Varie funzioni aggiunte alle piattaforme CrowdStrike rafforzano la protezione delle risorse IT collocate in cloud. Compresi i servizi di AI.
Autore: Redazione ImpresaCity
All'evento Fal.Con 2024 di Las Vegas, CrowdStrike non ha solo presentato alcune novità legate alle sue soluzioni per la protezione dei generici ambienti IT. Ha anche annunciato nuove funzionalità specifiche per Falcon Cloud Security, più focalizzato sulla cybersecurity degli ambienti cloud. Le novità di CrowdStrike non riguardano però solo la protezione pura delle risorse IT in cloud: si sono estese anche al mondo AI e alla gestione delle identità, secondo una visione che considera questi tre elementi - cloud, AI, identità digitali - come quelli più a rischio di attacco cyber.
Per limitare i threat actor che puntano alle vulnerabilità nel cloud, lanciano attacchi basati sull’identità e studiano nuovi modi per violare i servizi di AI e gli LLM ospitati nel cloud, secondo CrowdStrike serve un nuovo tipo di Cloud-Native Application Protection Platform (CNAPP). Le novità introdotto per Falcon Cloud Security vanno appunto in questa direzione, cercando di dare visibilità e protezione in tempo reale su infrastrutture, applicazioni, dati, modelli di AI.
In questo approccio, tra l'altro, secondo CrowdStrike diventa possibile unificare i workflow di sicurezza su una sola console per monitorare e mettere in sicurezza ogni vettore e percorso di attacco, con l'obietivo di bloccare eventuali compromissioni a livello di cloud.
Dato che l'AI è il tema caldo del momento, tra le novità da segnalare c'è innanzitutto il lancio di una componente specifica per l'AI Security Posture Management (AI-SPM), che offre monitoraggio e protezione per i servizi di AI e gli LLM distribuiti nel cloud, tra cui ad esempio le piattaforme di OpenAI, Amazon Bedrock e Vertex AI. La sua funzione principale è rilevare configurazioni errate delle piattaforme monitorate, identificarne le potenziali vulnerabilità e adottare misure per affrontarle, garantendo così un utilizzo il più possibile sicuro dei servizi di AI.
Idealmente, AI-SPM serve a blindare le componenti note di AI e anche quelle di "shadow AI". Ma CrowdStrike promette anche qualcosa in più, in effetti, puntando ad evitare che i modelli di AI vengano violati nel loro utilizzo o anche "avvelenati" con dati di base impropri. Questo grazie a un monitoraggio costante del comportamento dei modelli stessi.
Una seconda novità - le funzioni di Data Security Posture Management (DSPM) - ha invece un raggio d'azione diverso, per alcuni versi anche molto più ampio. Serve per identificare, classificare e proteggere i dati aziendali critici nei loro vari "stati" - sia "fermi" sui dispositivi di storage sia in transito lungo le reti - in ambienti ibridi, ossia distribuiti tra cloud ed endpoint.
Più in dettaglio, le funzioni di DSPM vanno a scandagliare i repository AWS S3 alla ricerca di dati critici - come quelli sanitari, i dati delle carte di credito e le PII (Personally Identifiable Information) - e creano un "data layer" che permette di gestirne in modo appropriato i rischi di violazione e gli aspetti di compliance.
Entrambe le nuove funzioni sono frutto del lavoro fatto per integrare nelle piattaforme CrowdStrike tecnologie che la software house aveva ottenuto da due società acquisite di recente: Flow Security per il DSPM e Bionic per l'Application Security Posture Management (ASPM), esteso ora anche al mondo AI.
Parallelamente, CrowdStrike ha annunciato miglioramenti alla sua piattaforma Falcon Identity Protection, presentando una anteprima di Falcon Privileged Access e lanciando una funzione specifica per la protezione delle minacce in tempo reale di Microsoft Entra ID (l'ex Azure Active Directory).
Una maggiore protezione per Microsoft Entra ID è necessaria, secondo CrowdStrike, perché la soluzione Microsoft è sempre più diffusa e quindi sempre più "appetibile" per i threat actor. Ora Falcon Identity Protection si può inserire in un flusso di autenticazione di Entra ID e applicarvi in tempo reale funzioni di analisi comportamentale e dei profili di rischio del singolo accesso, per rilevare eventuali attacchi.
Falcon Privileged Access è invece qualcosa di diverso. In sintesi, vuole portare agli ambienti di cloud ibrido il principio dei minimi privilegi, con la peculiarità di farlo in modo - secondo CrowdStrike - semplice e veloce perché sfrutta i sensori e i connettori cloud che già sono presenti nelle infrastrutture IT di chi usa Falcon. A parte questa peculiarità, FPA implementa un classico controllo in tempo reale, e basato su un calcolo del rischio, degli accessi alle risorse da parte di account privilegiati.