È fuor di dubbio che i servizi cloud offrano facilità d’uso e flessibilità di configurazione e dimensionamento, ma allo stesso tempo introducono anche nuovi rischi per la sicurezza dei dati e quindi per la privacy degli utenti: ecco perché è importante definire le corrette regole per il trattamento dati e individuare i necessari strumenti di protezione.
Indice degli argomenti
Il contesto tecnologico delle nuove piattaforme di sicurezza
Negli ultimi anni, le nuove piattaforme di sicurezza hanno fatto enormi passi in avanti per adeguare le proprie architettura in una nuova generazione di sistemi integrati che sfruttano grandi mole di dati provenienti da tutti i sistemi e robusti sistemi di analisi basati su Machine Learning e Artificial Intelligence, al fine di rafforzare le misure di sicurezza di una infrastruttura.
Prendiamo come riferimento la diffusissima piattaforma Microsoft Azure Security Center.
Come molti sapranno, Azure Security Center è un sistema unificato di gestione dell’infrastruttura che rafforza la sicurezza dei data center e fornisce una protezione avanzata dalle minacce, sia “on premise” sia in cloud, siano essi in Azure o meno.
Poiché Security Center fa parte nativamente di Azure, i servizi PaaS (Platform as a Service) in Azure sono monitorati e protetti da Security Center di default.
Inoltre, Security Center è in grado, tramite l’installazione di un Agent, Log Analytics, di proteggere i server e le macchine virtuali non di Azure nel cloud o in locale, sia su sistemi Windows che Linux. Inoltre, le Virtual Machine di Azure sono collegate automaticamente al Security Center.
Infine, come anticipato, Azure dispone di un Analytics engine basato su Machine Learning che analizza i dati raccolti per identificare dei rischi e proporre automaticamente dei suggerimenti per ridurli.
Sicurezza in cloud e privacy: la protezione dalle minacce
Tra le caratteristiche degne di nota, è l’integrazione di Azure Security Center con Windows Defender Advanced Threat Protection (ATP), che consente di disporre una piattaforma unificata con funzionalità complete di protezione preventiva, rilevamento post-violazione, indagine automatizzata e risposta degli endpoint (EDR).
Quando Microsoft Defender ATP rileva una minaccia, attiva un avviso. L’avviso viene visualizzato nella dashboard del Centro sicurezza. Dalla dashboard, è possibile eseguire una indagine dettagliata sulla console ATP di Microsoft Defender per scoprire l’ambito della minaccia.
Il contesto di raccolta dei dati e monitoraggio degli utenti
Azure Security Center raccoglie i dati dalle Virtual Machine (VM) di Azure, dai contenitori IaaS (Infrastructure as a Service) e dai computer non di Azure (inclusi i server locali) per monitorare vulnerabilità e minacce alla sicurezza.
I dati vengono raccolti utilizzando Log Analytics Agent, un modulo disponibile sia per sistemi Windows che Linux, ed è stato sviluppato per una gestione completa su Virtual Machine, in ambiente multicloud, sia su macchine locali, che su macchine monitorate da System Center Operations Manager.
Gli agent Windows e Linux inviano i dati raccolti da diverse origini al workspace di Log Analytics in Azure Monitor, nonché eventuali registri o metriche univoci definiti nel contesto della soluzione di monitoraggio.
L’agente Log Analytics supporta anche altri servizi, come Azure Monitor, Azure Monitor for Virtual Machine e Azure Automation, e legge non solo le configurazioni relative alla sicurezza e registri eventi dalla macchina su cui è installato ma, come detto, copia anche i dati in un’area di lavoro (workspace) precedentemente definita in Azure Cloud, per la successiva analisi.
Esempi di tali dati sono: tipo e versione del sistema operativo, registri del sistema operativo (registri eventi di Windows), processi in esecuzione, nome della macchina, indirizzi IP e utente che ha effettuato l’accesso, file di dump di arresto anomalo.
Log analytics workspace
È possibile creare uno o più spazi di lavoro (workspace) in base alle proprie esigenze. Durante l’onboarding dei sistemi sarà possibile configurare in maniera accurata le origini dati, come registri attività e registri risorse di Azure, agenti su macchine virtuali e dati da approfondimenti.
Altri servizi come il Centro sicurezza di Azure e Azure Sentinel usano anche un’area di lavoro di Log Analytics per archiviare i loro dati in modo che possano essere analizzati usando le query di registro insieme al monitoraggio dei dati da altre fonti.
È quindi possibile far confluire nel Workspace logs da tutti gli agenti collegati, sia che arrivino dal Windows Event logs, dal Syslog, dai Web server o da applicazioni custom.
Maggiore collezione dati, miglior sicurezza: ma la privacy?
Come si vede la soluzione realizzata da Microsoft, anche avvantaggiandosi del fatto di poter collezionare dati in maniera integrata da numerosi applicativi Office aziendali che lei stessa produce, usa strumenti sempre più potenti, che hanno come finalità principali la raccolta dati allo scopo di creare una base dati unificata e consistente.
Ciò le consente di identificare le minacce, anche preventivamente rispetto al fatto che la minaccia diventi effettivamente pericolosa, ma allo stesso tempo esegue un monitoraggio amplissimo su quelle che sono le attività delle macchine sorvegliate, da cui, in ultima analisi, si possono ricavare numerosi dati personali degli utenti che la utilizzano.
In effetti, la performance del sistema di sicurezza, cioè la capacità di prevenzione dalle minacce, con l’utilizzo di tecniche di Machine Learning e di Artificial Intelligence sempre più evolute, sarà tanto migliore quanto più ampia sarà la base di dati accumulati su cui fare le analisi.
Quando le aziende si trovano ad aggiornare i propri sistemi di sicurezza, tendono a collegare i vari sistemi ai monitoraggi di sicurezza, con poche o nessuna valutazione sull’effettiva necessità che la raccolta dei dati rispetti i criteri imposti dal GDPR: ad esempio, il criterio di minimizzazione e la verifica sulla data retention dei dati raccolti.
A volte, quindi, le aziende non si rendono pienamente conto della portata della raccolta dati e del monitoraggio che verrà effettuato nel corso del ciclo di vita dei sistemi.
Le tecniche di Machine Learning e di Artificial Intelligence utilizzate comportano capacità sempre maggiori di profilazione delle attività effettuate sulle macchine e di conseguenza ciò aumenta anche la capacità di analisi dei comportamenti degli utenti che le usano.
Anche se le aziende si sentono giustificate nell’accumulazione di dati personali e nel monitoraggio degli utenti per motivi di sicurezza, tale attività rischia però facilmente di trasformarsi, se non si presta attenzione, in un sistema di monitoraggio degli utenti.
Tanto più che l’utilizzo sempre più esteso dei Cloud Provider impone il trasferimento dei dati a terze parti, che spesso utilizzano server di AI posti in paesi extra europei non sempre vincolati da contratti adeguati e la cui applicazione è di fatto difficilmente verificabile da parte della singola azienda, che non dispone di skills e budget adeguate per verificare l’applicazione delle misure di sicurezza e delle regole di privacy presso il cloud provider, e si affida quindi alla manualistica del fornitore.
Sicurezza in cloud e privacy: che lezioni trarre
Come abbiamo visto, la quantità e la tipologia dei dati raccolti dai moderni sistemi di sicurezza, come nel caso dei sistemi Microsoft che abbiamo preso come modello di riferimento, aumenta nel tempo anche considerevolmente, in dipendenza dei sistemi collegati e delle tipologie di informazioni raccolte da ognuno di essi.
Inoltre, dato che i sistemi in cloud hanno spesso il monitoraggio di sicurezza integrato, con la transizione verso la “nuvola” le aziende possono ritrovarsi ad adottare le pratiche di monitoraggio definite dal Cloud Provider.
Per quanto questi dati possano essere protetti, anche in cloud occorre sempre valutare se le informazioni raccolte non siano sovrabbondanti (principio di minimizzazione) e non eccedano lo scopo del trattamento, che è quello di assicurare una ragionevole protezione dei sistemi, ma senza trasformarsi in un’accumulazione dati fuori controllo.
Il caso tipico di accumulazione non necessaria è quello della configurazione per default, da parte dell’IT aziendale o del Cloud Provider, della raccolta dei log di sistema e degli eventi in modalità “full”, accumulando quindi tutto quello che viene generato dai sistemi monitorati.
Mentre sarebbe invece opportuno prevedere, durante le normali attività di sorveglianza, la sola raccolta di un subset dei log degli eventi disponibili, salvo poi ampliare il livello di log nel caso di Incident o data breach e solo per il tempo necessario a identificare e risolvere il problema, per poi tornare ad un livello di sorveglianza più blando.
Da considerare anche che l’utilizzo di sistemi in cloud comporta la registrazione dei dati per l’analisi su server che potrebbero, anzi di solito lo sono, essere posizionati all’estero, spesso anche fuori Europa.
Per limitare le eventuali problematiche di privacy, sarebbe opportuno quindi assicurarsi che i Workspace utilizzati per collezionare i log siano ospitati presso sistemi residenti in Europa, e che ai workspace vengano applicate rigide regole per garantire che dopo un certo periodo tali dati vengano cancellati automaticamente.
Infine, le informative che sono fornite agli utenti sul trattamento, devono essere aggiornate nel tempo, man mano che la capacità di raccolta e collezionamento dei dati da nuovi sistemi viene ampliata. Ed è opportuno che tali aggiornamenti vengano notificati agli utenti, per evitare che il trattamento ecceda le loro aspettative di privacy quando ognuno di essi usa i sistemi oggetto di controllo, cosa che purtroppo nella maggioranza delle aziende non avviene.
