Cloud Access Security Broker (CASB) è un termine in uso da anni per definire una particolare suite di applicativi per la sicurezza. Originariamente erano dei veri e propri broker, ovvero dei negoziatori del traffico di rete finalizzati al suo monitoraggio in ottica di protezione. Oggi i CASB sono molto di più e stanno velocemente conquistando l’interesse di tutte le aziende.
Per citare solo un dato, secondo Reportlinker il comparto delle piattaforme CASB raggiungerebbe i 10 miliardi di dollari di valore entro il 2025, con un CAGR (crescita media annua) del 17%.
Come dicevamo, oggi sarebbe riduttivo relegare i CASB al ruolo originario di “broker” perché dalle ceneri del loro kernel stanno nascendo prodotti più potenti e più orientati alla protezione del cloud.
Nati come tool di monitoraggio del traffico dei dati sul cloud, i Cloud Access Security Broker oggi sono strumenti di protezione proattiva. E mai come oggi sono essenziali.
Cos’è un Cloud Access Security Broker o CASB
L’evoluzione dei CASB si è resa necessaria dalla variazione delle strategie di attacco. Prima di spiegare cosa è un Cloud Access Security Broker o CASB, descriviamo le motivazioni che li stanno portando al successo. Da un po’ di anni, l’approccio difensivo e passivo è stato dimenticato a favore di una strategia più adeguata. Le condizioni che hanno portato a questo necessario cambio di strategia sono due. In primis la velocità di propagazione delle incursioni e la constatazione che gli attacchi avvengono da accessi autorizzati.
Inoltre, oggi gli attacchi sono prevalentemente di tipo ransomware, finalizzati al blocco o al furto dei dati aziendali. Lo sblocco e la restituzione avvengono solo dopo il pagamento di un riscatto. Si tratta di attacchi veloci ma che non provocano danni immediati. Spesso i malware rimangono silenti per mesi, in attesa di dati interessanti da intercettare o del momento più propizio.
Un’infrastruttura tecnologica distribuita tra ambienti cloud e on premise, non più fisicamente localizzata, inoltre, non fa che complicare le cose. L’accelerazione dello Smart Working, poi, è stata la mazzata finale.
Accessi da reti WiFi non protette, policy non corrette di accesso ai servizi SaaS, scarsa sensibilità dei dipendenti, queste le motivazioni principali che hanno fatto schizzare alle stelle il numero delle aziende violate negli ultimi mesi.
Così i criminali sfruttano le vulnerabilità degli end point – dispositivi, accessori IoT, stampanti – per far cadere nella trappola gli utilizzatori e introdursi nell’infrastruttura cloud. Lo scopo è uno solo: rubare informazioni a fini estorsivi. E, poiché si è introdotto da un dispositivo noto alla rete, gli strumenti tradizionali di protezione spesso non lo rilevano.
È necessario un nuovo approccio. Un approccio proattivo, che parta dal monitoraggio costante del traffico di rete aziendale e degli accessi. Dunque, cos’è un Cloud Access Security Broker o CASB? Una piattaforma applicativa CASB monitora costantemente il traffico di rete e ne registra le anomalie. Nel momento in cui si individua un’attività non comune a un certo utente, il CASB provvede in tempo reale ad attivare una serie di regole, definite in precedenza, per il blocco dell’accesso e dell’attività.
LEGGI ANCHE Attacco phising: cosa è e che danni provoca alle aziende
I 4 pillar del CASB
Quali sono i quattro pillar di una piattaforma CASB di valore? Quali sono le sue principali funzioni? Possiamo raggrupparle in Visibility, Compliance, Data Security e Threat Protection. Di seguito vediamo la descrizione delle singole voci.
- Visibility. Si può intendere come “monitoraggio” della rete. Il modulo di monitoraggio di una piattaforma CASB è un guardiano (intelligente) sempre all’erta. Controlla il traffico dati in entrata e in uscita e segnala le anomalie, come? Ricorrendo a un set di regole predefinite ma anche accuratamente personalizzabili: la compliance.
- Compliance. La compliance in ambito security è esattamente questo: un insieme di regole da seguire. Perché ce lo chiedono i regolatori (GDPR – per la protezione dei dati aziendali) o perché si devono definire delle “regole di ingaggio” per l’accesso e l’utilizzo della rete. Possono essere regole legate ai profili di accesso, per esempio. Dunque, tutte le risorse autorizzate ad accedere rientreranno in un profilo definito con dei limiti sull’accesso e sulla modifica di applicazioni e dati.
- Data Security. Il modulo di sicurezza dei dati si occupa di proteggerli nel loro transito da e verso un end point, o tra un ambiente e un altro. Ciò avviene, per esempio, attraverso sistemi di crittografia o di Multifactor Authentication (MFA).
- Threat Protection. Infine, la protezione proattiva dagli attacchi avviene attraverso l’accesso sistematico a piattaforme di monitoraggio degli attacchi in tempo reale. Esistono diverse grandi reti di monitoraggio in tempo reale con cui le piattaforme CASB dialogano costantemente per risolvere un’eventuale vulnerabilità nel minor tempo possibile.
Quali sono i servizi che una piattaforma CASB deve avere
Una piattaforma CASB deve fornire una protezione completa contro malware, attacchi zero-day, Man-in-the-Middle e attacchi di phishing, oltre all’hijacking degli account SaaS dei dipendenti, garantendo la necessaria Identity Protection prevista dalle policy aziendali.
Tutto ciò viene sviluppato da moduli integrati che lavorano in sintonia. Si tratta di moduli perfettamente in linea con le richieste del mercato, visto che il 90% dei data breaches in ambienti SaaS è conseguente a una violazione dell’identità di un profilo autorizzato all’accesso.
Il cuore delle soluzioni CASB è il motore di Identity Protection: la componente che si occupa di validare l’accesso al cloud e alle applicazioni SaaS. Fornisce una reale Multifactor Authentication (MFA) che richiede un ulteriore livello di autenticazione al trasferimento dei pacchetti di dati verso un end point. E ciò vale anche per l’accesso alle applicazioni, per esempio su cloud.
Inoltre, grazie agli algoritmi di machine learning, le piattaforme CASB sono in grado di prendere decisioni immediate a seguito della richiesta di accesso da un dispositivo. Se la richiesta presenta delle anomalie, come il login da luoghi sospetti o da indirizzi Ip con una pessima reputazione e altri eventi “sospetti”, la piattaforma non dà il via libera.
Si tratta, dunque, di un monitoraggio intelligente grazie al machine learning a cui si aggiungono strumenti di blocco dinamico delle attività. Anche in questo caso, le piattaforme CASB sfruttano strumenti di automazione che permettono di inviare alert e eseguire routine automatiche di protezione dei dati e degli accessi.
È importante chiarire che, sebbene le configurazioni predefinite siano già decisamente avanzate, i tool CASB propongono un’ampia possibilità di personalizzazione, da delegare al partner It o al cloud service provider che offre un servizio di protezione.
Quando è necessario un Cloud Access Security Broker
Davvero dobbiamo specificare quando è necessario un CASB? La risposta è semplice, sempre. Oggi non esiste azienda che si possa ritenere immune da un cyberattacco. Anche le più piccole possono avere un link diretto con i sistemi informativi delle aziende più grandi, in qualità di fornitori, per esempio, e tramite quei profili è facile accedere a dati di primaria importanza per un’azienda. Dati vitali per il funzionamento dei sistemi, oppure semplicemente dati sensibili o brevetti industriali.
Ricordiamo, inoltre, che, secondo il GDPR, anche il proprietario dell’end point da cui è partito l’attacco può essere ritenuto responsabile dei danni. Ciò significa multe salate se non si riesce a dimostrare di avere un sistema di protezione di nuova generazione.
Chiarito che non esistono aziende, grande o piccole che siano, o mercati verticali immuni, c’è da specificare che le piattaforme CASB oggi sono distribuite prevalentemente sottoforma di servizio. E questo è un grandissimo vantaggio, soprattutto in termini di costi. La modalità a servizio (SaaS), permette a tutte le aziende, a fronte di un pagamento fisso mensile negoziabile, di godere di una protezione realmente di ultima generazione.
È importante scegliere il partner It giusto. Deve essere strutturato, ovvero dotato di SOC (Security Operation Center). Si tratta di un centro di controllo coordinato da cui monitorare in tempo reale attacchi e pericoli. Il partner It, poi, deve avere tutti gli strumenti per la gestione in outsourcing della rete aziendale dei propri clienti. Infine, importante scegliere partner specializzati in sicurezza, referenziati e con risorse certificate. Per evitare il ricorso a diversi partner, si può optare per un Cloud Service Provider che, oltre a prendere in carico tutta l’infrastruttura It del cliente, propone a portafoglio un’offerta CASB.