Cloud si, Cloud no…

Articolo di: Massimiliano Brolli
Data pubblicazione: 24/08/2020

Il Cloud e come l’elettricità...

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Può essere accesa o può essere spenta, rapidamente, in base alle TUE esigenze.

Ha un team di professionisti dedicati che si assicurano che il servizio fornito sia sicuro e disponibile, 24 ore su 24, 7 giorni su 7. 

Quando l’elettricità non la usi, non stai solo risparmiando, ma non stai pagando perché le risorse non ti servono.

Ma quanto è fico, vero?

Le informazioni sono il potere per la società di oggi e a differenza del servizio energetico, dell’acqua, occorre porsi delle precise domande prima di mettere nelle mani di aziende terze, i tuoi gioielli della corona.

Quando sei di fronte alla scelta se andare nel Cloud, oppure rimanere nei tuoi Data Center, quando stai firmando un contratto con il tuo Cloud Service Provider (di seguito CSP), queste domande te le poni mai? 

1. Qualora i tuoi dati fossero violati, quanto grave sarebbe il problema per la tua azienda?
2. Quanto ti fidi del tuo Cloud Service Provider?
3. La fiducia ti basta?
4. Quanto sei sicuro che faranno tutto il possibile per proteggere i tuoi dati?
5. Se fossero all’interno del tuo Data Center, ti sentiresti più al sicuro?
6. Il tuo Cloud Service Provider, firmerebbe un accordo con il quale ti garantirebbe di effettuare delle attività di controllo di sicurezza?

Sono semplicissime domande, ma a mio avviso sono le prime da porsi quando si è di fronte ad un contratto con un CSP. Anche perché mentre l’applicazione prima risultava esposta solo sulla tua internet aziendale, con il paradigma Cloud sarà visibile su internet, aumentando la superficie potenziale di attacco in maniera esponenziale.

Ricordatevi sempre, che se i dati sono stati inviati al tuo CSP, e questo mette a disposizione una interfaccia web (che gira all’interno dei suoi Data Center) per visualizzare i tuoi dati in chiaro, vuol dire che quasi sempre anche questo ultimo è in possesso della tua chiave privata per poterli decifrare.

Questo concetto seppur fine, spesso viene poco compreso o posta poca attenzione, e i CSP rispondono sempre… tranquilli, tutto è cifrato, i tuoi dati sono dentro una “cassaforte inviolabile” e invisibili dai nostri Addetti IT.

Il concetto di costo e di risparmio (sul quale si basa completamente il paradigma Cloud) ha portato ancora più in basso l’esigenza di sicurezza informatica soprattutto nei CSP molto piccoli.

Inoltre se il CSP è piccolo, potrebbe non avere una corretta postura in termini di sicurezza informatica, ma al contrario, se il CSP è grande, avremo maggiori garanzie che la sicurezza venga gestita bene, ma potrebbe essere influenzato da altre politiche, vanificando (di fatto) una ottima sicurezza implementata.

Relativamente al discorso certificazioni, le SOC consentono alla clientela di comprendere la postura Cyber di un determinato CSP, preferibilmente la SOC2, più di dettaglio e più tecnica. Ma sicuramente poter verificare in campo con le “proprie mani” è ben diverso che leggere un foglio di carta.

Quindi, se si tratta di affidare i propri “gioielli della corona” ad un CSP, potrebbe valere la pena non fidarsi, soprattutto se questo sia una azienda piccola e con poco budget da dedicare alla sicurezza informatica.

Non dobbiamo avere paura del Cloud.

Dobbiamo però essere consapevoli delle scelte che andremo a fare, in quanto non è equivalente ad essere abbonati al servizio elettrico oppure ad una semplice rivista.