Sicurezza nel cloud: La protezione delle app native non è una fine ma piuttosto un inizio

I professionisti IT sono sicuramente annoverati tra i 3 miliardi di utenti di Google Workspace o i 320 milioni di utenti dell'app di collaborazione Microsoft Teams. Dopo un'implementazione riuscita e l'impostazione di alcune regole di sicurezza, in un mondo ideale, possono liberare tempo per svolgere altre attività critiche mentre i team aziendali lavorano in ambienti di collaborazione sicuri.

Questi giganti tecnologici hanno incorporato la sicurezza high-tech direttamente nelle loro applicazioni cloud, quindi non c'è nulla di cui preoccuparsi, giusto? Ebbene, queste applicazioni cloud ampiamente utilizzate sono protette e regolarmente aggiornate, ma ciò non significa che siano immuni da tutte le minacce in circolazione.

Ci sono numerosi casi di minacce che abusano di applicazioni cloud legittime, ma questo problema ha una soluzione. I responsabili IT devono implementare ulteriori livelli di sicurezza. Con gli strumenti giusti, gli amministratori possono ridurre al minimo la superficie di attacco che proviene dai loro servizi cloud, adottando un approccio di prevenzione che protegge le app di collaborazione aziendale e la posta elettronica dalle minacce prima che vengano eseguite.

Appetito crescente

Le aziende di tutto il mondo sono alla costante ricerca di modi per operare in modo più efficiente e, indipendentemente dal luogo, il fatturato del mercato del cloud pubblico è più che raddoppiato tra il 2019 e il 2023 e si prevede che raggiungerà i 690,3 miliardi di dollari nel 2024.

Tuttavia, con la crescita del mercato, cresce anche l'appetito degli attori delle minacce. Tra il giugno 2021 e il luglio 2023, ESET ha rilevato e bloccato milioni di minacce che avrebbero altrimenti aggirato la protezione nativa delle suite per ufficio in cloud Microsoft 365 e Google Workspace.

La maggior parte di queste minacce bloccate erano messaggi di phishing e spam; i dati più recenti mostrano che questa tendenza non accenna a diminuire. Secondo il rapporto sulle minacce H2 2023 di ESET, lo spam è aumentato del 6% e i file HTML dannosi che inviano le vittime a siti web di phishing (trojan HTML/Phishing.Agent) sono ancora di gran lunga la minaccia e-mail più rilevata.

Nel complesso, questi attacchi via e-mail rappresentano quasi un quarto (23, 4%) di tutte le minacce informatiche rilevate da ESET.

Altre minacce cloud rilevate dalla telemetria ESET includono vari tipi di malware, come backdoor, spyware, infostealer e downloader.

Le vostre app non sono così sicure

Esempi reali dimostrano che le app e i servizi cloud legittimi possono essere abusati per fornire malware, offuscamento di processi dannosi e accesso remoto ai dispositivi aziendali, come si suol dire.

Nella seconda metà del 2023, i ricercatori ESET hanno notato nuove campagne di e-mail di phishing di un attore sconosciuto che ha preso di mira le aziende nei Paesi europei. Le e-mail contenevano allegati dannosi potenziati da AceCryptor, un malware cryptor-as-a-service progettato per nascondere altri malware agli strumenti di cybersecurity. In caso di successo, gli aggressori potrebbero implementare lo strumento di accesso remoto Rescoms (noto anche come Remcos) e spiare le loro vittime.

Nel corso del 2022, un gruppo di cyber-spionaggio, OilRig, ha sviluppato e utilizzato attivamente una serie di downloader che abusavano dell'Application Programming Interface (API) di servizi cloud legittimi come Microsoft Graph OneDrive, Microsoft Graph Outlook e Microsoft Office EWS per nascondere le proprie comunicazioni dannose. Ad esempio, hanno abusato degli account di posta elettronica per creare bozze di messaggi con comandi nascosti per il malware che già infestava i dispositivi, osserva un altro blog di ricerca di ESET.

Per fortuna, a volte i professionisti della sicurezza informatica scoprono le vulnerabilità prima degli attori delle minacce. Nel giugno 2023, il Red Team di Jumpsec, fornitore di servizi di sicurezza con sede nel Regno Unito, ha scoperto un modo semplice per distribuire malware utilizzando Microsoft Teams tramite un account esterno all'organizzazione bersaglio. I membri del Red Team hanno aggirato la protezione integrata e sono stati in grado di ingannare il sistema facendo credere che un utente esterno fosse, in realtà, un account interno.

Sicurezza aggiuntiva

I casi descritti sopra dimostrano che la sicurezza nativa delle applicazioni cloud non è sufficiente. Per ridurre al minimo questa crescente superficie di attacco, le aziende possono migliorare i controlli integrati di Microsoft o Google con ulteriori livelli di protezione per la posta elettronica, la collaborazione e lo storage ospitati nel cloud. Questa protezione aggiuntiva dovrebbe anche mirare alla prevenzione, mitigando gli attacchi prima che possano causare danni.

Come migliorare le difese del cloud:

• Filtraggio dello spam - I messaggi di spam hanno rappresentato oltre il 45% dei 333 miliardi di e-mail inviate e ricevute ogni giorno in tutto il mondo nel 2022. Con la giusta soluzione di filtraggio, le aziende possono risparmiare molto tempo ai dipendenti ed evitare problemi con lo spam dannoso.
• Anti-phishing - Un'azienda statunitense su quattro che ha subito un attacco informatico nel 2022 ha notato che il vettore iniziale era il phishing. Uno strumento automatico che riconosca i link di phishing allegati alle e-mail potrebbe essere utile.
• Scansione antimalware - Una buona soluzione di sicurezza in-the-cloud dovrebbe eseguire una scansione automatica di tutti i file nuovi e modificati nello storage condiviso per impedire l'esecuzione o la diffusione di malware.
• Analisi comportamentale e ambiente sandbox - Nel mondo dell'IT, in rapida evoluzione, emergono costantemente nuove minacce e gli strumenti di cybersecurity automatizzati devono essere preparati ad affrontare attacchi mai visti prima. Questo può essere fatto con un'analisi comportamentale approfondita di campioni sospetti in un ambiente sandbox isolato e sicuro.

Piattaforma unica

Avere a disposizione così tanti strumenti può sembrare un'altra sfida: come si può gestire un sistema di sicurezza così robusto?

In effetti, il numero di avvisi che arrivano quotidianamente ai team IT fa già saltare i nervi agli amministratori. Secondo lo studio March 2023 commissionato da IBM e completato da Morning Consult, i membri dei team del Security Operation Center (SOC) riescono a esaminare solo la metà degli avvisi che dovrebbero ricevere in una tipica giornata lavorativa.

Tuttavia, una soluzione adeguata può effettivamente ridurre la complessità della sicurezza informatica delle aziende se alcuni processi vengono automatizzati. Ecco alcuni esempi:

• I nuovi utenti all'interno dell'ambiente aziendale non devono essere aggiunti manualmente da un amministratore IT in una console, ma vengono protetti automaticamente dopo la creazione del loro account.
• Gli amministratori IT possono ricevere immediatamente una notifica di nuovi avvisi, invece di controllare costantemente la situazione in un dashboard.
• I file sospetti messi in quarantena possono essere facilmente gestiti in un'unica posizione, con la possibilità di rilasciarli/eliminarli o di indagare ulteriormente separatamente, se necessario.
• Le soluzioni consentono la gestione multi-tenant con decine di migliaia di utenti che coprono gli account creati all'interno delle due piattaforme più utilizzate, Microsoft 365 e Google Workspace.

Come ESET ci aiuta

In qualità di leader globale nella sicurezza digitale da oltre 30 anni, ESET riconosce le esigenze degli amministratori e dei manager IT che utilizzano i servizi cloud.

ESET Cloud Office Security fornisce una protezione avanzata per le app di Microsoft 365 e Google Workspace con tutte le caratteristiche sopra menzionate. Le aziende possono così adottare una strategia basata sulla prevenzione e ridurre al minimo le superfici di attacco legate al cloud, alleggerendo al contempo il carico degli amministratori IT con una console di gestione del cloud di facile utilizzo.