Segreti trapelati: esposizioni dei dati cloud che mettono a rischio l'azienda

La fuoriuscita di dati e segreti è una realtà. Come possono bloccarla i responsabili della sicurezza.

Nonostante i miliardi di dollari che le organizzazioni stanno investendo nella sicurezza informatica, una delle minacce più prevenibili persiste: dati sensibili e credenziali esposte nei servizi cloud accessibili pubblicamente. Secondo quanto stabilito dal Tenable Cloud Security Risk Report 2025, il 9% delle risorse di archiviazione accessibili pubblicamente contiene dati sensibili, tra cui informazioni personali (PII), proprietà intellettuale (IP), dettagli del settore delle carte di pagamento (PCI) e informazioni sanitarie riservate (PHI).

Fatto ancora più preoccupante, il report mostra che più della metà delle organizzazioni che utilizzano le definizioni delle attività di AWS (Amazon Web Services) ECS (Elastic Container Service) e GCP (Google Cloud Platform) Cloud Run ha, consapevolmente o meno, almeno un segreto incorporato in questi servizi.

Si tratta di esposizioni preoccupanti, perche sono sviste sfruttabili dagli utenti malintenzionati che le stanno già esaminando e trasformando in armi.

Perché questo concerne i responsabili della sicurezza

I segreti esposti, come le chiavi API e i token di crittografia, possono aprire la porta agli autori di attacchi, consentendo il movimento laterale, l'esfiltrazione dei dati o l'acquisizione dell'intero ambiente.

Non è solo un problema di configurazione errata. È una lacuna nella governance, peggiorata dagli strumenti di sicurezza legacy e, in alcuni casi, dalla percezione errata che i servizi cloud nativi forniscono sufficiente protezione .

Cosa è necessario fare subito

I responsabili della sicurezza devono passare dal rilevamento alla prevenzione e migliorare la protezione dei dati sensibili applicando quanto segue:

• Rilevamento automatizzato dei dati e classificazione: comprendere quali dati risiedono nell'ambiente e verificarne continuamente la sensibilità. Questa dovrebbe essere un'attività basata sulla telemetria continua, non una scansione trimestrale.
• Eliminazione dell'accesso pubblico per impostazione predefinita: applicare i privilegi minimi per l'accesso sia ai dati sia alla rete. L'archiviazione pubblica dovrebbe essere una rara eccezione.
• Utilizzo di una gestione dei segreti di livello aziendale: rimuovere segreti hardcoded e implementare strumenti nativi del cloud come AWS Secrets Manager e Microsoft Azure Key Vault.
• Gestione della postura di sicurezza del cloud (CSPM): utilizzare una CSPM identity-intelligent per unificare la visibilità dell'impronta del cloud e identificare configurazioni errate, segreti e autorizzazioni eccessive in tempo reale.

Punti principali: segreti e dati sensibili esposti non sono oscuri casi estremi. Sono rischi sistematici nascosti in bella vista e devono essere eliminati prima che gli utenti malintenzionati li sfruttino.

Scopri di più

• Scarica il Tenable Cloud Security Risk Report 2025 (in inglese)
• Partecipa al nostro prossimo webinar di ricerca Why Your Cloud Data Might Not Be Secure After All: Insights From Tenable Cloud Research