La rapida adozione delle tecnologie cloud sta attirando l’attenzione degli hacker che hanno aggiornato i propri obiettivi verso le infrastrutture che migrano i dati mission-critical nel cloud.
In questo articolo, Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne evidenzia le principali cause degli incidenti legati al cloud e ricorda che le imprese dovrebbero concentrarsi su misure di cybersecurity proattive, come una migliore gestione delle configurazioni, una valida sicurezza delle credenziali e una rapida correzione delle vulnerabilità.
Buona lettura!
I principali rischi per la sicurezza nell’era dell’adozione del cloud
Le imprese stanno abbracciando la trasformazione digitale, con il public cloud e i container come strategie chiave. Le infrastrutture tradizionali si stanno spostando verso piattaforme cloud-native e applicazioni containerizzate per creare flussi di lavoro più efficienti, ridurre i costi e aumentare la resilienza. Gartner prevede che entro il 2025 il 95% dei workload digitali verrà eseguito su piattaforme cloud-native, con un aumento del 30% rispetto al 2021 e, entro il 2028, il 70% di tutti i workload sarà in cloud, rispetto all’attuale 25%.
L’attenzione degli hacker
La rapida adozione di queste tecnologie sta attirando l’attenzione dei malintenzionati informatici che hanno delineato i propri obiettivi verso le nuove infrastrutture che migrano i dati mission-critical nella “nuvola”. I professionisti della sicurezza non vedono solo un aumento della frequenza degli attacchi, ma anche della loro sofisticazione. La complessità si misura con il miglioramento delle tecniche utilizzate dagli aggressori, come identificato dai framework del MITRE ATT&CK. Secondo il MITRE ATT&CK, il numero di tecniche di attacco Cloud IaaS è passato da 50 a 61 e quello verso i container da 28 a 39 negli ultimi due anni e mezzo. Questa maggiore attenzione porta anche a un aumento degli incidenti e delle violazioni segnalate negli ambienti cloud e container.
Attacchi automatizzati in aumento
SentinelOne rileva un numero maggiore di script automatizzati, come lo “scraping of secrets” per il furto di credenziali, compresa la scansione di errori di configurazione, il deployment di cryptominer e lo sfruttamento di vulnerabilità a livello di controllo e di app. Ad esempio, la botnet LemonDuck è in grado di attaccare API Docker mal configurate in 12 secondi e di distribuire automaticamente un file dannoso per il cryptojacking. L’automazione e gli strumenti open-source come AlienFox e Predator AI abbassano la soglia per gli aggressori. Questi strumenti possono estrarre e utilizzare impropriamente le credenziali da ambienti non sicuri, facilitando gli accessi non autorizzati.
Cause degli incidenti in cloud
Con l’aumento di questo tipo di incidenti, è fondamentale esaminare i problemi più comuni e le aree dove i team di sicurezza dovrebbero concentrare la loro attenzione. Le cause principali degli incidenti legati al cloud vengono rilevate in configurazioni errate delle risorse connesse a Internet, in credenziali compromesse e nelle applicazioni web vulnerabili in hosting nella nuvola. Nel dettaglio:
- Asset configurati in modo errato: c’è stato un lungo periodo di bucket S3 esposti involontariamente prima che Amazon apportasse modifiche per rendere private le configurazioni predefinite. Nonostante l’aumento dei controlli e delle impostazioni predefinite da parte dei fornitori di cloud e l’emergere di strumenti di CSPM, gli ambienti mal configurati rimangono molto diffusi.
- Credenziali compromesse: non sorprende che molti incidenti in cloud inizino perché un aggressore ha ottenuto accesso alle credenziali, spesso mediante la tecnica del ‘credential harvesting’. Nel 2023, GitGuardian ha riferito che su GitHub sono state scoperte oltre 1 milione di istanze di codici API di Google, 250.000 codici Google Cloud e 140.000 codici AWS.
- Applicazioni web vulnerabili in cloud: le vulnerabilità a livello di sistema e di app rimangono una delle principali cause di incidenti in cloud. Anche se non esclusivamente legate al cloud e ai container, è da notare l’aumento delle vulnerabilità sfruttabili note (KEV) e delle vulnerabilità con exploit proof-of-concept. VulnCheck fornisce un’analisi dettagliata di queste tendenze nell’ultimo decennio. Un’osservazione degna di nota è la velocità con cui gli aggressori adottano gli exploit proof-of-concept.
Criticità distribuite su tre aree
Vulnerabilità, credenziali compromesse e ambienti mal configurati sono le cause principali degli incidenti. Gli attacchi avanzati al cloud spesso prevedono tattiche e tecniche che coinvolgono tutte e tre le aree sopra citate. Molti attacchi iniziano con una vulnerabilità a livello di sistema operativo o di app che consente l’esecuzione di codice remoto (RCE). Le tattiche più diffuse nell’ambito degli attacchi al cloud includono il furto di credenziali e la modifica o la disabilitazione dei servizi cloud. Il furto di credenziali è un modo efficace per ottenere l’escalation dei privilegi e aumentare la portata della violazione.
In conclusione, la rapida adozione della tecnologia cloud comporta rischi significativi per la sicurezza, tra cui la crescente complessità e gli attacchi in modalità automatizzata. Le imprese devono concentrarsi su misure di sicurezza proattive, come una migliore gestione delle configurazioni, una valida sicurezza delle credenziali e una rapida correzione delle vulnerabilità, per proteggere gli ambienti cloud dal numero di minacce avanzate.
di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne
