Questo blog è un riassunto del nostro webinar in formato panel, Elimina il Sovraccarico di Alert: Come Raggiungere una Vera Riduzione del Rischio Cloud.
La crisi della sicurezza cloud di cui nessuno parla abbastanza apertamente
Chiedi a qualsiasi CISO cosa lo tiene sveglio la notte e la risposta raramente è “non abbiamo abbastanza strumenti di sicurezza.” Più spesso è il contrario: troppi strumenti, troppi alert e troppo poca chiarezza su dove si trova il vero pericolo. Questo è stato il tema centrale di un recente webinar di Skyhawk Security, in cui un panel di professionisti ed esperti del settore si è riunito per discutere una delle sfide più urgenti e sottovalutate della sicurezza cloud moderna: il sovraccarico di alert e la necessità urgente di passare da una difesa reattiva a una preemptiva.
La conversazione è stata franca, pratica e radicata nell’esperienza reale. Ciò che è emerso è un quadro chiaro di un settore a un punto di svolta — uno in cui il vecchio modello di “scansiona, valuta e spera per il meglio” non è più sufficiente, e in cui le organizzazioni che avranno successo saranno quelle che impareranno a distinguere il rischio genuino e armato dal rumore che lo circonda.
Il panorama delle minacce è cambiato drasticamente
Rob Strechay, analista principale con oltre 30 anni di esperienza nella consulenza a leader della sicurezza e della tecnologia, ha aperto la discussione con una valutazione diretta dello stato attuale della sicurezza cloud. Il settore, ha sostenuto, è diventato quasi irriconoscibilmente complesso rispetto a solo pochi anni fa.
“Quando guardi l’intero settore e dove devi andare per proteggere te stesso e la tua azienda, è immensamente più difficile che mai.” — Amit Levran, CISO, SundaySky
Diverse forze convergenti guidano questa complessità. L’IA ha cambiato fondamentalmente l’economia degli attacchi: gli avversari possono ora trovare vulnerabilità più velocemente, elaborare attacchi più convincenti ed eseguire ricognizioni a una scala e velocità che nessun team umano può eguagliare. Allo stesso tempo, la superficie di attacco si è espansa drasticamente. Le dipendenze open source rappresentano ora più del 75% delle basi di codice moderne, e il 70% dei problemi di sicurezza ha origine nella fase di codice, eppure solo il 29% degli sviluppatori esegue scansioni di sicurezza localmente. Il rischio di sicurezza, in altre parole, inizia dalla tastiera, molto prima che il codice raggiunga la produzione.
La realtà multi-cloud aggrava ulteriormente la sfida. La maggior parte delle organizzazioni oggi opera su più provider cloud — AWS, Azure, Google Cloud e altri — ognuno con il proprio modello di sicurezza, il proprio linguaggio e i propri vettori di attacco. Anche le organizzazioni che credono di operare su un singolo cloud spesso scoprono che i confini tra gli ambienti di sviluppo e produzione sono molto più permeabili di quanto pensassero. Come ha sottolineato Amit Levran, Head of Security di SundaySky: un account di sviluppo che può assumere un ruolo su un account di produzione collassa effettivamente la separazione tra i due ambienti, indipendentemente da come siano etichettati.
La pressione normativa aggiunge un ulteriore livello di complessità. Il Cyber Resiliency Act dell’UE, i framework emergenti di governance dell’IA e un crescente mosaico di requisiti di conformità stanno dando peso reale agli obblighi di sicurezza, creando una responsabilità che si estende ben oltre il team di sicurezza stesso.
Il problema del sovraccarico di alert: quando più informazioni significano meno chiarezza
Forse il momento più vivido del webinar è arrivato quando il panel ha discusso il volume enorme di alert e risultati che gli strumenti moderni di sicurezza cloud generano. Amit Levran ha descritto l’esperienza che ogni professionista della sicurezza riconoscerà: aprire per la prima volta una dashboard CNAPP e trovarsi di fronte a decine di migliaia, a volte centinaia di migliaia, di vulnerabilità, ognuna con un punteggio di gravità assegnato, senza alcuna indicazione chiara su dove iniziare.
“Guardavo quel numero folle e pensavo: ‘Ok, e adesso?’ Hai questa enorme lista con una gravità assegnata a ciascuna, ma conta davvero la gravità o conta l’esposizione? Se ha una gravità elevata ma non può essere trasformata in un’arma contro di te, come la prioritizzi?”
Jennifer Gill, VP of Marketing di Skyhawk, ha aggiunto un dato sorprendente da un recente evento del settore: un prospect ad AWS re:Invent aveva appena installato il proprio CNAPP e aveva scoperto di avere decine di milioni di alert. Non sapevano da dove cominciare.
Il problema con i punteggi di gravità, come ha chiarito il panel, è che misurano il rischio teorico di una vulnerabilità in isolamento, non il rischio reale che rappresenta nel contesto di un ambiente specifico. Una vulnerabilità critica su un’istanza EC2 senza accesso a dati sensibili può essere molto meno pericolosa di un risultato a gravità media su una macchina con accesso diretto agli asset più preziosi. Il punteggio di gravità non te lo dice. E nell’era dello sfruttamento assistito dall’IA, la finestra tra la scoperta di una vulnerabilità e la sua trasformazione in arma si è ridotta drasticamente, il che significa che il costo di prioritizzare le cose sbagliate non è mai stato così alto.
Chen Burshan, CEO di Skyhawk Security, ha inquadrato la sfida con precisione:
“Non sentono di aver bisogno di più alert. Hanno bisogno di dare senso a questi alert e capire quali gestire per primi. Devono sapere quali rischi sono effettivamente armati e mettono a rischio il loro ambiente.”
I tre pilastri di una sicurezza cloud efficace
Basandosi sulla sua esperienza, Amit Levran ha delineato quelli che ha descritto come i tre sfide fondamentali che i team di sicurezza stanno cercando di risolvere, usando l’analogia di proteggere una casa.
Primo: Mappa la tua esposizione. Prima di poter difendere qualsiasi cosa, devi sapere da dove può arrivare un attacco. Questo significa comprendere ogni punto di esposizione esterno — le porte, le finestre e, sì, la porta del garage con il codice impostato su 000000. Mappare le vulnerabilità in quei componenti è il punto di partenza essenziale. Senza di esso, la prioritizzazione è impossibile.
Secondo: Prioritizza ciò che conta davvero. Una volta che hai una mappa, la domanda diventa: quali vulnerabilità rappresentano un rischio reale e sfruttabile nel tuo ambiente specifico? Non un rischio teorico basato su un punteggio CVSS, ma un rischio reale — le vulnerabilità che un avversario potrebbe trasformare in arma contro i tuoi asset più preziosi oggi stesso. È qui che la maggior parte degli strumenti è carente, e dove il divario tra “risultato” e “rischio” diventa più determinante.
Terzo: Costruisci un vero sistema di allarme. Quando le difese falliscono — e prima o poi lo faranno — devi saperlo immediatamente, con precisione e con abbastanza contesto per agire. Non un semplice alert basato su regole che scatta quando viene soddisfatta una condizione predefinita, ma un sistema comportamentale che riconosce quando qualcosa è fuori dall’ordinario: un utente che accede ai sistemi da una geografia inaspettata, un processo automatizzato che invoca un’azione assume-role 50 volte in tre minuti, uno schema di comportamento che nessun singolo alert segnalerebbe ma che collettivamente indica un’intenzione malevola.
Come Skyhawk Security affronta il problema
Chen Burshan ha fornito una panoramica di come Skyhawk Security si è evoluta per affrontare queste sfide, e perché l’approccio dell’azienda differisce fondamentalmente dagli strumenti tradizionali di sicurezza cloud.
Skyhawk ha iniziato con il rilevamento delle minacce in tempo reale e l’osservabilità cloud: la capacità di analizzare più eventi e comportamenti, correlarli in un quadro coerente di intento malevolo e generare un singolo alert contestualizzato piuttosto che un’ondata di risultati individuali. Questo ha affrontato il problema del “lato destro dell’impatto” — aiutando i team di sicurezza a rispondere in modo più efficace quando qualcosa va storto.
Ma il team ha riconosciuto che il rilevamento da solo è intrinsecamente reattivo. Per quanto buone siano le tue capacità di rilevamento, stai sempre rispondendo a qualcosa che è già accaduto. La domanda che Skyhawk si è posta è stata: e se potessi preparare le tue difese prima dell’attacco, piuttosto che dopo?
La risposta è stato l’Autonomous Purple Team, un motore di simulazione basato sull’IA che adotta una visione avversariale dell’ambiente cloud del cliente, testando continuamente i controlli di sicurezza come farebbe un vero attaccante. Fondamentalmente, questa simulazione viene eseguita interamente all’interno della piattaforma SaaS di Skyhawk utilizzando la tecnologia del gemello digitale — una copia dell’ambiente del cliente costruita tramite IA — senza alcun impatto sui sistemi di produzione e senza interruzioni alle operazioni.
“Facciamo una copia del tuo ambiente usando l’IA, ma lo facciamo all’interno della nostra piattaforma SaaS. Quindi non c’è nulla che disturbi il tuo ambiente. Non c’è alcun impatto per te.”
I risultati sono stati coerenti e sorprendenti. Su più clienti e più piattaforme CNAPP — che si tratti di strumenti cloud-native o sistemi di terze parti — i clienti di Skyhawk stanno ottenendo una riduzione del rumore del 99% o superiore. L’esperienza di Amit Levran in SundaySky è emblematica: di tutti gli alert generati dal suo CNAPP, il numero che Skyhawk valida come veramente trasformabile in arma nel suo ambiente specifico è lo 0,3%. Non l’1%. Non il 5%. Zero virgola tre percento.
Quella cifra ridefinisce l’intera sfida. La domanda non è “come gestisco 100.000 alert?” È “come trovo i 300 che contano davvero?” e poi, tra quelli, “su quali tre lavoro oggi, su quali 20 lavoro questa settimana e su quali 100 lavoro questo mese?”
Le migliori pratiche del settore: cosa dovrebbero fare ora i leader della sicurezza
Rob Strechay ha chiuso il panel con cinque raccomandazioni per i leader della sicurezza che navigano in questo ambiente — un framework che lui stesso ha riconosciuto essere in realtà cinque risposte a una domanda che ne chiedeva una sola.
Integra la sicurezza, non aggiungerla come optional. La sicurezza deve far parte del processo di pianificazione fin dall’inizio, non essere aggiunta come ripensamento. Questo è particolarmente vero man mano che le organizzazioni sviluppano sistemi di IA, dove la superficie di attacco si estende nei dati di addestramento, negli input del modello e nelle pipeline di inferenza in modi che i framework di sicurezza tradizionali non erano progettati per affrontare.
Sostituisci la revisione manuale con l’automazione. Il volume di informazioni che gli ambienti cloud moderni generano è semplicemente oltre la capacità umana di elaborare manualmente. L’automazione non è un optional — è un prerequisito per funzionare su scala.
Trasforma le policy da documentazione a codice. Le policy di sicurezza che vivono nei documenti non vengono applicate. Quelle che vivono nel codice, sì. Questo cambiamento è essenziale per mantenere una postura di sicurezza coerente in ambienti multi-cloud complessi.
Rendi obbligatoria la trasparenza della supply chain. Comprendere la tua superficie di attacco completa significa comprendere non solo il tuo codice, ma anche le dipendenze open source, i fornitori upstream e le integrazioni di terze parti che compongono il tuo ambiente. Gli attacchi alla supply chain sono un vettore in crescita, e la visibilità su quella superficie è fondamentale.
Rendi la protezione runtime continua e comportamentale. Il monitoraggio basato su regole rileva ciò che sai cercare. Il monitoraggio comportamentale rileva ciò che non sai. Le intrusioni più pericolose — quelle che utilizzano credenziali valide, percorsi di accesso legittimi e strumenti autorizzati — non attiveranno mai una regola predefinita. Saranno visibili solo a un sistema che comprende come appare il comportamento normale e segnala ciò che non si adatta.
La conclusione
Il webinar si è chiuso con un’osservazione memorabile di Amit Levran, tratta da una fonte inaspettata:
“Non importa quanto velocemente corri, non correrai mai più veloce dell’auto. Quindi non importa quanto tempo e sforzo ci metti, non riuscirai mai a chiudere tutte le vulnerabilità. Concentrati su quelle importanti.”
Questa è l’intuizione essenziale del modello di sicurezza preemptiva: l’obiettivo non è eliminare tutti i rischi — è impossibile. L’obiettivo è capire quali rischi sono reali, quali possono essere trasformati in armi e quali rappresentano il percorso più diretto verso i tuoi asset più critici. Tutto il resto è rumore.
Per i team di sicurezza che annegano negli alert, che lottano con la prioritizzazione e che affrontano un panorama di minacce che diventa più complesso ogni giorno, la strada da seguire non sono più strumenti o più alert. È la capacità di vedere il proprio ambiente attraverso gli occhi di un attaccante — e agire su ciò che si vede prima che lo faccia l’attaccante.
