Gli attacchi informatici verso ambienti cloud sono in aumento, e il vero punto debole non risiede nella tecnologia stessa, ma nella capacità delle aziende di controllare, governare, gestire in modo corretto i nuovi ambienti. Tra errori di configurazione, identità compromesse e scarsa visibilità, le imprese faticano a adattare le proprie strategie di sicurezza ai nuovi contesti complessi.

Negli ultimi mesi, chi lavora nel campo della cybersecurity lo sta vedendo chiaramente: gli attacchi mirano sempre più sugli ambienti cloud e non è solo un’impressione. Le aziende hanno spostato una quantità significativa di servizi e infrastrutture in cloud, inclusi dati e applicazioni mission-critical. Questo spostamento è logico: dove si trovano i servizi, lì si trova il bersaglio.

Il problema è che questo passaggio è avvenuto in molti casi più velocemente rispetto alle evoluzioni delle competenze, dei processi e dei controlli necessari per gestire in modo sicuro questa complessità. Nasce quindi un grande fraintendimento: molte organizzazioni danno per scontato che “sicurezza del cloud” significa che il provider lo garantisce completamente, ma sottovalutano il proprio ruolo nel modello di responsabilità condivisa.

Il modello di responsabilità condivisa

Il Cloud non è un monolite. La distinzione tra IaaS, PaaS e SaaS determina chiaramente qual è la responsabilità del provider e qual è quella del cliente. Il provider si prende cura dell’infrastruttura – centri dati, rete, hypervisor – mentre le aziende sono responsabili di configurazioni, identità, dati e in molti casi anche del carico applicativo. Tuttavia, questa responsabilità spesso non è chiaramente compresa né tradotta in processi concreti.

Ecco alcuni esempi comuni di errori: bucket di storage resi pubblici per comodità, mai ricontrollati; account con privilegi eccessivi creati per urgenza ma non corretti; assenza di log centralizzati e sistemi di monitoraggio incoerenti tra diversi account e fornitori.

Il risultato concreto è che una parte essenziale dell’attacco finisce diventata “terra di nessuno”, non controllata né dal provider né dall’azienda, ma tecnica e formalmente responsabilità di quest’ultima.

La sicurezza parte dagli account

Nel mondo cloud, l’account e l’identità sono il nuovo perimetro. Chi controlla le identità e i token di accesso ha un controllo diretto sui dati e sui servizi. La strategia degli attaccanti sta cambiando: non cercano solo vulnerabilità tecniche, ma sfruttano errori umani e la complessità degli ambienti cloud.

Gli attaccanti puntano su credenziali privilegiate (admin cloud, account DevOps, service account), riutilizzando token, chiavi API e secret esposti in repository pubblici o in strumenti di test. Sfruttano anche casi di mancanza di MFA (Multi-Factor Authentication) coerente, eccezioni “temporanee” mai correttamente rimosse, o bypass operativi. In sostanza, in tanti casi, non serve “bucare” qualcosa, basta trovare una porta aperta.

Pericoli derivanti da configurazioni errate

Una configurazione errata è il primo passo verso un incidente serio. Configurazioni inizialmente lasciate a default, permessi eccessivi, mancanza di segmentazione tra ambienti (sviluppo, test, produzione), e assenza di criteri minimi di hardening sono oggi tra i principali vettori di attacco.

Il multi-cloud – utilizzare più fornitori di servizi cloud – aggiunge ulteriore complessità. Più piattaforme in uso equivalgono a più regole da controllare, più modelli di sicurezza da comprendere. La superficie di attacco si espande in modo esponenziale.

Strumenti e test come vettori di attacco

Ci sono alcuni casi emergenti che stanno guadagnando visibilità: strumenti nati per studiare e testare la sicurezza diventano, paradossalmente, un problema. Si parla di applicazioni per test o formazione, volutamente vulnerabili. In teoria dovrebbero essere isolate in ambienti specifici, ma spesso finiscono esposte in ambienti di produzione non separati, con accessi aperti e permessi troppo ampi.

Sono proprio questi i casi in cui gli attaccanti, che conoscono bene gli strumenti, possono facilmente comprometterli. La vulnerabilità è nota pubblicamente, quindi non ci vuole niente per trovare e sfruttarli.

I rischi per aziende e supply chain

Gli effetti degli incidenti non si limitano più ai reparti tecnici. Un attacco grave agli ambienti cloud oggi può bloccare servizi chiave, esporre dati sensibili e interrompere l’operatività di un’azienda intera. E tutto questo in tempi molto rapidi.

Se un provider o un servizio condiviso viene attaccato, i ripercussi lungo la catena di fornitori digitale possono essere devastanti. Gli ultimi recenti attacchi ransomware ai fornitori cloud di servizi per la Pubblica Amministrazione ne sono un esempio: pagamenti bloccati, disservizi, impatto sia per cittadini che per imprese.

La normativa e il contesto aziendale

Si aggiunge alla complessità anche la normativa, con le disposizioni sempre più rigorose come la NIS2, che pongono nuovi obblighi di controllo e protezione. Non si può più considerare l’incidente cyber solo un problema tecnico. È ormai un rischio aziendale reale che riguarda la continuità operativa e la fiducia dei clienti.

Gli executive e i decision maker non devono più guardare a questa problematica da un punto di vista operativo, ma da uno strategico: la risposta tempestiva e i controlli efficaci fanno la differenza.

Passi concreti per ridurre il rischio

Per ridurre la probabilità e l’impatto degli incidenti, molteplici azioni concrete risultano fondamentali:

Velocità di risposta: la vera differenza

L’obiettivo non è evitare ogni attacco, quanto essere in grado di rispondere rapidamente e minimizzare i danni. Le aziende dev