Gli attaccanti stanno intensificando gli sforzi per compromettere le infrastrutture cloud. L’informazione non è nota, ma alcuni dati pubblicati dalla Unit42 di Palo Alto Networks fanno comprendere meglio la misura del problema. In particolare, analizzando i dati in proprio possesso, i ricercatori hanno compreso che le organizzazioni stanno registrando un numero di alert quotidiani quasi cinque volte superiore rispetto all'inizio dell'anno. E non si tratta di semplice rumore: l’incremento riguarda avvisi di gravità elevata, che suggerisce attacchi contro risorse cloud critiche quali per esempio la gestione delle identità e degli accessi (IAM), le macchine virtuali, i container e le funzioni serverless.

Iniziamo con gli accessi: secondo i calcoli, gli accessi remoti alla riga di comando tramite token IAM associati a funzioni serverless sarebbe quasi triplicato. Il dato è molto preoccupante perché questi token, se compromessi, possono fornire agli attaccanti accesso all'intero ambiente cloud di un'organizzazione. Inoltre, si è registrato un incremento del 116% nei tentativi di accesso di identità da località geografiche differenti in lassi di tempo ristretti, e un aumento del 60% nelle richieste API IAM provenienti da regioni esterne per le macchine virtuali cloud.

Altri due dati significativi riguardano l’aumento delle esportazioni di snapshot cloud, che a novembre 2024 ha raggiunto il picco di aumento del 45%, e l’aumento del 305% del numero di download sospetti di più oggetti di archiviazione cloud.

Come accennato sopra, il maggiore elemento di preoccupazione riguarda le identità, che sono di fatto il perimetro di difesa dell'infrastruttura cloud. Gli attaccanti prendono di mira i token e le credenziali IAM per potersi spostare lateralmente all’interno dell’ambiente cloud, aumentare i propri privilegi e condurre altre operazioni dannose. Secondo gli analisti della Unit42, il fatto che aumentino i tentativi di accesso e l'uso di account di servizio IAM sensibili significa che gli attaccanti di tutto il mondo hanno i propri siti impostati sulle risorse cloud.

Perché attaccare il cloud è piuttosto semplice da comprendere: i servizi di archiviazione cloud spesso contengono dati sensibili. quindi avere constatato un notevole aumento del numero di download sospetti di oggetti di archiviazione cloud e di esportazioni di snapshot di immagini non è confortante. L’analisi spiega che gli alert per download sospetti di oggetti di archiviazione cloud si attivano quando una singola identità basata su IAM scarica un numero elevato di oggetti di archiviazione in una finestra temporale ristretta. Spesso questo comportamento corrisponde a operazioni dannose come il ransomware.

La conclusione a cui approdano gli esperti è sempre la stessa: è fondamentale implementare strumenti di Cloud Detection and Response che permettano ai team di security di identificare e prevenire eventi malevoli negli ambienti cloud, così da migliorare la resilienza complessiva dell'infrastruttura.