Tabella 1. Criticit\u00e0 di alcune risorse del cloud.<\/span><\/p>\n In particolare, gli autori degli attacchi hanno spesso preso di mira i token IAM serverless con conseguente utilizzo della riga di comando da remoto. Questi sono significativi perch\u00e9 possono essere utilizzati per ottenere l'accesso all'ambiente cloud pi\u00f9 ampio di un'organizzazione. Nell'ambito dell'aumento degli avvisi cloud, \u00e8 stato registrato un numero tre volte superiore di eventi di accesso remoto da riga di comando che utilizzano token di accesso e gestione dell'identit\u00e0 (IAM) e credenziali che vengono utilizzate da funzioni serverless del cloud.<\/p>\n Abbiamo anche identificato altre tendenze nell'aumento degli avvisi:<\/p>\n L'identit\u00e0 \u00e8 il perimetro di difesa dell'infrastruttura cloud. Gli autori di attacchi prendono di mira i token e le credenziali IAM in quanto detengono le chiavi del regno del cloud, che consentono agli autori degli attacchi di muoversi lateralmente, ampliare le autorizzazioni ed eseguire ulteriori operazioni dannose. L'aumento del numero di tentativi di accesso e dell'utilizzo di account di servizi IAM sensibili indica che gli autori degli attacchi di tutto il mondo hanno puntato sulle risorse cloud.<\/p>\n Gli autori degli attacchi prendono di mira i servizi di cloud storage perch\u00e9 spesso contengono dati sensibili. Abbiamo riscontrato un notevole aumento del numero di download sospetti di oggetti di cloud storage e di esportazioni di istantanee di immagini. Gli avvisi di download sospetto di oggetti di cloud storage si attivano quando una singola identit\u00e0 basata su IAM scarica un numero elevato di oggetti di storagein una finestra temporale ristretta. Questo pu\u00f2 indicare operazioni dannose come ransomware o estorsioni. Le istantanee delle immagini sono prese di mira dagli autori degli attacchi in quanto possono contenere dati sensibili relativi all'infrastruttura cloud e alle credenziali IAM che potrebbero consentire all'autore degli attacchi di ampliare le autorizzazioni e spostarsi lateralmente all'interno di un ambiente cloud target.<\/p>\n Questi esempi illustrano la necessit\u00e0 immediata di proteggere gli ambienti cloud, non solo con strumenti fondamentali CSPM (Cloud Security Posture Management) per la gestione del livello di sicurezza del cloud, ma anche con strumenti che individuano e prevengono le operazioni runtime dannose nel momento in cui si verificano.<\/p>\n Distribuendo gli strumenti di sicurezza cloud runtime di Cortex Cloud, noti anche come CDR<\/a> (Cloud Detection and Response), i team addetti alla sicurezza possono identificare e prevenire eventi dannosi all'interno degli ambienti cloud.<\/p>\n Se pensi di essere stato vittima di un attacco o hai una questione urgente da risolvere, contatta il Team di risposta agli incidenti della Unit 42<\/a>.<\/p>\n In un recente post della Unit 42<\/a>, abbiamo pubblicato dettagli di una campagna su ransomware ed estorsione che mirava direttamente a file di variabili di ambiente esposte.. L'autore delle minacce della campagna ha raccolto con successo oltre 90.000 credenziali da 110.000 domini target. Inoltre, cosa ancora pi\u00f9 preoccupante, ha raccolto quasi 1.200 credenziali IAM del cloud. Queste credenziali hanno permesso all'autore delle minacce di eseguire con successo attacchi di estorsione contro diverse organizzazioni.<\/p>\n Questa operazione rappresenta un'opportunit\u00e0 per discutere i meccanismi di sicurezza che sono in atto per proteggere le organizzazioni. In particolare, questo ci permette di determinare come adottare senza problemi sia la gestione del livello di sicurezza che soluzioni di sicurezza per il monitoraggio runtime. Ci\u00f2 consente alle organizzazioni di costruire un perimetro di difesa della sicurezza del cloud sufficientemente solido e in grado di affrontare queste nuove ondate di attacchi.<\/p>\n Durante l'indagine per questo articolo, abbiamo scoperto che il numero medio totale di avvisi cloud rilevati da un'organizzazione \u00e8 aumentato del 388% nel 2024. Questi avvisi provengono sia dalla gestione del livello di sicurezza che dalle operazioni di rilevamento del monitoraggio runtime.<\/p>\n Sebbene per la maggior parte si trattava di avvisi \"informativi\", \u00e8 estremamente importante sottolineare che il cambiamento pi\u00f9 significativo \u00e8 stato il numero di avvisi di gravit\u00e0 elevata. Gli avvisi di questa gravit\u00e0 sono aumentati del 235% nel 2024. Anche gli avvisi di media e bassa gravit\u00e0 sono aumentati rispettivamente del 21% e del 10%.<\/p>\n I cambiamenti che abbiamo osservato nel numero di avvisi sono in linea con il nostro 2024 State of Cloud-Native Security Report,<\/a> che ha rilevato che il 71% delle organizzazioni attribuisce l'aumento dell'esposizione alle vulnerabilit\u00e0 alle distribuzioni accelerate. Inoltre, il 45% di queste organizzazioni riferisce un aumento degli attacchi APT (Advanced Persistent Threat) nell'ultimo anno.<\/p>\n Un esempio \u00e8 la recente ricerca di Microsoft su Storm-2077<\/a>, un gruppo di autori di minacce cloud (CTAG, Cloud Threat Actor Group) basato in Cina che utilizza complesse tecniche di raccolta di credenziali IAM per ottenere e mantenere l'accesso agli ambienti cloud delle vittime. Diventa subito evidente che sia la gestione del livello di sicurezza del cloud che il monitoraggio della sicurezza runtime devono funzionare come un'unica unit\u00e0 per garantire una protezione adeguata dalla prossima fase di minacce negli ambienti cloud. La sezione Background di seguito fornisce ulteriori informazioni sulla gestione del livello di sicurezza e sui rilevamenti del monitoraggio runtime.<\/p>\n Una missione fondamentale per i difensori del cloud \u00e8 progettare e distribuire una piattaforma di sicurezza del cloud che migliori le capacit\u00e0 di rilevamento. Ci\u00f2 consente agli amministratori non solo di rilevare configurazioni errate e vulnerabilit\u00e0, ma anche di raccogliere e analizzare gli eventi runtime all'interno degli ambienti cloud. Una piattaforma di questo tipo offre ai difensori una migliore visibilit\u00e0 e consente tempi di risposta pi\u00f9 rapidi quando si gestiscono gli avvisi.<\/p>\n Mentre la capacit\u00e0 di identificare e rilevare eventi cloud dannosi o sospetti \u00e8 aumentata in tutto il settore, \u00e8 aumentata anche la complessit\u00e0 delle operazioni cloud offensive degli autori delle minacce. Ad esempio, nel gennaio 2024, l'ambiente cloud medio ha visto solo due avvisi per l'utilizzo dalla riga di comando da remoto di un token IAM di una funzione serverless. Questo dato \u00e8 rimasto costante nel corso dell'anno. Tuttavia, entro dicembre 2024, l'ambiente cloud medio ha visto pi\u00f9 di 200 di questi stessi avvisi, un segnale preoccupante di aumento dell'attivit\u00e0. Come condiviso nell'articolo Leaked Environment Variables<\/a>, questa operazione runtime \u00e8 esattamente ci\u00f2 che si \u00e8 verificato durante l'evento di estorsione dannosa.<\/p>\n A supporto di questa tendenza ci sono anche le seguenti prove:<\/p>\n Entrambi i risultati di questi avvisi indicano chiaramente che l'obiettivo principale del CTAG \u00e8 individuare, raccogliere e utilizzare un token o una credenziale IAM nel cloud. Ci\u00f2 indica anche che gli autori degli degi attacchi utilizzeranno questi token o credenziali per operazioni potenzialmente dannose.<\/p>\n Gli strumenti di gestione della postura di sicurezza del cloud (CSPM<\/a>) costituiscono la base della sicurezza del cloud. Le loro operazioni sono incentrate sul monitoraggio del controllo del guardrail per garantire che gli ambienti cloud mantengano configurazioni sicure e siano privi di vulnerabilit\u00e0 e configurazioni errate.<\/p>\n Il monitoraggio della gestione della postura si basa tradizionalmente sulla scansione di sicurezza specifica per il tempo delle risorse e delle configurazioni di un ambiente cloud. Gli avvisi vengono attivati quando una risorsa cloud nuova o modificata sembra presentare potenziali rischi per la sicurezza.<\/p>\n Ad esempio, verr\u00e0 attivato un avviso se un criterio IAM \u00e8 eccessivamente permissivo e consente l'accesso ad altre risorse cloud. Si attiver\u00e0 anche se un'istanza di in cloud o una funzione serverless contiene vulnerabilit\u00e0 o configurazioni errate.<\/p>\n Le operazioni di scansione per la gestione della postura vengono eseguite secondo un programma di routine, spesso ogni ora o ogni giorno. Alcuni strumenti di sicurezza CSPM consentono di monitorare anche i registri di auditing delle piattaforme cloud, che possono aiutare a rilevare attivit\u00e0 sospette quando si verificano all'interno di una piattaforma di servizi cloud (CSP). \u00c8 fondamentale che le aziende configurino la propria piattaforma CSPM per raccogliere i log di audit dalle applicazioni software-as-a-service (SaaS) di terze parti basate su cloud per garantire la visibilit\u00e0.<\/p>\n Gli strumenti CDR forniscono rilevamenti di monitoraggio runtime raccogliendo, identificando e persino prevenendo le operazioni che si verificano durante un particolare evento. Raccogliendo i registri dalle istanze di calcolo del cloud, dalle risorse di registrazione del CSP e dalle applicazioni SaaS del cloud di terze parti, gli strumenti di sicurezza CDR possono identificare, avvisare e prevenire gli eventi cloud dannosi.<\/p>\n Esempi di queste operazioni includono l'esecuzione di una richiesta API contro una piattaforma cloud o un'applicazione cloud, come ad esempio:<\/p>\n A differenza degli strumenti di gestione della postura, gli strumenti di monitoraggio runtime monitorano continuamente l'ambiente cloud e spesso richiedono un agente dedicato per mantenere la visibilit\u00e0 delle risorse cloud. Quando viene installato un agente, gli strumenti di sicurezza per il monitoraggio del runtime del cloud consentono di rilevare, e persino prevenire, le operazioni cloud dannose nel momento in cui si verificano.<\/p>\n Abbiamo osservato un chiaro aumento del numero di avvisi nel 2024, in correlazione con l'aumento degli attacchi agli ambienti cloud.<\/p>\n Gli allarmi cloud di gravit\u00e0 elevata sono aumentati del 235% nel 2024. Il picco pi\u00f9 elevato in un singolo mese (281%) si \u00e8 verificato a maggio, mentre l'aumento pi\u00f9 consistente di queste segnalazioni (204%, 247% e 122%) si \u00e8 verificato ad agosto, ottobre e dicembre, come mostrato nella Figura 1.<\/p>\n Un'analisi pi\u00f9 approfondita dei 10 avvisi giornalieri di gravit\u00e0 elevata pi\u00f9 frequenti rivela un numero elevato di avvisi relativi esclusivamente a eventi incentrati sul tempo di esecuzione. Questi avvisi vengono attivati da un singolo evento o da una sequenza di eventi collegati. Questo ha reso necessaria un'analisi quasi in tempo reale o, in alcuni casi, un'analisi in tempo reale per il rilevamento.<\/p>\n La tabella 2 mostra che l'utilizzo remoto da riga di comando dei token IAM serverless \u00e8 un evento che richiede un'analisi dei log in tempo reale per essere rilevato e potenzialmente prevenuto. Al contrario, l'avviso di gravit\u00e0 elevata pi\u00f9 frequente, \"protezione dell'eliminazione del cloud storage disattivata\", pu\u00f2 essere rilevato e mitigato con uno strumento CSPM.<\/p>\n\n
<\/a>Attacchi al cloud su larga scala<\/h2>\n
<\/a>Cosa significano queste tendenze degli avvisi<\/h3>\n
\n
<\/a>Sfondo<\/h2>\n
\n
<\/a>Tendenze degli allarmi ad alta gravit\u00e0<\/h2>\n
![\"Grafico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/chart-2.png\")
<\/a>Top 10 degli allarmi elevati<\/h3>\n
![\"Grafico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/chart-3.png\")