La sicurezza cloud è un requisito indispensabile per ogni organizzazione che decide di espandere la propria attività sul cloud. La sicurezza del cloud comprende la sicurezza di tutti i dati, le applicazioni e le infrastrutture relative al cloud. Le organizzazioni devono essere pienamente consapevoli degli attuali attacchi alla sicurezza del cloud per migliorare la propria sicurezza del cloud.
Secondo recenti statistiche, il 39% delle aziende ha subito una violazione dei dati basata sul cloud negli ultimi 12 mesi. Un altro rapporto ha affermato che nel 2023 il costo medio di una violazione dei dati per le organizzazioni che utilizzano il cloud pubblico sarà di 4,98 milioni di dollari.
In questo post del blog scopriremo cosa sono gli attacchi alla sicurezza del cloud e quali danni possono causare alle organizzazioni. Inoltre, vedremo dieci dei più importanti attacchi alla sicurezza del cloud. Discuteremo i vettori di attacco comuni e gli approcci utilizzati dagli aggressori negli ambienti cloud. Inoltre, impareremo quali sono le pratiche necessarie per evitare queste minacce e come SentinelOne può aiutare a gestirle.
Cosa sono gli attacchi alla sicurezza del cloud?
Gli attacchi alla sicurezza cloud sono attività avviate dagli aggressori sull'architettura di cloud computing per ottenere l'accesso a dati o risorse sensibili. Questi attacchi manipolano le risorse e i dati sul cloud in modo non autorizzato. Gli attacchi alla sicurezza cloud sono intenzionali e sfruttano le vulnerabilità comuni o le configurazioni errate presenti nell'infrastruttura cloud.
Gli attacchi alla sicurezza cloud differiscono dalle minacce tradizionali poiché gli ambienti cloud hanno una serie di caratteristiche uniche, quali:
- Rischi di multi-tenancy: Il cloud è isolato per natura, il che significa che mantiene due diversi tenant o organizzazioni completamente all'oscuro l'uno dell'altro, ma al momento dell'attacco questo isolamento può essere violato.
- Scalabilità delle minacce: il cloud segue un'architettura distribuita. Se un aggressore lo attacca, la minaccia può facilmente diffondersi su diverse risorse o persino influenzare più clienti di quel fornitore di servizi cloud.
- Sfide legate alla mobilità dei dati: I dati sono una parte fondamentale di qualsiasi organizzazione e si spostano costantemente tra servizi e sistemi locali, che possono essere attaccati da malintenzionati se non sono crittografati.
- Minacce incentrate sulle API: Molti attacchi al cloud mirano a sfruttare le vulnerabilità delle API utilizzate per l'integrazione dei servizi cloud.
Motivazioni alla base degli attacchi al cloud
Gli autori degli attacchi al cloud hanno alcune motivazioni comuni. È importante che le organizzazioni le comprendano per poter proteggere meglio la propria infrastruttura cloud.
- Furto di dati: Una delle principali motivazioni degli autori degli attacchi all'ambiente cloud è il furto di dati. I dati rubati possono essere venduti sul dark web o ad aziende di telemarketing.
- Interruzione del servizio: Alcuni attacchi vengono effettuati solo per interrompere il funzionamento di un'organizzazione, compromettendo i servizi cloud da essa utilizzati. L'interruzione può causare tempi di inattività dei servizi e perdite finanziarie per le aziende.
- Dirottamento delle risorse: Gli aggressori spesso dirottano le risorse cloud per i propri scopi egoistici, come il mining di criptovalute.
- Spionaggio: Gli aggressori sponsorizzati dallo Stato o dai concorrenti possono prendere di mira i sistemi cloud per raccogliere informazioni o ottenere vantaggi competitivi.
Impatto degli attacchi alla sicurezza cloud
Le organizzazioni possono subire diversi tipi di impatto quando sono vittime di un attacco alla sicurezza cloud. Ne esaminiamo alcuni.
-
Perdite finanziarie
Gli attacchi alla sicurezza del cloud possono causare gravi danni finanziari alle organizzazioni. I costi immediati che ricadono su un'organizzazione includono in genere la risposta agli incidenti, il ripristino del sistema e il potenziale pagamento di riscatti. Tuttavia, l'impatto finanziario non si ferma qui. Le aziende possono subire perdite ingenti a causa di interruzioni operative, calo della produttività e furto di proprietà intellettuale o dati finanziari.
-
Danni alla reputazione
L'impatto sulla reputazione di un attacco alla sicurezza del cloud può essere devastante e duraturo. Se la notizia della violazione viene resa pubblica, la fiducia dei clienti potrebbe diminuire, con conseguente perdita di clienti e difficoltà nell'acquisizione di nuovi clienti. Anche i partner delle organizzazioni e altre parti interessate sono esposti al rischio di un deterioramento della reputazione.
-
Problemi di conformità normativa
Gli attacchi alla sicurezza del cloud possono anche danneggiare lo stato di conformità normativa di un'organizzazione. I settori che trattano dati sensibili, come quello sanitario, finanziario e governativo, hanno già stabilito varie leggi sulla protezione dei dati, come il GDPR, l'HIPAA e il PCI DSS. Queste normative prevedono rigide linee guida di sicurezza e richiedono la notifica tempestiva delle violazioni dei dati.
Guida al mercato CNAPP
La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.
Leggi la guida10 attacchi critici alla sicurezza del cloud nel 2025
Di seguito sono elencati alcuni degli attacchi alla sicurezza più critici che possono compromettere le operazioni dell'organizzazione:
#1. Esfiltrazione dei dati
L'esfiltrazione dei dati si verifica quando un aggressore è in grado di trasferire dati non autorizzati dall'account dell'organizzazione al proprio account. Questo tipo di attacchi è in aumento e rappresenta una minaccia molto grave per le organizzazioni, poiché può causare la fuga di tutti i loro dati sensibili.
Nel 2024, WazirX ha subito un attacco di violazione dei dati, che era una combinazione di un attacco di esfiltrazione dei dati e un attacco IAM in cui è stato effettuato un trasferimento non autorizzato di cripto-asset dai portafogli di WazirX al sistema dell'autore dell'attacco.
Per combattere queste minacce, le organizzazioni stanno implementando soluzioni di prevenzione della perdita di dati (DLP) per gli ambienti cloud e utilizzando controlli di accesso rigorosi e un monitoraggio continuo dei registri di accesso ai dati per monitorare qualsiasi comportamento sospetto.
#2. Dirottamento di account e furto di credenziali
Con i servizi cloud che stanno diventando una parte importante del business, il dirottamento di account e il furto di credenziali stanno diventando sempre più comuni. Gli aggressori utilizzano forme più avanzate di ingegneria sociale, come il phishing o gli attacchi di credential stuffing.
Il lavoro e i dispositivi a cui si accede da remoto per motivi di lavoro sono meno protetti rispetto alle reti aziendali, soprattutto quando si utilizzano reti domestiche. Ciò riduce la sicurezza, rendendo questi attacchi sempre più comuni. Nel 2024, i rapporti mostrano che il phishing è stato coinvolto nel 36% delle violazioni della sicurezza, portando spesso al furto di credenziali e segreti.
Per proteggersi da questi attacchi è necessario implementare l'autenticazione a più fattori o il monitoraggio continuo dell'autenticazione.
#3. Minacce interne
Le minacce interne continuano a compromettere la sicurezza del cloud. Queste minacce si verificano solitamente quando un dipendente causa intenzionalmente un danno a un'organizzazione, ma possono anche verificarsi a causa della negligenza del dipendente che compromette la sicurezza. La questione principale che deve essere affrontata da un'organizzazione è trovare il giusto equilibrio tra la privacy dei dipendenti e le misure di sicurezza che devono essere adottate per la sicurezza dell'organizzazione.
Nel 2023, MGM Resorts ha affrontato una minaccia interna sotto forma di attacco di ingegneria sociale, che ha portato a 36 ore di interruzione del servizio e a enormi perdite finanziarie.
Pertanto, nel 2024, le organizzazioni sono più propense ad attuare solide misure di sicurezza utilizzando meccanismi di controllo degli accessi e analisi comportamentali per individuare eventuali comportamenti sospetti.
#4. Attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS)
Gli attacchi DoS e DDos sono tra gli attacchi alla sicurezza cloud più pericolosi che portano alla completa interruzione del servizio cloud. Gli aggressori utilizzano botnet e dispositivi IoT per sferrare attacchi su larga scala, che possono sovraccaricare le risorse cloud. I servizi cloud sono interconnessi tra loro, quindi l'effetto si trasferisce da un servizio all'altro e anche alle organizzazioni.
Uno dei più grandi attacchi DDoS è stato subito da GitHub, con picchi di traffico che hanno raggiunto 1,9 Tbps. L'attacco ha utilizzato un nuovo vettore di attacco che coinvolgeva server memcached basati su UDP.
Per proteggersi da questi attacchi, i fornitori di servizi cloud stanno migliorando le loro capacità di analisi del traffico e implementando ulteriori meccanismi di filtraggio.
#5. Attacchi Man-in-the-Middle (MITM)
Gli attacchi MiTM stanno diventando più difficili da tracciare e controllare perché gli aggressori utilizzano tecniche come lo SSL stripping, che modifica la connessione da HTTPS a HTTP. Questi attacchi sfruttano servizi cloud configurati in modo errato e vulnerabilità nei protocolli SSL/TLS.
I ricercatori hanno identificato potenziali vulnerabilità MITM nelle reti 5G che consentono agli aggressori di identificare qualsiasi dispositivo cellulare nel mondo.
Per contrastare questo fenomeno, le organizzazioni stanno implementando standard di crittografia più rigorosi e tecniche di certificate pinning. Si sta inoltre prestando maggiore attenzione alla sicurezza delle comunicazioni API, che sono spesso oggetto di attacchi MiTM.
#6. Iniezione di malware
L'iniezione di malware si riferisce alle azioni degli aggressori quando trovano diversi modi per iniettare o incorporare codice dannoso o vulnerabile nel carico di lavoro del cloud. Ciò provoca il furto di dati e l'interruzione del servizio e fornisce agli aggressori un punto di accesso per attacchi futuri.
Nel 2020 si è verificato un attacco SolarWind in cui gli aggressori hanno iniettato codice dannoso nel sistema software Orion di SolarWinds, che ha colpito circa 18.000 clienti.
Per proteggersi da questo tipo di attacchi, le organizzazioni stanno implementando revisioni del codice peer-to-peer e di alto livello. Hanno iniziato a investire in strumenti di rilevamento del malware e l'implementazione della containerizzazione è diventata una pratica costante per la segmentazione della rete.
#7. Attacchi ransomware
Negli ultimi anni, gli attacchi ransomware sono aumentati di numero. Questi attacchi crittografano i dati archiviati nel cloud o bloccano l'accesso degli utenti ai loro servizi cloud. Poiché il cloud è interconnesso, questo attacco si diffonde rapidamente nell'intera infrastruttura cloud dell'organizzazione.
Uno degli attacchi ransomware più notevoli è avvenuto nel 2022, l'attacco ransomware LAUSD. È avvenuto in un distretto scolastico e circa 600.000 dati di studenti sono stati rubati durante questo attacco e venduti sul dark web.
Le organizzazioni hanno spostato la loro attenzione sulle strategie di backup e ripristino in caso di attacchi. Stanno utilizzando sistemi di rilevamento delle minacce basati sull'intelligenza artificiale per identificare rapidamente gli attacchi ransomware.
#8. Attacchi API
Le API sono diventate una parte centrale delle operazioni cloud, aiutando gli utenti a comunicare tra diversi servizi cloud. Sono anche diventate un obiettivo primario per gli aggressori. Le vulnerabilità delle API possono portare all'esposizione dei dati, ad accessi non autorizzati e a interruzioni del servizio.
Uno degli incidenti di sicurezza relativi alle API si è verificato nel 2024, la violazione dei dati di T-Mobile, che ha interessato 37 milioni di account di clienti. La violazione è avvenuta attraverso una singola API senza un'adeguata autorizzazione.
Le organizzazioni stanno gestendo gli attacchi alle API implementando misure di sicurezza più rigorose, tra cui un'autenticazione più severa, la limitazione della velocità e il monitoraggio continuo del traffico API per individuare eventuali anomalie.
#9. Cryptojacking nel cloud
Il cryptojacking si verifica quando gli hacker ottengono l'accesso alle risorse di cloud computing di un'organizzazione per estrarre criptovalute. Questi attacchi causano un aumento dei costi delle risorse cloud, una riduzione delle prestazioni delle operazioni aziendali e potenziali violazioni della sicurezza.
Campagna di cryptojacking TeamTNT avvenuta nel 2021, che ha preso di mira cluster Docker e Kubernetes scarsamente protetti in ambienti cloud. La campagna ha colpito migliaia di istanze cloud di diversi fornitori di servizi cloud.
I fornitori di servizi cloud e le organizzazioni stanno potenziando le loro capacità di monitoraggio per rilevare modelli di utilizzo delle risorse insoliti che potrebbero indicare attività di cryptojacking.
#10. Attacchi alla catena di approvvigionamento
Per evitare questo rischio, le organizzazioni hanno aumentato la loro attenzione sulle valutazioni di sicurezza dei fornitori, sull'analisi della composizione del software e sull'implementazione di architetture zero-trust negli ambienti cloud.
Vettori e tecniche di attacco negli ambienti cloud
Gli aggressori sono sempre alla ricerca di modi e tecniche diversi per sfruttare l'ambiente cloud. Alcune delle tecniche utilizzate dagli aggressori sono elencate di seguito:
Servizi cloud configurati in modo errato e API non protette
La configurazione errata è una delle principali cause degli attacchi alla sicurezza del cloud. Le organizzazioni potrebbero non riuscire a eseguire una configurazione corretta, il che porta un aggressore a sfruttare bucket di archiviazione, database o gruppi di sicurezza configurati in modo errato per ottenere l'accesso non autorizzato a dati sensibili.
Un altro motivo alla base degli attacchi è rappresentato dalle API non protette, che si verificano fondamentalmente quando non viene implementata un'autenticazione o una crittografia adeguata per l'API. Queste possono essere sfruttate dall'autore dell'attacco per ottenere alcuni dati o inviare dati dannosi al servizio a cui l'API si connette.
Autenticazione e controlli di accesso deboli
L'autenticazione debole e i controlli di accesso lasciano un grande buco nella sicurezza di un'organizzazione. Rendono vulnerabile l'ambiente cloud. Molte violazioni dei dati si verificano a causa della fuga di credenziali o di una gestione impropria degli accessi.
Gli aggressori ottengono l'accesso a queste credenziali quando sono deboli, sono state riutilizzate in più luoghi o mancano di autenticazione a più fattori. Una volta che gli aggressori sono all'interno utilizzando le credenziali, a causa di un controllo degli accessi insufficiente, possono muoversi nell'ambiente cloud.
Vulnerabilità nelle risorse condivise
A causa della natura condivisa del cloud computing, possono sorgere problemi di multi-tenancy. In un ambiente multi-tenant, gli aggressori possono liberarsi dall'ambiente isolato a causa di problemi negli hypervisor o nei motori dei container.
Ciò può consentire agli aggressori di ottenere l'accesso agli ambienti e alle risorse di altre organizzazioni. Anche l'infrastruttura hardware non è sicura, poiché è possibile sfruttare attacchi side-channel come le vulnerabilità della CPU Spectre e Meltdown.
Ingegneria sociale e credential stuffing
Le tattiche di ingegneria sociale e gli attacchi di credential stuffing sono alcuni dei metodi più efficaci per compromettere gli ambienti cloud. Gli aggressori possono ottenere l'accesso al sistema utilizzando e-mail di phishing, pretexting e altre tecniche di ingegneria sociale per indurre i dipendenti a rivelare le loro credenziali.
Il credential stuffing consiste fondamentalmente nell'utilizzo da parte degli aggressori di elenchi di combinazioni di nomi utente/password rubati per sfruttare la pratica comune del riutilizzo delle password su più servizi.
SQL injection e cross-site scripting (XSS)
Sebbene siano vulnerabilità ben note, l'SQL injection e il cross-site scripting (XSS) sono particolarmente comuni per le applicazioni web in un ambiente cloud. Il primo è correlato a fughe di dati, perdita di dati utente o prestazioni molto basse se un altro server sostituisce i dati iniziali.
Tutti gli utenti che visitano i siti web sono soggetti a XSS, che può anche portare al dirottamento della sessione e alla distribuzione di malware.
Best practice per la sicurezza del cloud
Le organizzazioni dovrebbero implementare le best practice durante l'utilizzo del cloud per proteggersi dagli attacchi alla sicurezza del cloud. Alcune delle best practice da seguire sono elencate di seguito:
#1. Implementazione di un'autenticazione forte
Il rischio di minacce nel cloud è elevato, il che significa che sono necessari meccanismi di autenticazione forti. Con questo non si intende semplicemente la creazione di un'autenticazione con nome utente e password. Le organizzazioni dovranno invece implementare l'autenticazione a più fattori per tutti gli account dell'organizzazione, in particolare per quelli che hanno più autorizzazioni rispetto ad altri.
#2. Crittografia dei dati inattivi e in transito
I dati devono essere crittografati sia quando sono inattivi che in transito. Per i dati inattivi, sono disponibili diversi algoritmi di crittografia, come AES e PGP, per crittografare i dati archiviati. Per i dati in transito, è necessario utilizzare il protocollo TLS/SSL per la comunicazione.
#3. Verifiche e valutazioni periodiche della sicurezza
Le organizzazioni dovrebbero effettuare verifiche e valutazioni periodiche della sicurezza per garantire una maggiore sicurezza del cloud. Per la valutazione dovrebbero essere utilizzati sia esperti interni che servizi di terze parti, al fine di garantire che tutto sia coperto. Alcune delle aree che devono essere coperte nelle verifiche di sicurezza sono i controlli di accesso, le misure di sicurezza della rete, le misure di protezione dei dati dall'uso non autorizzato e la conformità a vari standard e normative.
#4. Formazione e sensibilizzazione dei dipendenti
Potrebbe sorprendere le organizzazioni, ma l'errore umano può essere uno dei fattori principali alla base delle violazioni e una formazione adeguata dei dipendenti contribuirà notevolmente a prevenirle. La formazione e la sensibilizzazione includeranno argomenti quali l'identificazione dei tentativi di phishing, la gestione corretta dei dati sensibili, l'utilizzo sicuro dei servizi cloud e l'importanza delle politiche di sicurezza.
Mitigare gli attacchi alla sicurezza del cloud con SentinelOne
SentinelOne protegge gli ambienti cloud con una piattaforma basata sull'intelligenza artificiale che riunisce in un unico posto visibilità, rilevamento e risposta automatizzata. La sua soluzione CNAPP senza agenti monitora in tempo reale i carichi di lavoro cloud, le API, le identità e l'infrastruttura, individuando minacce e rischi prima che possano causare danni.
I team di sicurezza possono visualizzare e gestire tutto da un'unica dashboard, rendendo più facile individuare le lacune e rispondere rapidamente.
SentinelOne collega automaticamente i dati sulle minacce tra le risorse cloud e suggerisce chiari passi successivi, in modo che i team sappiano su cosa concentrarsi. La piattaforma automatizza le indagini e le risposte, riducendo il tempo necessario per contenere e risolvere gli incidenti.
I team possono applicare controlli di sicurezza, correggere configurazioni errate e isolare le risorse interessate con pochi clic. L'approccio di SentinelOne aiuta le aziende a ridurre i rischi, prevenire l'affaticamento da allarmi e mantenere il regolare funzionamento delle operazioni cloud. Invece di utilizzare strumenti isolati, le organizzazioni ottengono una protezione unificata contro le moderne minacce al cloud, che vanno dalle violazioni dei dati alle configurazioni errate. Con SentinelOne, le aziende possono rafforzare la loro posizione di sicurezza nel cloud, agire più rapidamente contro le minacce e proteggere con sicurezza i dati sensibili negli odierni complessi ambienti cloud.
Singularity™ Cloud Security offre Cloud Security Posture Management (CSPM), AI Security Posture Management (AI-SPM), Cloud Infrastructure Entitlement Management (CIEM), External Attack Surface & Management (EASM), Container and Kubernetes Security Posture Management (KSPM) e una serie di altre funzionalità di sicurezza. Inoltre, semplifica la conformità e l'allineamento agli standard di settore più recenti.
Vedere SentinelOne in azione
Scoprite come la sicurezza del cloud basata sull'intelligenza artificiale può proteggere la vostra organizzazione con una demo individuale con un esperto dei prodotti SentinelOne.
Richiedi una demoConclusione
Gli attacchi alla sicurezza del cloud sono complessi e in continua evoluzione nel tempo. Consistono in violazioni dei dati, dirottamento di account, ransomware e attacchi alla catena di approvvigionamento che si verificano in ambienti cloud. Questi attacchi causano alle organizzazioni multe ingenti, danni alla reputazione e problemi di conformità con gli organismi di regolamentazione.
I diversi vettori e tecniche di attacco includono servizi cloud configurati in modo errato, controlli di autenticazione deboli e vulnerabilità tecnologiche condivise. Tali minacce spingono e inducono le organizzazioni a implementare meccanismi di sicurezza moderni che vanno oltre la loro tradizionale posizione di sicurezza.
La tecnologia SentinelOne svolge un ruolo significativo nel proteggere le organizzazioni dagli attacchi alla sicurezza del cloud. Offre protezione del carico di lavoro cloud, un approccio basato su una piattaforma unificata e tecnologia AI. SentinelOne fornisce un approccio di sicurezza unificato gestendo il rischio e riducendo la superficie di attacco. Questa piattaforma è in grado di rilevare e rispondere in modo autonomo agli attacchi alla sicurezza cloud in tempo reale.
FAQs
Un attacco alla sicurezza cloud è una situazione in cui si tenta di attaccare o sfruttare le applicazioni e i dati nel cloud, insieme alla sua architettura di elaborazione e archiviazione. L'attacco alla sicurezza cloud può causare la perdita completa o il danneggiamento dei dati.
Le minacce più gravi alla sicurezza del cloud includono fughe di dati, furti di token, minacce interne, attacchi DDoS e ransomware. Anche gli attacchi basati su API e le configurazioni errate dei servizi cloud possono minacciare la sicurezza del cloud, così come gli attacchi side-channel e multi-tenant.
Una violazione della sicurezza del cloud si riferisce a una situazione in cui un autore di minacce sfrutta una vulnerabilità nel software, nell'hardware o nelle opzioni di personalizzazione disponibili nel cloud per ottenere l'accesso non autorizzato a dati e applicazioni che non gli appartengono.
SentinelOne è una soluzione di sicurezza cloud end-to-end basata sulla tecnologia AI. È composta da funzionalità autonome di rilevamento e protezione delle minacce, che aiutano a mantenere sicuri i carichi di lavoro cloud, i container e gli endpoint. Molte organizzazioni hanno tratto vantaggio dalla sua IA comportamentale, dalla correzione automatizzata e dalla visibilità unificata nella gestione del cloud e hanno adottato queste funzionalità per proteggere i propri dati aziendali dalle minacce di nuova generazione.
