Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Stefano Murray

5 lug 2017

Email

1 min read

Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Conclusioni principali

    • Attestations alone don’t guarantee security. Confermano che certi standard sono soddisfatti, ma non che i controlli funzionino o siano monitorati correttamente.

    • Operational readiness matters more than certification. Un'azienda può superare un audit mentre i suoi strumenti di sicurezza, come i sistemi IDS/IPS, sono non funzionanti.

    • Auditors often verify existence, not performance. Molte attestazioni valutano se i sistemi esistono, non se sono configurati correttamente o attivamente mantenuti.

    • A strong cloud security program blends compliance with continuous monitoring. Le attestazioni forniscono una base di conformità, ma i test e le valutazioni continue assicurano una vera protezione.

    • Third-party penetration tests reveal real vulnerabilities. Offrono approfondimenti più profondi rispetto a sondaggi o liste di controllo, convalidando che le misure di sicurezza funzionano in condizioni reali.

    • Vendor evaluations should consider data access and risk exposure. I partner che gestiscono informazioni sensibili meritano un'analisi più rigorosa e revisioni regolari.

    • Effective security requires transparency. Le organizzazioni mature condividono volontariamente politiche, quadri di risposta agli incidenti e procedure di gestione delle vulnerabilità.

Q&A Highlights

  • Perché le attestazioni non sono una misura affidabile della maturità della sicurezza?

    Perché provano solo che esistono controlli necessari, non che funzionino. La vera maturità della sicurezza comporta una convalida continua, il monitoraggio e la reattività alle minacce.

  • Qual è un errore comune nell'affidarsi esclusivamente ai controlli di conformità?

    Le organizzazioni possono implementare strumenti solo per “spuntare la casella.” Ad esempio, un IDS può essere installato ma non effettivamente configurato per rilevare o avvisare sulle minacce.

  • Cosa dovresti esaminare oltre alle attestazioni quando valuti un fornitore?

    Esamina sempre il rapporto completo sui risultati (non solo il riassunto), chiedi informazioni sui test di penetrazione annuali e richiedi l'accesso alla documentazione di sicurezza principale.

  • Come può il testing di terze parti migliorare un programma di sicurezza?

    I test di penetrazione simulano attacchi del mondo reale, rivelando debolezze che gli audit di conformità trascurano, garantendo che le difese funzionino come previsto.

  • Cosa definisce un programma maturo di sicurezza cloud?

    Un approccio bilanciato che combina attestazioni, monitoraggio continuo, strategie di protezione dei dati, prontezza alla risposta agli incidenti e gestione proattiva delle vulnerabilità.

  • Come dovresti valutare le strategie di sicurezza dei fornitori?

    Valuta in base alla sensibilità dei dati a cui accedono: i fornitori che gestiscono dati dei clienti dovrebbero soddisfare standard di sicurezza più elevati e sottoporsi a revisioni regolari.

Le persone mi chiedono spesso cosa rende un buon programma di sicurezza. Per quanto vorrei indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono molteplici elementi da evidenziare.

Le attestazioni non sempre misurano il tuo Defensive Posture

Una attestazione, per definizione, è un'indicazione che rende evidente qualcosa. Nel caso della sicurezza, in particolare dei programmi di sicurezza, significa certificare in una capacità ufficiale.

Le persone spesso mi chiedono cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono diversi elementi da evidenziare. L'industria si basa sulle attestazioni e certificazioni per misurare le vostre difese di sicurezza. Gli ingegneri e gli operatori vi diranno che il vostro perimetro di sicurezza effettivo e le capacità di valutazione delle minacce definiscono il vostro programma di sicurezza. Vi dirò che sono sia le attestazioni di conformità come misura che le capacità operative del vostro team di sicurezza a definire il vostro programma. Anche se le sole attestazioni non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità del settore per garantire la conformità con statuti federali, locali e statali oltre che con le migliori pratiche del settore. Gli standard ISO, NIST o DoD costituiscono la base della maggior parte delle attestazioni. NIST, ad esempio, pubblica una serie di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come illustrerò, tuttavia, solo perché gli standard sono impostati non significa che l'implementazione sia sempre eccellente.

Il deployment di uno strumento non significa che stia fornendo valore

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione, nella crescita operativa e nell'innovazione nel tempo. Purtroppo alcune organizzazioni utilizzano la flessibilità per rispettare le formalità, ma non dispongono di difese reali.

Un esempio evidente di questo problema sono i sistemi di rilevazione/protezione dalle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come parte delle pratiche standard di sicurezza per proteggersi dal traffico dannoso e dall'esfiltrazione dei dati. L'industria è piena di fornitori che realizzano varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistarli.

Di recente ho lasciato un'organizzazione che ha “costruito” il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un “fantastico strumento”, e sono stati forniti esempi di traffico. Quando ho esaminato più a fondo la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore dato che non era configurato per catturare alcun traffico o inviare allarmi. Inoltre, le credenziali usate per amministrare lo strumento erano state impostate da un dipendente precedente e non erano mai state aggiornate dopo la sua partenza. Quindi, essenzialmente, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Questo non solo mette l'azienda a rischio, ma compromette anche il perimetro.

Un auditor esperto non avrebbe rilevato il problema perché le attestazioni non cercano informazioni “operative” su tutti i sistemi - lo standard è letteralmente uno strato di domande e risposte. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua operatività. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica per discernere un IDS/IPS funzionante da uno non funzionante. Il cuore dell'audit si basa sull'azienda che si presenta nel miglior modo anziché rispondere a domande difficili. Gli auditor devono anche coprire un vasto assortimento di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola vi dirà che un'azienda ha un programma di sicurezza maturo con controlli. Requisire che un potenziale partner compili un sondaggio sui fornitori non vi darà neanche una sicurezza. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

Valutare l'intero programma di sicurezza Cloud

Prima di tutto, dovresti esaminare almeno le attestazioni e il rapporto dei risultati, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, i programmi di sicurezza completi dovrebbero includere strategie di protezione dei dati solide come procedure di backup e recupero dei database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente verificare se l'azienda si sottopone a un test di penetrazione o un programma di bug bounty da parte di terzi. Personalmente non sono un fan dei bug bounty, ma sono un fan dei test di penetrazione da parte di terzi su base annuale. I Pentesting ti forniscono un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, esamina i documenti di sicurezza (solitamente indice dei contenuti) che l'azienda utilizza come base per l'implementazione. Questo include (ma certamente non si limita a) una politica di sicurezza, la gestione degli incidenti e la gestione delle vulnerabilità. Un team di sicurezza esperto offrirà di condividere quei documenti e gli artefatti come parte della normale attività.

Faccio una questione di prassi valutare ogni fornitore e partner dal punto di vista dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce i dati aziendali, sono soggetti a maggiori scrutinio rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Esamino lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che gestire tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.

Altre notizie

Leggi di più da questa categoria

A person is standing at a desk while typing on a laptop.

La piattaforma AI-native completa che scala con il tuo business.

Contatta le vendite

Inizia gratis

© 2025 Bird

Contatta Support

A person is standing at a desk while typing on a laptop.

La piattaforma AI-native completa che scala con il tuo business.

Contatta le vendite

Inizia gratis

© 2025 Bird

Contatta Support

A person is standing at a desk while typing on a laptop.

La piattaforma AI-native completa che scala con il tuo business.

Contatta le vendite

Inizia gratis

© 2025 Bird

Contatta Support