Varianza, Volume, Velocità sono i tre elementi che, combinati fra loro, compongono la ricetta per l’attacco perfetto. Attacchi difficili da rilevare e contrastare, soprattutto nell’ambito della migrazione cloud che amplia la superficie di rischio e agevola involontariamente molti attacchi. Servizi vulnerabili e configurazioni errate del cloud sono i due punti deboli di cui gli attaccanti moderni approfittano maggiormente, ma non sono gli unici. Marco Rottigni, Technical Director di SentinelOne, riepiloga i più pericolosi metodi di attacco in cloud.

Servizi vulnerabili

Una delle minacce più comunemente rilevate nelle reti cloud è la compromissione attraverso servizi vulnerabili. Sono uno dei punti di accesso alle reti target preferiti dai criminali informatici, e se lo sfruttamento è andato a buon fine l’attaccante è potenzialmente in grado di fare qualunque azione. Per esempio, attraverso i movimenti laterali può accedere a sistemi e risorse aziendali ospitati in una rete cloud, e la sfida che le vittime devono vincere è quella di rispondere in modo efficace e tempestivo.

Un caso ben noto di questo tipo di attacco è stato lo sfruttamento immediato della vulnerabilità di Apache Log4J. Le organizzazioni vittime che si sono affidate agli scanner di vulnerabilità per identificare e difendersi dai bug come Log4j sono state esposte a un rischio maggiore nelle loro reti, poiché la vulnerabilità è stata sfruttata una settimana prima della sua divulgazione.

La gravità degli attacchi che si sono verificati sulla base di una vulnerabilità come Log4j dimostra quanto sia fondamentale per le aziende essere in grado di rilevare le attività dannose prima che un servizio sia noto come vulnerabile.

Configurazioni errate del cloud

La svista nelle configurazioni è la causa più comune delle principali fughe di dati nel cloud storage. Le aziende che erroneamente lasciano i dati dei clienti pubblicamente o facilmente accessibili ai cyber criminali hanno portato a un aumento costante della perdita dei dati nel corso degli anni. Anche in questo caso, non si tratta di un fenomeno esclusivo del cloud ma si conferma molto frequente, a causa della facilità e delle complessità richieste dalle configurazioni di storage nel cloud.

Inoltre, le errate configurazioni non si limitano a causare il furto dei dati. In molti casi i cloud hosting sono stati infettati da malware o da un ulteriore accesso alla rete a causa della capacità di un attaccante di apportare modifiche al sistema.

Attacchi alla supply chain

Un metodo di attacco alla supply chain sempre più comune è la compromissione delle applicazioni di Docker Hub, causando l'infezione di chiunque installi e aggiorni i file. Nel loro caso, gli obiettivi primari includono funzionalità botnet più generiche e l'uso di miners. Gli amministratori di Docker devono prestare attenzione quando accettano nuove applicazioni, analogamente all’implementazione di software esterno nella rete.

In termini di supply chain, ci troviamo sempre più spesso nella condizione di incrementare le opportunità per gli attaccanti: il software può essere compromesso in modo semplice ma efficace.

Accesso alla piattaforma di gestione del cloud

Buona parte delle minacce al cloud è incentrata sul desiderio di accedere alla piattaforma di gestione del cloud, in particolare agli account cloud privilegiati. È fondamentale difendersi dalle minacce del cloud perché offrono all'aggressore l'opportunità di superare la barriera di accesso alle informazioni o al controllo di un servizio normalmente affidabile.

Un aggressore con accesso privilegiato alla piattaforma di gestione di un servizio cloud, sia esso AWS GCP o Azure, può farsi strada in molti punti difficili da identificare. Grazie all'uso di strumenti open source come Purple Panda, un aggressore con le mani su credenziali rubate può automatizzare l'escalation dei privilegi nel cloud e identificare opportunità di movimenti laterali.

Conclusioni

Gli attacchi orientati al cloud sono da sempre di grande interesse sia per gli aggressori opportunistici che per quelli più selettivi. Sebbene le tecniche utilizzate negli attacchi siano ampie e diversificate, in genere si basano molto sul fatto che le reti cloud sono estese, complesse e onerose da gestire. Questo rende le soluzioni di sicurezza per agent e container fondamentali per la difesa di ogni organizzazione da tutte le piattaforme cloud.