▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cloud security: crescono gli attacchi contro le identità

Non si può più rinviare l’attuazione di misure evolute per la cloud security: ecco i numeri che descrivono l’emergenza.

Tecnologie/Scenari

Gli attaccanti stanno intensificando gli sforzi per compromettere le infrastrutture cloud. L’informazione non è nota, ma alcuni dati pubblicati dalla Unit42 di Palo Alto Networks fanno comprendere meglio la misura del problema. In particolare, analizzando i dati in proprio possesso, i ricercatori hanno compreso che le organizzazioni stanno registrando un numero di alert quotidiani quasi cinque volte superiore rispetto all'inizio dell'anno. E non si tratta di semplice rumore: l’incremento riguarda avvisi di gravità elevata, che suggerisce attacchi contro risorse cloud critiche quali per esempio la gestione delle identità e degli accessi (IAM), le macchine virtuali, i container e le funzioni serverless.

Iniziamo con gli accessi: secondo i calcoli, gli accessi remoti alla riga di comando tramite token IAM associati a funzioni serverless sarebbe quasi triplicato. Il dato è molto preoccupante perché questi token, se compromessi, possono fornire agli attaccanti accesso all'intero ambiente cloud di un'organizzazione. Inoltre, si è registrato un incremento del 116% nei tentativi di accesso di identità da località geografiche differenti in lassi di tempo ristretti, e un aumento del 60% nelle richieste API IAM provenienti da regioni esterne per le macchine virtuali cloud.

Altri due dati significativi riguardano l’aumento delle esportazioni di snapshot cloud, che a novembre 2024 ha raggiunto il picco di aumento del 45%, e l’aumento del 305% del numero di download sospetti di più oggetti di archiviazione cloud.


Come accennato sopra, il maggiore elemento di preoccupazione riguarda le identità, che sono di fatto il perimetro di difesa dell'infrastruttura cloud. Gli attaccanti prendono di mira i token e le credenziali IAM per potersi spostare lateralmente all’interno dell’ambiente cloud, aumentare i propri privilegi e condurre altre operazioni dannose. Secondo gli analisti della Unit42, il fatto che aumentino i tentativi di accesso e l'uso di account di servizio IAM sensibili significa che gli attaccanti di tutto il mondo hanno i propri siti impostati sulle risorse cloud.

Perché attaccare il cloud è piuttosto semplice da comprendere: i servizi di archiviazione cloud spesso contengono dati sensibili. quindi avere constatato un notevole aumento del numero di download sospetti di oggetti di archiviazione cloud e di esportazioni di snapshot di immagini non è confortante. L’analisi spiega che gli alert per download sospetti di oggetti di archiviazione cloud si attivano quando una singola identità basata su IAM scarica un numero elevato di oggetti di archiviazione in una finestra temporale ristretta. Spesso questo comportamento corrisponde a operazioni dannose come il ransomware.

La conclusione a cui approdano gli esperti è sempre la stessa: è fondamentale implementare strumenti di Cloud Detection and Response che permettano ai team di security di identificare e prevenire eventi malevoli negli ambienti cloud, così da migliorare la resilienza complessiva dell'infrastruttura.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter