Cloud native security, come proteggere gli ambienti ibridi e multi-cloud

Home PA Digitale Sicurezza Digitale Cloud native security, come proteggere gli ambienti ibridi e multi-cloud

Come difendere i dati e le infrastrutture della PA dalla costante crescita, in numero e qualità, delle minacce cyber? Sul tema FPA, in collaborazione con Palo Alto Networks, ha organizzato un confronto con i principali CISO pubblici. Al centro del dibattito i principi della cloud native security, inerenti l’intero ciclo di vita di qualsiasi cloud, dalla progettazione al runtime

28 Aprile 2022

F

Redazione FPA

Photo by Markus Winkler on Unsplash

La superficie di attacco a disposizione del cybercrime sta aumentando come conseguenza della diffusione dei dispositivi connessi e del lavoro a distanza, mentre le tecniche di attacco sono in continua evoluzione, anche grazie alla crescita delle capacità e le competenze degli attaccanti. Lo ha evidenziato, in apertura dell’evento, Pietro Caruso, Regional Sales Manager Italy & Malta – Palo Alto Networks, ricordando che la PA con la sua mole di dati sensibili, rappresenta un obiettivo privilegiato del cyber crime. Lo stesso ministero dell’Innovazione Tecnologica afferma che il 95% dei server pubblici sono facile preda degli hacker, a causa di strutture non costruite in una logica di security by design. La spinta all’innovazione, con il proliferare di nuovi dispositivi, soluzioni avanzate basate su IoT e intelligenza artificiale, la migrazione al cloud, rischia dunque di aumentare ulteriormente i rischi se non prendono le dovute precauzioni.

Italia a un punto di svolta, fra rischi e opportunità

Queste considerazioni preliminari sono sostenute dai dati portati da Samuele De Tomas Colatin, Research Fellow – NATO Cooperative Cyber Defence Centre of Excellence. Nel suo intervento ricorda alcune tendenze, estratte dal report Clusit 2022, come l’aumento del malware (+9.7%), degli attacchi sconosciuti (+16.4%) e degli attacchi basati su vulnerabilità note (+60.0%). “Questi dati evidenziano aspetti preoccupanti – commenta – il malware si è industrializzato senza perdere in qualità, l’aumento degli attacchi sconosciuti indica che vengono comunicati gli incidenti, ma non i dettagli che potrebbero essere utili per prevenirne di nuovi, il mantenimento di vulnerabilità note mette in luce la mancanza di risorse o di competenze per rimediare”. Da notare anche la diminuzione dei cosiddetti “attacchi a strascico”, a favore di obiettivi precisi, rappresentati sempre più spesso dalle PA, ricche di dati preziosi e non sufficientemente protetti.

Il passaggio al cloud cambia lo scenario per la PA

Il passaggio al cloud, stimolato dal PNRR e dalla Strategia Cloud Italia con l’obiettivo di adozione da parte del 75% delle amministrazioni entro il 2026, modifica anche il tema della sicurezza. Vengono, infatti, allocate le risorse, costruiti adeguati strumenti come, ad esempio, un market place di soluzioni qualificate da AgID, indicati percorsi come la classificazione dei servizi da portare sul cloud in base alla criticità dei dati coinvolti.

Le amministrazioni stanno rispondendo, come evidenzia un sondaggio AgID, che ha coinvolto le amministrazioni di ogni tipologia. Prevalgono, nel passaggio, l’adozione SaaS (la più veloce per attuare un servizio) e IaaS (che trasferisce l’onere di acquisto). Meno adottata risulta la PaaS che richiede capacità di sviluppo raramente presente nelle PA.
Questo approccio sposta molte responsabilità di adeguamento sui temi di privacy e sicurezza verso il gestore del servizio cloud. “Se c’è carenza di staff, l’IT interno dell’amministrazione dovrà provvedere all’aggiornamento dei browser, per garantire la sicurezza invece che preoccuparsi della manutenzione delle macchine”, suggerisce De Tomas Colatin, citando il Manuale di abilitazione al Cloud di AgID, che recita: “Oltre a iniziare il viaggio seguendo un percorso predefinito per il fattore tecnologia, le pubbliche amministrazioni dovranno al contempo impegnarsi in attività che impattano sugli altri fattori correlati, ovvero sui processi, sulle persone e in generale sulla cultura dell’organizzazione”.

La transizione al cloud potrebbe dunque contribuire a migliorare la situazione attuale, che vede le tematiche di sicurezza gestite principalmente attraverso competenze e divisioni interne, con una scarsa capacità di gestire la sicurezza interdipartimentale, con iniziative con cadenza annuale.

Mettere il cloud al sicuro delle minacce alla supply chain

La migrazione al cloud della PA non è tuttavia sufficiente di per sé per metterla al sicuro dalle minacce. “Quando ci si affida a un provider serve uno shared responsability model per la sicurezza che va pubblicato per rendere edotti i fornitori delle diverse tematiche che sono a loro carico”, commenta Michele Naldini, Prisma Cloud Sales Specialist Italy Greece Malta – Palo Alto Netoworks. E evidenzia la particolare criticità dello sviluppo delle applicazioni cloud native, con la conseguente necessità della messa in sicurezza delle catene di sviluppo fin dalle prime fasi progettuali. Secondo un approccio consolidato e studiato in casi di scuola, come il noto Solawinds, gli attaccanti scelgono l’anello più debole fra fornitori o collaboratori di terze parti, consapevoli che compromettere un vendor significa compromettere più utenti. Queste minacce sono particolarmente difficili da individuare e si propagano in modo esponenziale. “Il rischio è di perdere il tempo che si guadagna con lo sviluppo automatico per la correzione dei problemi”, aggiunge Naldini, presentando la visione Palo Alto, che si concretizza nella piattaforma integrata Prisma Cloud, che punta a una sicurezza cloud integrale.

Cosa serve per garantire la sicurezza nella PA?

Tutti i partecipanti all’incontro, relatori compresi, concordano sul fatto che anche la migliore tecnologia non sia sufficiente per assicurare la sicurezza e che il livello di consapevolezza del rischio all’interno dell’organizzazione sia uno dei primi aspetti su cui lavorare. La grande maggioranza dei CISO presenti all’evento ritiene indispensabile un intervento di formazione del personale, per aumentare la consapevolezza e auspica una maggior sensibilità del management alla tematica.

La buona notizia è che la crescita di competenza a livello europeo sta aumentando, come evidenzia De Tomas Colatin facendo riferimento ad un numero elevato di nuovi corsi universitari con specializzazione in sicurezza soprattutto in Italia e Spagna. “Manca però ancora il passaggio alla pratica, indispensabile per rispondere all’evoluzione del cybercrime” commenta, suggerendo convenzioni fra PA e Università.

Fanno ben sperare anche le iniziative cyber a livello europeo che offrono indicazioni concrete attraverso un pacchetto che punta ad aumentare la sicurezza delle infrastrutture digitali critiche, con un focus sulla interconnessione e interdipendenza. Ne fanno parte:

  • la nuova Strategia Cyber Europea
  • la proposta di revisione della CER Directive
  • la proposta di revisione della Direttiva NIS (NIS 2), a poco tempo dalla precedente, ad indicare la velocità con cui stanno cambiando le minacce.

Su questo argomento

Riuso ed acquisto del software: le novità contenute nell’aggiornamento del Piano Triennale 2021-2023