28 ottobre 2022
Di Thyaga Vasudevan - VP della Gestione Prodotti, Skyhigh Security
Denominata "BlueBleed", una recente violazione di Microsoft scoperta dal fornitore di informazioni sulle minacce SOCRadar fa luce sui rischi dei bucket di storage cloud mal configurati e dimostra che le aziende non possono affidarsi totalmente ai fornitori di servizi cloud (CSP) per fornire e assumersi la responsabilità della garanzia di sicurezza. Gli errori di configurazione continuano ad essere una causa prevalente di violazioni, secondo il Verizon 2022 Data Breach Investigations Report, che mostra che sono stati la causa del 13% delle violazioni dello scorso anno. Poiché le configurazioni errate sono il risultato di un errore umano, si deve presumere che nessun CSP sia completamente sicuro.
Cosa è successo
Nella sua risposta del 19 ottobre, il Microsoft Security Response Center (MSRC) ha affermato che si è verificata una "configurazione errata non intenzionale" che ha portato al "potenziale accesso non autenticato" ai dati dei clienti, che secondo l'organizzazione contenevano "nomi, indirizzi e-mail, contenuti di e-mail, nomi di aziende e numeri di telefono e potevano includere file allegati relativi ad attività commerciali tra un cliente e Microsoft o un partner Microsoft autorizzato". L'MSRC non ha fornito ulteriori dettagli sul numero di aziende colpite e ha apparentemente minimizzato l'incidente.
Secondo SOCRadar, in un follow-up del giorno successivo al post originale, la violazione ha riguardato sei grandi bucket cloud composti da dati sensibili appartenenti a 150.000 aziende in 123 Paesi. Il più grande di questi bucket mal configurati conteneva 2,4 TB di dati appartenenti a 65.000 entità in 111 Paesi.
Il 20 ottobre, il noto ricercatore di cybersicurezza Kevin Beaumont ha riferito che il bucket Microsoft è stato pubblicamente indicizzato e leggibile per mesi da servizi come Grayhat Warfare. Ha affermato che la dichiarazione ufficiale di MSRC dimostra che non ha "alcuna idea di come funziona la cybersecurity nel mondo reale" e che la sua apparente incapacità di notificare le autorità di regolamentazione e il rifiuto di dire ai clienti quali dati sono stati sottratti ha i "tratti distintivi di una grande risposta sbagliata".
Un articolo del 21 ottobre di The Hacker News riporta: "Non c'è alcuna prova che le informazioni siano state consultate in modo improprio da attori minacciosi prima della divulgazione", ma prosegue notando che tali fughe di notizie potrebbero essere sfruttate per scopi malevoli.
Perché è importante
I dati trapelati potrebbero includere alcune informazioni sensibili sull'infrastruttura e sulla configurazione di rete dei clienti e dei potenziali clienti di Microsoft. Gli hacker alla ricerca di vulnerabilità nelle infrastrutture delle organizzazioni colpite potrebbero trovare questi dati preziosi e potrebbero utilizzarli per sfruttare le loro reti.
Cosa può fare al riguardo
Cominci col riconoscere che i CSP hanno il potenziale di aumentare la superficie di attacco della sua organizzazione. Dovrebbe rivedere attentamente il suo Accordo sul Livello di Servizio (SLA) con il suo CSP per capire chi è responsabile di cosa e per chiarire le responsabilità di ciascuna parte. In genere questo è delineato in un Modello di Responsabilità Condivisa, un quadro di sicurezza e conformità che suddivide le responsabilità di sicurezza per ogni aspetto dell'ambiente cloud. Questo include hardware, infrastruttura, endpoint, dati, configurazioni, impostazioni, sistema operativo, controlli di rete e diritti di accesso. In pratica, sia il CSP che il cliente svolgono un ruolo nel garantire la sicurezza, ma ci sono alcuni asset su cui una parte ha il controllo diretto e la piena responsabilità, in quanto l'altra parte non avrebbe visibilità su tali asset. Questo modello di sicurezza condivisa è complesso, ma offre i vantaggi dell'efficienza, della maggiore protezione e dell'esperienza.
I compiti e le funzioni di sicurezza variano a seconda del modello di fornitura del servizio cloud: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) o Infrastructure-as-a-Service (IaaS). Sebbene gli ambienti IaaS e PaaS offrano ai clienti una maggiore scelta e flessibilità, presentano anche maggiori rischi per la sicurezza se non sono configurati correttamente.
Secondo il rapporto Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report, il 99% delle configurazioni errate IaaS passa inosservato. Security Service Edge (SSE) aiuta i professionisti della sicurezza a individuare le configurazioni rischiose prima che diventino una minaccia nella produzione. Evidenziando i risultati della sicurezza prima che diventino incidenti di sicurezza, l'SSE può anche contribuire a migliorare la conformità ai quadri normativi e a ridurre la probabilità di perdita di dati, di abuso o di multe associate a controlli di sicurezza inadeguati.
Il tempo ci dirà cosa ne sarà della fuga di notizie di BlueBleed. Se non vuole rischiare di essere colpito da tali violazioni, la tecnologia di Skyhigh Security Service Edge Skyhigh può aiutarla. Le sue esclusive funzionalità CSPM data-aware consentono ai clienti di rilevare le configurazioni errate e di evidenziare le aree critiche dell'infrastruttura Public Cloud contenenti dati sensibili, più vulnerabili alle fughe di dati.
Torna ai blog