CASB (Cloud Access Security Broker)

Ogni giorno, i vostri dipendenti accedono alle applicazioni cloud – come Microsoft Office 365, Box, o G Suite – da qualsiasi tipo di dispositivo, sia in ufficio che da remoto.

Se la vostra azienda sta cercando un modo per poter monitorare l'utilizzo di tali applicazioni e i dati che transitano sul cloud, dovreste iniziare a prendere in considerazione l'adozione di una soluzione CASB (Cloud Access Security Broker).

Possiamo pensare al CASB come ad un intermediario tra gli utenti e le piattaforme cloud, che da un lato protegge i dati sul cloud e dall'altro offre alle aziende la possibilità di monitorare i permessi degli utenti e tutte le attività che avvengono sul cloud. In questo senso, il CASB rappresenta il fulcro centrale dove tutte le richieste di accesso e le autorizzazioni vengono confrontate con le policy di sicurezza, permettendo così agli amministratori di rete di implementare e garantire il rispetto delle politiche di sicurezza. Aiuta inoltre le aziende a definire regole di sicurezza efficaci, anche quando gli amministratori non hanno familiarità con la sicurezza del cloud. Come spiegato da Gartner, questo strumento permette di colmare quei punti deboli sulla sicurezza relativi all'utilizzo di applicazioni e piattaforme cloud di terze parti, che non sono sotto il vostro controllo, ma che processano e conservano i vostri dati. È vero che i servizi cloud offrono un certo livello di sicurezza, ma è altrettanto vero che la sicurezza del cloud è una responsabilità condivisa tra chi offre il servizio e chi lo utilizza. Sta a voi proteggere i vostri utenti, il vostro lavoro e i vostri dati.

La sicurezza delle applicazioni cloud è diventata una componente essenziale di un piano di difesa aziendale completo, in un mondo dove tutto si sta spostando sempre più proprio sul cloud. La società di ricerca Gartner ha stimato che, entro il 2022, il 60% delle aziende aggiungerà una soluzione CASB al proprio arsenale di difesa contro le minacce informatiche – mentre al momento della stesura di questo articolo, il dato è inferiore al 20%.

Il termine “CASB” venne coniato per la prima volta nel 2012, quando l’idea di utilizzare un intermediario per la sicurezza delle risorse cloud divenne una vera e propria necessità. Nel 2013, fece la sua apparizione sul mercato il primo sistema Cloud access security broker commerciale, ma il vero inizio dell’era CASB a livello commerciale è correlato all’introduzione di Office 365. Man mano che sempre più aziende decidono di sfruttare le potenzialità del cloud, aumenta di pari passo il bisogno di implementare sistemi CASB.

In un ambiente cloud ibrido, i dati vengono sincronizzati tra il cloud e le risorse dell’infrastruttura fisica. Il CASB permette di crittografare i dati così da impedire che vengano intercettati da utenti non autorizzati e fornisce strumenti di gestione degli accessi, così da consentire l’accesso alle risorse solamente agli utenti autorizzati. Gli utenti possono condividere dati e documenti con altri utenti e gli amministratori possono ottenere il pieno controllo e la massima visibilità su tali dati e sul modo in cui vengono condivisi e vi accedono gli utenti. Offre inoltre protezione dai malware e dai software malevoli pensati per rubare dati dal cloud.

Quando un’azienda utilizza servizi cloud, esiste sempre un collegamento tra l’infrastruttura fisica e il cloud. Tale collegamento deve essere protetto, ma allo stesso tempo vanno messi in sicurezza anche i punti dai quali si collegano gli utenti per accedere alle risorse cloud. Quindi, per offrire accesso alle risorse aziendali da parte dei lavoratori in smart-working, è necessaria una connessione protetta.

Gli amministratori implementano le politiche di sicurezza a protezione dei dati sul cloud, ma è il CASB a garantire che tali politiche vengano rispettate. La prima linea di difesa include la protezione dai malware, per tenere alla larga ransomware e altre minacce, e impedire che possano accedere alle risorse dell’infrastruttura fisica e al cloud. La seconda linea di difesa è la crittografia, che permette di proteggere i dati quando vengono salvati o quando transitano sulla rete.

Per la prevenzione dei malware, i file vengono scansionati e viene bloccato tutto ciò che è considerato sospetto e potenzialmente in grado di interrompere la produttività o mettere a rischio la sicurezza dei dati. La crittografia è una protezione dalle molteplici funzionalità. I dati che transitano sulla rete aziendale sono potenzialmente a rischio di essere intercettati, ma la crittografia rende illeggibili i dati in caso soggetti non autorizzati riescano ad intercettare i vostri dati sensibili. Permette inoltre di proteggere i dati salvati sui dispositivi, proteggendo le vostre informazioni riservate da accessi non autorizzati, anche nel caso un lavoratore smarrisca il proprio dispositivo aziendale.

Il processo di funzionamento del CASB prevede tre fasi:

• Scoperta: Il CASB scansiona e trova le risorse cloud nell’infrastruttura dell’azienda.
• Classificazione: Dopo aver individuato tutte le risorse cloud, il CASB assegna un punteggio di rischio a ciascun componente affinché dati e applicazioni possano essere classificati in base all’importanza.
• Ripristino: Con i dati propriamente classificati, l’azienda sarà quindi in grado di applicare gli opportuni controlli sull'accesso ai dati e bloccare prontamente le richieste non autorizzate.

Gli amministratori hanno il compito di definire le strategie di difesa, mentre il CASB garantisce che tali strategie vengano messe in atto e rispettate. Fornisce inoltre le opportune difese necessarie per proteggere i dati tramite l’utilizzo di layer di sicurezza. Ad esempio, se la vostra azienda permette ai dipendenti di accedere alle risorse cloud dai propri dispositivi personali (come ad esempio smartphone e tablet), il CASB permetterà agli amministratori di monitorare i dati e controllare chi vi accede dai vari endpoint.

Un sistema di CASB security gestisce varie funzionalità di sicurezza tipiche del cloud, che proteggono i dati dalle minacce interne ed esterne e dai malware. Il CASB può esser utilizzato per:

• Single Sign-On (SSO): gli utenti possono effettuare una singola autenticazione e accedere a molteplici sistemi, con una sola coppia di credenziali, nome utente e password.
• Crittografia: il CASB crittografa i dati conservati sui dispositivi di memorizzazione, così come i dati che circolano sulla rete, così da evitare che vengano intercettati tramite attacchi man-in-the-middle (MitM).
• Conformità: con tante risorse e dispositivi all’interno della rete aziendale, gli strumenti di conformità messi a disposizione dal CASB monitorano ogni sistema, consentendo agli amministratori di identificare tempestivamente i sistemi non conformi.
• Analisi sul traffico: monitorare l’infrastruttura rappresenta una delle componenti fondamentali della cybersecurity e in questo senso gli strumenti CASB forniscono report basati sul comportamento degli utenti e sull’analisi dei pattern del traffico di rete, così da permettere agli amministratori di individuare eventuali anomalie.

Nella scelta di un sistema CASB security, vanno valutate delle funzionalità principali, meglio note come i quattro pilastri del CASB. Essi sintetizzano ciò che il vostro sistema Cloud Access Security Broker dovrebbe avere, e quali benefìci dovrebbe apportare alla vostra azienda affinché i vostri dati siano protetti.

Ecco quali sono i quattro pilastri:

Visibilità

Monitorare l’utilizzo delle risorse permette di rilevare attività sospette. Gli amministratori devono essere al corrente di quali dati sono presenti sulla rete e da quali dispositivi vi si sta accedendo. In questo modo saranno in grado di individuare richieste di accesso sospette, caricamenti di file pericolosi e vulnerabilità dovute ad uno scarso controllo degli accessi.

Offre la possibilità agli amministratori di educare i propri dipendenti sulle migliori pratiche da seguire per l’accesso sicuro alle risorse condivise. Il CASB permette inoltre di avere la massima visibilità per rilevare eventuali dispositivi non autorizzati connessi alla rete, come nel caso dello Shadow IT, e permette di scoprire dati che magari erano sfuggiti agli amministratori. Anziché permettere agli utenti di caricare dati su destinazioni non autorizzate, il CASB blocca l’accesso alle destinazioni di terze parti e avvisa gli amministratori dell’attività sospetta rilevata.

Conformità

Le regole di conformità definiscono il modo in cui vanno protetti i dati sul cloud. Le aziende che non aderiscono alle normative rischiano di incorrere in pesanti sanzioni, perciò il CASB assicura che l’azienda abbia a disposizione i giusti strumenti per il controllo degli accessi e il monitoraggio dei dati, in modo da rispettare le normative. Il CASB garantisce inoltre che i dati salvati sul cloud siano crittografati in modo da aderire ai più recenti standard normativi, come il PCI-DSS, il SOX, il PHI, l’HIPAA e molti altri.

Sicurezza dei dati

Sul cloud possono essere conservati dati sensibili come ad esempio le informazioni dei clienti, la proprietà intellettuale e i segreti industriali. Il pilastro principale, quello più importante, è la sicurezza offerta dal controllo degli accessi, dalla crittografia, dall’utilizzo dei token per i dati, dalla gestione dei permessi, dalla scoperta dei dati e dal ripristino in caso di necessità. Anche il monitoraggio, e la gestione dei log sono componenti importanti di un sistema CASB. Il CASB blocca l’accesso ai dati in base a diversi attributi dell’utente, come ad esempio l’indirizzo IP, il tipo di browser, il sistema operativo, il dispositivo e la località. Attraverso una combinazione di tali attributi, il CASB riduce la possibilità di falsi positivi, migliorando l’accuratezza del sistema.

Protezione dalle minacce

Insieme al monitoraggio, il rilevamento delle minacce mitiga ogni eventuale attività sospetta, identificando minacce interne ed esterne, mitigandole e allertando tempestivamente gli amministratori. Solitamente nel CASB si utilizza lo studio dei pattern sul comportamento degli utenti per identificare comportamenti sospetti. Ad esempio, è normale che un venditore abbia accesso ai dati dei clienti, ma il CASB segnala un’anomalia nel caso sia un programmatore a tentare di scaricare tali dati. In uno scenario di questo tipo, il CASB farebbe in modo di bloccare lo scaricamento dei file, e segnalerebbe l’attività sospetta agli amministratori.

Le crescenti preoccupazioni legate alla sicurezza dell'ambiente cloud, stanno spingendo molte aziende a implementare soluzioni CASB. Queste includono:

Shadow IT e la proliferazione di applicazioni di terze parti

Quando fece la propria comparsa il CASB, le aziende lo utilizzavano principalmente per limitare il fenomeno dello “Shadow IT” (l'utilizzo di applicazioni e servizi in azienda senza l'esplicito consenso del reparto IT). Oggigiorno per le aziende, la sfida è ancora più ardua, con centinaia o addirittura migliaia di script e applicazioni di terze parti con permessi OAuth (che utilizzano token al posto delle password) per accedere ai dati aziendali. Questo genere di applicazioni apportano spesso funzionalità aggiuntive ad Office 365, G Suite, Box e altre piattaforme. Tuttavia, alcune sono sviluppate con bassi standard qualitativi, mentre in alcuni casi sono progettate addirittura con fini malevoli.

Una volta che un token OAuth viene autorizzato, l'applicazione continua ad avere l'accesso finché esso non viene revocato. Dopo aver esaminato ogni applicazione cloud da un punto di vista della sicurezza informatica, verificando certificazioni e rischi, come ampi permessi sull'accesso ai dati, gli addetti alla sicurezza informatica saranno in grado di prendere decisioni accurate sul controllo degli accessi per applicazioni cloud potenzialmente rischiose, promuovendo l'utilizzo di servizi cloud sicuri.

Compromissione dell'account cloud

I cybercriminali riescono spesso ad accedere ad applicazioni e dati in cloud, attraverso l'utilizzo di account cloud compromessi. Proofpoint ha recentemente analizzato più di 100.000 login non autorizzati, su milioni di account cloud monitorati e ha scoperto che il 90% dei possessori sono presi di mira da attacchi informatici. Il sessanta percento dei possessori ha almeno un account compromesso nel proprio ambiente. Tipicamente, tutto ha inizio con attacchi di tipo brute-force – in cui gli attaccanti provano molte combinazioni di nome utente e password, nel tentativo di indovinare le credenziali giuste per accedere agli account. Un altro metodo è il phishing delle credenziali, con cui i cybercriminali cercano di ottenere le credenziali degli utenti, attraverso email scritte con tecniche di social engineering. Una volta ottenute le credenziali, gli attaccanti le utilizzano per accedere agli account cloud, impersonando i reali possessori degli account, per spingere magari gli addetti al reparto finanziario di un’azienda ad inviare bonifici su conti intestati ai truffatori o a divulgare dati aziendali riservati. Altre volte, utilizzano tali account per distribuire spam o email di phishing.

Furto di proprietà intellettuale

Il rischio di subire un furto di segreti commerciali, progetti ingegneristici e altri dati aziendali sensibili è più che reale quando i dipendenti si appoggiano su servizi di collaborazione o di messaggistica basati sul cloud per condividere file e informazioni. La scarsa accortezza, o la mancanza di formazione, può portare a condividere file privati attraverso link pubblici, accessibili da chiunque. Anche le minacce interne all'azienda sono comuni. Un esempio tipico, è il furto dei dati relativi agli ordini dei clienti dai CRM aziendali, perpetrato da dipendenti infedeli del reparto vendite che pianificano di lasciare l'azienda. Le aziende possono innalzare la propria capacità di monitorare i dati gestiti in cloud e migliorare la sicurezza dei dati, attuando politiche incentrate sugli utenti, per controllare gli accessi ai servizi cloud e ai dati, tramite soluzioni CASB security.

Regolamenti più severi e multe salate

Le aziende, in qualsiasi settore operino, stanno sperimentando quanto possa essere complicato riuscire a mantenere la conformità ai regolamenti. Molti dei recenti regolamenti richiedono ormai alle aziende di essere sempre a conoscenza del luogo in cui vengono conservati i dati, e come essi vengono condivisi sul cloud. La violazione di tali regole, può portare a sanzioni molto pesanti. Ad esempio, chi vìola il regolamento GDPR, può ricevere una multa che arriva fino al 4% del fatturato annuo. Uno strumento come il CASB, vi aiuterà ad aderire al meglio a tali regolamenti e vi risparmierà grattacapi in caso di controlli.

Controllo sull’utilizzo del cloud

Sia per proteggere i dati che per tenere sempre sotto controllo lo spazio cloud e come viene utilizzato all’interno della vostra azienda, un sistema CASB è in grado di offrirvi la massima visibilità, sicurezza, e scalabilità. Il CASB può aiutare le aziende a pianificare l’implementazione di nuove risorse, senza compromettere le performance. Permette inoltre agli amministratori di monitorare le attività sospette e mettere in campo le dovute misure di sicurezza per mitigare gli attacchi.

Ora che sapete il motivo per cui avete bisogno del CASB, vediamo quali sono le sue funzionalità. Questo strumento, svolge diverse funzioni fondamentali che vanno al di là dei comuni firewall aziendali e dei web gateway:

1. Gestione delle app cloud: Il CASB governa le applicazioni e i servizi cloud, offrendo una visione centralizzata del vostro ambiente cloud, con dettagli relativi a chi sta accedendo a quale applicazione e a quali dati in cloud, da dove e da quale dispositivo. Dal momento che l'utilizzo del cloud è diventato così pervasivo oggigiorno, il CASB cataloga i servizi cloud (incluse applicazioni OAuth di terze parti), ne valuta il livello di rischio e l'affidabilità complessiva, e assegna loro un punteggio. Il CASB offre inoltre il controllo automatico degli accessi ai e dai servizi cloud, in base al punteggio di rischio e altri parametri, come la categoria e i permessi dei dati.
2. Difesa contro le minacce cloud: Il CASB aiuta ad individuare le minacce, monitorando ad esempio accessi sospetti o un numero eccessivo di login, inviando poi degli avvisi. Il CASB utilizza anche strumenti anti-malware avanzati e sandbox per bloccare e analizzare le minacce. E in alcuni casi, i fornitori di soluzioni CASB, si basano sulla ricerca a livello globale di comportamenti e caratteristiche degli attuali ed emergenti attacchi cloud. Le sofisticate soluzioni CASB odierne, permettono anche di configurare policy per la bonifica automatica delle minacce informatiche. Come prevenzione, potete configurare il controllo degli accessi a livello di utente, in base al suo ruolo (come privilegi e status VIP), il livello di rischio associato al login ed altri parametri contestuali, come la località dell'utente, la sicurezza del dispositivo ed altro.
3. Mettere in sicurezza i dati sensibili: Individuazione e rimozione di file condivisi pubblicamente, e Data Loss Prevention (DLP) sono componenti critici di una soluzione CASB. Ad esempio, il CASB consente di impostare e far rispettare politiche di sicurezza per consentire agli utenti di accedere soltanto a determinate categorie di dati in base ai loro privilegi. La maggior parte delle soluzioni Saas CASB, è dotata di DLP e sono anche integrati con soluzioni di protezione dei dati aziendali.
4. Conformità per il cloud: Il CASB può risultare di grande aiuto quando dovete dimostrare che state applicando le giuste politiche di controllo sui servizi cloud. Attraverso la visione globale, la riparazione automatica, la creazione e l'attuazione di policy e le funzionalità di segnalazione, il CASB consente di essere conformi alle normative sulla gestione, privacy e conservazione dei dati. Tra cui il GDPR, General Data Protection Regulation, e standard e regolamenti come l'HIPAA, Health Portability and Accountability Act.

Il CASB fornisce le funzionalità necessarie per la sicurezza dei dati sul cloud, grazie a web gateway, firewall, policy di sicurezza, e controllo degli accessi. Anche le aziende di più piccole dimensioni, con poco budget per la cybersecurity possono fare affidamento su un sistema CASB da integrare con la propria infrastruttura già esistente. L’utilizzo del CASB rende tanto semplice quanto efficace l’implementazione e il rispetto delle politiche di sicurezza, ed apporta enormi benefìci nei più svariati utilizzi.

Alcuni scenari di utilizzo del CASB sono ad esempio:

• Applicazioni eseguite su dispositivi personali: Se l’azienda adotta una politica BYOD (bring-your-own-device) che consente ai propri dipendenti di accedere alle applicazioni e ai dati aziendali tramite i propri dispositivi personali, il CASB è in grado di proteggere tali dispositivi dai malware senza interferire con la privacy dei propri dipendenti. In questo modo, i dati aziendali sono protetti, mentre i dati personali non vengono toccati.
• Prevenzione della perdita di dati: Il CASB identifica i dati sensibili e garantisce il rispetto delle politiche di autorizzazione, così da “consentire”, “bloccare”, o “limitare” l’accesso ai dati aziendali. Può anche crittografare i dati già salvati (data-at-rest), come ad esempio quelli conservati sul cloud, oppure i dati in transito (in-transit) mentre vengono trasferiti in rete.
• Blocco malware e ransomware: Malware e ransomware rappresentano una grave minaccia alla sicurezza dei dati, ma il CASB impedisce che tali applicazioni vengano installate sull’ambiente aziendale, oltre a bloccare l’eventuale passaggio di malware tra l’ambiente cloud e l’infrastruttura fisica tramite l’utilizzo di proxy e funzionalità di messa in quarantena in tempo reale.
• Monitoraggio e gestione dei comportamenti sospetti degli utenti: L’utilizzo degli attributi statici degli utenti non è più un metodo efficiente di rilevare attività malevole. Il CASB utilizza invece dei benchmark e pattern di traffico di rete per identificare e bloccare tentativi di accesso non autorizzati ai file.
• Crittografia: Il CASB utilizza la crittografia per i dati a riposo (data-at-rest) e in transito (data-in-transit) garantendo la protezione dei dati e la conformità alle normative.
• Autenticazione degli utenti: La gestione degli accessi integrata con lo strumento Active Directory offre straordinari benefìci nell’utilizzo del CASB. Tramite il CASB, gli amministratori possono implementare funzionalità single sign-on (SSO), autenticazione multi fattore, e integrare soluzioni già esistenti (come ad esempio Okta) con l’ambiente cloud.
• Rilevamento dei difetti di configurazione: Un semplice errore di configurazione del cloud può portare a pericolosi data breach, ma il CASB monitora e scopre i difetti di configurazione nell’infrastruttura e li segnala prontamente agli amministratori. In certi casi è anche in grado di correggere automaticamente tali difetti.
• Blocco dello shadow IT e delle applicazioni non autorizzate: L’utilizzo dei log e il monitoraggio di dispositivi e applicazioni non autorizzati, protegge le aziende dai data breach che possono verificarsi in caso di smarrimento di un dispositivo, o quando un malintenzionato prova ad effettuare l’autenticazione da una località sospetta.

Il CASB di Proofpoint fornisce una visibilità granulare sui vostri dati aziendali, oltre al controllo degli accessi, e il monitoraggio attivo contro ogni minaccia. Esso fornisce una visione globale del modo in cui i vostri dati vengono utilizzati, e offre agli amministratori una panoramica sui rischi che potrebbero essere causa di data breach. Gli amministratori possono così avere il controllo su tutto ciò che accade, ricevendo notifiche per tentativi di autenticazione sospetti, situazioni a rischio di perdita di dati e tutto ciò che ruota attorno alla sicurezza dell’infrastruttura aziendale.

Esistono tante soluzioni in commercio, ma è fondamentale trovare quella con le funzionalità che meglio si integrano nell’infrastruttura esistente. Indubbiamente è importante considerare anche altri fattori come il prezzo, le caratteristiche, i vantaggi, i servizi offerti, e più in generale, scegliere la soluzione che più si adatta alle vostre specifiche esigenze organizzative. Tuttavia, oltre ai quattro pilastri visti in precedenza in questo articolo, esistono alcune peculiarità che non dovrebbero mai mancare nel vostro CASB:

• Scoperta delle app in cloud: per scoprire app inutilizzate o obsolete ancora accessibili dagli utenti.
• Politiche sul rischio e la gestione dei dati: per configurare le regole di accesso e autorizzazione.
• Monitoraggio attività: per ottenere visibilità e report sul modo in cui i dati vengono utilizzati e su come vi accedono gli utenti.
• Prevenzione delle minacce: per rilevare e mitigare automaticamente le minacce.
• Sicurezza dei dati: per prevenire la perdita dei dati, bloccando gli attacchi e allertando tempestivamente gli amministratori.
• Analisi delle attività: per fornire una visione globale di ciò che accade sulla rete e aiutare gli amministratori a prendere le giuste decisioni per proteggere adeguatamente i dati.
• Controllo degli accessi da Endpoint: per gestire gli endpoint mobili e monitorare i loro accessi ai dati.
• Opzioni di ripristino: per risolvere automaticamente i problemi e ripristinare i dati.
• Supporto API: per automatizzare il trasferimento e l’accesso ai dati.
• Infrastruttura di distribuzione: per ridurre e mitigare gli attacchi DDoS (distributed denial-of-service).
• Protezione da malware e phishing: il CASB deve identificare i malware, impedire che accedano all’infrastruttura e ai dati e allertare gli amministratori.
• Gestione degli account: gli amministratori devono poter configurare il CASB per bloccare autorizzazioni e tentativi di autenticazione sospetti.
• Scoperta di dati e applicazioni sensibili: il vostro CASB deve essere in grado di scansionare e scoprire dati sensibili, produrre valutazioni di rischio e gestire gli accessi a dati e applicazioni.
• Performance: l’integrazione del CASB nell’infrastruttura non deve influenzare negativamente le performance di rete o la produttività degli utenti.
• Certificazioni necessarie: alcuni settori richiedono ai fornitori di servizi cloud di rispettare specifici standard come FERPA, COPPA, CSP e altri.
• Assistenza clienti: per mettere a punto e gestire un CASB, gli amministratori devono poter contare su un valido supporto tecnico da parte del produttore, anche a pagamento, in caso di incidenti.