I ricercatori degli F5 Labs hanno analizzato i dati delle organizzazioni clienti le cui risorse cloud sono state esposte al pubblico a causa di un’errata configurazione. I risultati sono preoccupanti: il tasso di crescita dal 2017 al 2018 è stato del 200% e nel 2019, considerando che fino ad oggi la media è di 2,5 violazioni al mese, la previsione (ottimistica) è quella di assistere a oltre 30 violazioni, che potrebbero salire sino a 90. Si tratta di una situazione che, naturalmente, non è tollerabile, non solo perché vengono esposti dati di privati, ma soprattutto per le ripercussioni potenziali, a volte estremamente dannose, per le persone alle quali i dati effettivamente appartengono, chiunque essi siano.
Ma come si è arrivati a questa situazione? Secondo Lori MacVittie, Principal Technical Evangelist di F5 Networks, ” i colpevoli hanno raramente a che fare con le operation: gli ingegneri di rete, amministratori di database, ingegneri di sistema e ingegneri della sicurezza sanno fare di meglio (..). Capita però che a livello di sviluppo del prodotto si decida di non incorporare le funzionalità di sicurezza che già esistono, in molti casi perché non si vuole che queste interferiscano con il flusso dei ricavi, ritardano magari la tempistica o introducendo potenzialmente nuovi bug.
Il passaggio al cloud consente agli sviluppatori di aggirare i ruoli tradizionali dell’IT aziendale, che sono ovviamente necessari se consideriamo il crescente numero di violazioni del cloud. Si tratta di una tempesta perfetta dal punto di vista della sicurezza, con gli sviluppatori liberi di distribuire sistemi con funzionalità di sicurezza configurate in modo non corretto, non perché vogliano deliberatamente arrecare danni, ma perché magari non comprendono pienamente le conseguenze o presumono che sia improbabile che si verifichi davvero una violazione”.
Come evitare le violazioni nel cloud
Come risolvere questo problema? Senza bisogno di tornare all’epoca dei lunghi ed estenuanti ritardi nell’implementazione dei sistemi, è tempo che si inizi a parlare seriamente di DevSecOps, in modo da infondere buone pratiche di sicurezza nello sviluppo. La ricetta di F5Labs è che tutti i team debbano essere inclusi nella conversazione, perché i report di sicurezza nei deployment cloud pubblici predefiniti sono spesso incompleti; nella maggior parte dei casi, le organizzazioni devono acquistare strumenti di controllo della sicurezza del cloud di terze parti.