L’attenzione degli hacker
La rapida adozione delle tecnologie cloud, avverte Di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, sta attirando l'attenzione dei malintenzionati informatici che hanno delineato i propri obiettivi verso le nuove infrastrutture che migrano i dati mission-critical nel cloud. I professionisti della sicurezza non vedono solo un aumento della frequenza degli attacchi, ma anche della loro sofisticazione. La complessità si misura con il miglioramento delle tecniche utilizzate dagli aggressori, come identificato dai framework del MITRE ATT&CK. Secondo questa fonte , il numero di tecniche di attacco Cloud IaaS è passato da 50 a 61 e quello verso i container da 28 a 39 negli ultimi due anni e mezzo. Questa maggiore attenzione porta anche a un aumento degli incidenti e delle violazioni segnalate negli ambienti cloud e container.
Attacchi automatizzati in aumento
La stessa SentinelOne rileva un numero maggiore di script automatizzati, come lo “scraping of secrets” per il furto di credenziali, compresa la scansione di errori di configurazione, il deployment di cryptominer e lo sfruttamento di vulnerabilità a livello di controllo e di app. Ad esempio, la botnet LemonDuck è in grado di attaccare API Docker mal configurate in 12 secondi e di distribuire automaticamente un file dannoso per il cryptojacking. L'automazione e gli strumenti open-source come AlienFox e Predator AI abbassano la soglia per gli aggressori. Questi strumenti possono estrarre e utilizzare impropriamente le credenziali da ambienti non sicuri, facilitando gli accessi non autorizzati.
Prysmian sul cloud di SAP
Cause degli incidenti in cloud
Con l'aumento degli incidenti legati al cloud, è fondamentale esaminare i problemi più comuni e le aree dove i team di sicurezza dovrebbero concentrare la loro attenzione. Le cause principali degli incidenti legati al cloud, puntualizza Cecchi, vengono rilevate in configurazioni errate delle risorse connesse a Internet, in credenziali compromesse e nelle applicazioni web vulnerabili in hosting nel cloud. Nel dettaglio:
- Asset configurati in modo errato: c'è stato un lungo periodo di bucket S3 esposti involontariamente prima che Amazon apportasse modifiche per rendere private le configurazioni predefinite. Nonostante l'aumento dei controlli e delle impostazioni predefinite da parte dei fornitori di cloud e l'emergere di strumenti di Cloud Security Posture Management (CSPM), gli ambienti mal configurati rimangono molto diffusi.
- Credenziali compromesse: non sorprende che molti incidenti in cloud inizino perché un aggressore ha ottenuto accesso alle credenziali, spesso mediante la tecnica del ‘credential harvesting’. Nel 2023, GitGuardian ha riferito che su GitHub sono state scoperte oltre 1 milione di istanze di codici API di Google, 250.000 codici Google Cloud e 140.000 codici AWS.
- Applicazioni web vulnerabili in cloud: le vulnerabilità a livello di sistema e di app rimangono una delle principali cause di incidenti in cloud. Anche se non esclusivamente legate al cloud e ai container, è da notare l'aumento delle vulnerabilità sfruttabili note (KEV) e delle vulnerabilità con exploit proof-of-concept. VulnCheck fornisce un’analisi dettagliata di queste tendenze nell'ultimo decennio. Un'osservazione degna di nota è la velocità con cui gli aggressori adottano gli exploit proof-of-concept.
Criticità distribuite su tre aree
In definitiva vulnerabilità, credenziali compromesse e ambienti mal configurati sono le cause principali degli incidenti. Gli attacchi avanzati al cloud spesso prevedono tattiche e tecniche che coinvolgono tutte e tre le aree sopra citati. Molti attacchi iniziano con una vulnerabilità a livello di sistema operativo o di app che consente l'esecuzione di codice remoto (RCE). Le tattiche più diffuse nell'ambito degli attacchi al cloud, conclude il manager di Sentinel One, includono il furto di credenziali e la modifica o la disabilitazione dei servizi cloud. Il furto di credenziali è un modo efficace per ottenere l'escalation dei privilegi e aumentare la portata della violazione.