenziale problema di dipendenza eccessiva dai vendor che alcune aziende potrebbero dover affrontare con Microsoft, ampiamente tramite i nostri Monthly Threat Reports e The Security Swarm Podcast . Inutile dire che è un problema che persiste e che probabilmente peggiorerà man mano che Microsoft continua a costruire quote di mercato in varie aree.
Detto questo, ci sono alcune nuove preoccupazioni che sono venute alla luce nell’ultimo anno per gettare una luce ancora più luminosa su questo problema. Nella serie in corso di violazioni riuscite in Microsoft è emerso un articolo interessante nel giugno 2024.
In sintesi, Andrew Harris, che all’epoca lavorava in Microsoft, identificò un grave difetto in Active Directory Federation Services (AD FS) e cercò disperatamente di risolverlo. I suoi timori furono minimizzati e, mentre il governo federale degli Stati Uniti stava per firmare un accordo multimiliardario con Microsoft per i suoi servizi cloud, il problema fu sostanzialmente messo a tacere.
Dopo aver lasciato Microsoft nel 2020, è stato scoperto l’attacco a SolarWinds, probabilmente il più grande attacco alla supply chain di sempre. Mentre l’attenzione era rivolta a SolarWinds e al suo prodotto Orion compromesso, gli aggressori russi si sono diffusi attraverso le reti sfruttando la falla ADFS dopo il loro punto d’appoggio iniziale.
Naturalmente, questo è accaduto molto prima del rapporto del Cyber Safety Review Board (CSRB) e molto prima che la Secure Future Initiative (SFI) di Microsoft prendesse avvio sul serio, ma il tempo ci dirà se la “nuova” Microsoft metterà davvero la sicurezza al di sopra delle nuove funzionalità, qualcosa che rappresenta una sfida per ogni azienda commerciale.
Ancora una volta, ogni organizzazione deve prendere la propria decisione quando si tratta di dipendenza eccessiva dal fornitore, ma tenendo conto di anni di diverse preoccupazioni in materia di sicurezza a più livelli e del fatto che finisce la responsabilità di Microsoft per quanto riguarda i dati, la scelta diventa chiara.
Di cosa è responsabile Microsoft?
Molti chiedono: “Se Microsoft non si prende cura dei miei dati e della mia sicurezza, di cosa è realmente responsabile?” La posizione attuale di Microsoft su questa questione non è cambiata nel 2024. Per comprendere appieno, è necessario avere familiarità con il modello di responsabilità condivisa di Microsoft .
La parte importante è che il modello di responsabilità condivisa afferma: “La responsabilità è sempre mantenuta dal cliente per”:
- Informazioni e dati
- Dispositivi (cellulari e PC)
- Account e identità
In sostanza, il cliente è responsabile della sicurezza e della protezione delle proprie informazioni e dei propri dati. Microsoft non lo è. Man mano che le organizzazioni si spostano sul cloud, devono tenerlo a mente quando implementano strategie di protezione.
Un altro punto degno di nota è qualcosa che abbiamo incluso nel nostro report dell’anno scorso. È ancora una sorpresa per molti clienti M365 esistenti, quindi vale la pena menzionarlo anche nel report annuale . Microsoft ha cambiato la sua posizione di lunga data nel 2023 sull’uso di applicazioni di backup con M365. In una conferenza Microsoft dell’anno scorso, Microsoft ha annunciato Microsoft 365 Backup .
È stato dimostrato che un servizio fornisce capacità di backup di base per M365. La parte importante di questo annuncio non è il servizio in sé, ma il cambiamento della posizione di lunga data di Microsoft di “non è necessario eseguire il backup dei dati in M365”. Molti nel settore vedono questo come guidato da una di queste due cose:
- Microsoft ha finalmente capitolato e ora ammette che concentrarsi solo sulla conservazione dei dati NON è sufficiente in M365.
- Ora che ha capito che esiste un ampio mercato per un servizio del genere, Microsoft vuole semplicemente accaparrarsi una fetta del mercato dei backup di M365.
Entrambe le opzioni sembrano probabili, con l’opzione 2 rafforzata dal fatto che hanno anche rilasciato un’API di backup che i venditori possono utilizzare, a pagamento. In ogni caso, il messaggio è più chiaro che mai. Le aziende SONO responsabili della protezione di tutti i dati che inseriscono nei servizi Microsoft Cloud.
Le difficoltà poste dai tenant multipli nel cloud Microsoft
Poiché i servizi cloud principali di Microsoft sono disponibili da un decennio o più, molte organizzazioni si trovano in una situazione in cui devono gestire e mantenere più ambienti Microsoft 365. Potrebbe trattarsi di un’azienda che ha condotto diverse fusioni e acquisizioni, o forse sei un fornitore di servizi gestiti (MSP) che fornisce servizi IT a più clienti.
In entrambi i casi, molte di queste organizzazioni si stanno rendendo conto delle difficoltà legate alla gestione di più tenant M365.
Quando parliamo del sovraccarico di manodopera associato a questo aumento del carico di gestione, ci possono essere delle ramificazioni dirette sulla sicurezza dei dati nel cloud. Come organizzazione, molto probabilmente sono stati definiti degli standard per le best practice di sicurezza e l’abilitazione delle funzionalità all’interno degli ambienti M365 in gestione.
Molti amministratori stanno scoprendo che far rispettare gli standard e limitare la deriva/errori di configurazione all’interno di più tenant M365 diversi è molto difficile. Data la natura dei servizi cloud, una configurazione errata può fare la differenza tra un’organizzazione sicura e una grave violazione dei dati.
La gestione dei tenant sta diventando sempre più importante per le organizzazioni che cercano di proteggere i propri dati M365. Sebbene Microsoft fornisca un’utilità chiamata Lighthouse, presenta alcune limitazioni e molti MSP la trovano carente in termini di funzionalità e scalabilità. Alcuni fornitori di software hanno creato soluzioni per soddisfare questa esigenza di gestione per gli MSP come 365 Multi-Tenant Manager for MSPs di Hornetsecurity .
Una gestione e una governance adeguate stanno diventando di fondamentale importanza nell’attuale mondo cloud-first e i team dirigenziali devono essere consapevoli dei pericoli che queste sfide pongono alla sicurezza dei dati nel cloud.
Perché scegliere 365 Multi-Tenant Manager?
- Enorme risparmio di tempo: riduci significativamente lo sforzo manuale grazie all’automazione, con un risparmio di oltre 2.800 ore all’anno, pari a 1,47 dipendenti a tempo pieno.
- Conformità migliorata: mantieni la conformità e la sicurezza per tutti i tenant con scansioni automatiche e correzione in tempo reale.
- Soluzioni su misura: la flessibilità nel creare e implementare policy personalizzate garantisce che le esigenze specifiche di ogni cliente siano soddisfatte senza soluzione di continuità.
Unisciti al futuro della gestione degli inquilini oggi stesso. Richiedi una demo oggi stesso e scopri come 365 Multi-Tenant Manager per MSP può trasformare le tue operazioni, farti risparmiare tempo e migliorare la sicurezza per i tuoi clienti.
Caratteristiche principali di 365 Multi-Tenant Manager
- Onboarding senza sforzo: semplifica l’aggiunta di nuovi tenant con rilevamento e onboarding automatici, sfruttando la connessione al Microsoft Partner Center.
- Governance completa: monitora e gestisci tutti i tenant di Microsoft 365 senza sforzo con una dashboard dettagliata, scansioni di conformità ricorrenti e correzione automatica in caso di non conformità.
- Automazione intuitiva: utilizza procedure guidate che guidano i fornitori di servizi durante l’onboarding, la configurazione e il monitoraggio, risparmiando tempo e riducendo gli errori.
- Gestione standardizzata: applica rapidamente le configurazioni M365 più avanzate con modelli predefiniti o personalizza le policy per soddisfare le esigenze specifiche dei clienti.
- Maggiore efficienza: risparmia tempo e risorse in modo significativo, consentendo al tuo team di concentrarsi sulla creazione, sul miglioramento e sulla vendita, anziché sulle attività di configurazione manuale.
Conclusione
La sicurezza dei dati nel cloud rimane un argomento cruciale mentre le organizzazioni continuano a migrare verso i servizi cloud. Sebbene le difese di base di Microsoft Cloud siano migliorate, non sono infallibili, in particolare contro minacce in evoluzione come gli attacchi Adversary-in-the-Middle (AitM). L’implementazione di metodi MFA resistenti al phishing come Passkey è essenziale per rafforzare la sicurezza.
Tuttavia, con la crescita dell’adozione del cloud, aumenta anche la sfida di gestire più tenant, in particolare per le organizzazioni che hanno subito fusioni o per i provider di servizi gestiti (MSP). Una gestione e una governance adeguate di questi ambienti sono essenziali per prevenire configurazioni errate che potrebbero portare a violazioni dei dati.
Hornetsecurity’s 365 Multi-Tenant Manager per MSP offre una soluzione solida per semplificare la gestione di più tenant Microsoft 365, garantendo coerenza. Fornisce standard e riduce il rischio di errori di riduzione.
Traduzione e riadattamento da parte di CIPS Informatica -Ridge Security Blog - © 2025 Ridge Security, Inc.