Rilevamento delle minacce AWS: definizione, rischi e approcci

Approfondimenti chiave

AWS threat detection transforms cloud logs and metadata into attacker-behavior signals, enabling identification and prioritization of suspicious activity across AWS environments — critical as over 70% of cloud breaches now originate from compromised identities.
Il suo scopo è colmare le lacune di visibilità e ridurre i ritardi nelle indagini causati da registri frammentati, alti tassi di falsi positivi e attribuzione dell'identità poco chiara.
Rather than relying on isolated events, it focuses on detecting multi-step attacker behaviors, including role chaining, logging evasion, and lateral movement across cloud services.
AWS native tools like Amazon GuardDuty, AWS Security Hub, and Amazon Detective provide foundational detection capabilities, but behavioral correlation across identity, network, and cloud activity is essential for catching sophisticated attacks.

AWS threat detection refers to identifying and prioritizing malicious or suspicious activity in AWS by analyzing cloud telemetry for signs of attacker behavior. Rather than evaluating single events in isolation, this approach examines what an actor is doing across identities, roles, and services. With 80% of organizations experiencing at least one cloud security breach in the past year and public cloud incidents averaging $5.17 million per breach, the stakes for effective AWS threat detection continue to grow.

AWS environments generate large volumes of logs and metadata that are difficult to interpret independently. Connecting this telemetry into behavioral signals helps reveal attacker movement through a cloud attack lifecycle, which matters because uncorrelated activity can delay investigation and response.

Cosa significa in pratica il rilevamento delle minacce AWS

In pratica, il rilevamento delle minacce AWS collega le azioni correlate in modelli comportamentali che possono essere investigati e classificati in ordine di priorità. Anziché trattare cloud come una raccolta di avvisi non correlati, interpreta l'attività come prova di una possibile sequenza di attacchi. Questa distinzione è importante perché molte azioni AWS sono tecnicamente legittime, pur rappresentando comunque un abuso di accesso, ruoli o servizi.

Activity types that reveal intent across time and services:

Using compromised identities to gain initial access to AWS resources.
Assuming roles and leverage temporary credentials to obscure the original actor.
Chaining or "jumping" between roles to evade attribution across multiple accounts or services.
Evading defenses by attempting to disable, suppress, or bypass logging.
Exfiltrating data or performing destructive actions after expanding privileges.

AWS threat detection tools and services

AWS provides several native security services that form the foundation of a cloud threat detection strategy. Understanding what each tool does — and where gaps remain — helps teams build effective detection coverage.

Amazon GuardDuty

Amazon GuardDuty is the primary AWS threat detection service. It continuously analyzes CloudTrail management events, VPC Flow Logs, DNS query logs, and runtime telemetry using machine learning, anomaly detection, and integrated threat intelligence. In December 2025, AWS launched Extended Threat Detection for EC2 and ECS, which uses AI/ML to correlate signals across multiple data sources and map multi-stage attack sequences to MITRE ATT&CK tactics.

AWS Security Hub

Security Hub aggregates findings from GuardDuty, Amazon Inspector, AWS Config, and third-party tools into a unified dashboard. It provides compliance checks against standards like CIS AWS Foundations and supports automated remediation through integrations with AWS Lambda and Amazon EventBridge.

Amazon Detective

Detective complements GuardDuty by providing deeper investigative analysis. When GuardDuty identifies a high-severity finding, Detective helps trace the origin, scope, and relationships of the suspicious activity across resources.

Table: AWS native threat detection services compared

Capacità	Amazon GuardDuty	AWS Security Hub	Amazon Detective
Obiettivo principale	Threat detection via ML and behavioral analysis	Centralized findings aggregation and compliance	Investigative analysis and root cause tracing
Fonti dei dati	CloudTrail, VPC Flow Logs, DNS, S3, EKS, ECS	Aggregates from GuardDuty, Inspector, Config, Macie	Log correlations across GuardDuty findings and AWS logs
Punto di forza principale	Real-time detection with low false positives	Unified view that reduces alert fatigue	Deep forensics beyond initial detection
Limitation	Scope limited to individual AWS events without cross-environment correlation	Aggregation without behavioral analysis	Reactive — requires an initial finding to investigate

These native tools provide essential coverage, but they focus on activity within AWS. Attacks that start outside AWS — through compromised identity providers, on-premises networks, or SaaS applications — require additional correlation across hybrid environments to detect the full attack chain.

Perché il monitoraggio AWS incentrato sui log non rileva il comportamento degli aggressori

Log-centric monitoring in AWS often fails to expose attacker behavior because events are analyzed as standalone records. Attribution frequently stops at the most recent role or temporary credential, causing investigations to focus on the wrong abstraction. As a result, defenders may not identify the original actor in time to contain activity before impact.

Failure modes when AWS activity is evaluated as isolated events:

Event-by-event alerting that fails to connect actions across services or time
Incomplete attribution that stops at an assumed role instead of tracing back to the original actor
Siloed views across accounts, regions, and domains that prevent a unified narrative
Manual correlation burden that delays response and increases cognitive load
High alert volume that obscures which identity or account poses the highest risk

I comportamenti degli aggressori che il rilevamento delle minacce aiuta a portare alla luce

Understanding how attackers move through AWS requires looking beyond individual service actions. Behavior-focused detection highlights progression patterns, such as role chaining, logging evasion, and lateral service access, that can appear legitimate when viewed in isolation.

Progression patterns:

Infiltrazione tramite ingegneria sociale e abuso di relazioni di identità affidabili
Uso di ruoli assunti per astrarre l'identità ed eludere l'attribuzione diretta
Catena di ruoli multi-step che nasconde l'identità compromessa originale

Segnali e indicatori utilizzati nel rilevamento delle minacce AWS

Non tutti i segnali in AWS hanno lo stesso valore investigativo. Le attività di rilevamento danno priorità agli indicatori che riflettono comportamenti anomali o multi-step legati a un attore specifico. Gli indicatori precoci possono essere sottili e distribuiti, mentre i segnali in fase avanzata spesso emergono solo dopo che si è verificato un danno significativo.

Key signals:

Deviazioni dalla linea di base, come chiamate API insolite o modelli di utilizzo delle credenziali
Early reconnaissance behaviors that suggest exploration of permissions or resources
Catene di assunzione dei ruoli e sequenze di credenziali che indicano l'attività di concatenamento dei ruoli
Tentativi di disabilitare, ridurre o eludere la copertura di registrazione e monitoraggio
Comportamento correlato tra identità, rete e cloud che indica un unico attore
Late-stage indicators such as command-and-control communication or data exfiltration

Real-world AWS threat detection incidents

Recent incidents illustrate why behavioral detection matters more than log-level monitoring alone.

Codefinger ransomware (January 2025)

The Codefinger ransomware group exploited compromised AWS credentials to encrypt S3 data using server-side encryption with customer-provided keys (SSE-C). Because the attackers used legitimate AWS encryption features rather than malware, traditional signature-based detection tools missed the activity. Only behavioral monitoring — detecting unusual bulk encryption operations tied to a suspicious credential chain — could surface the attack before data became unrecoverable.

AI-augmented FortiGate exploitation (January–February 2026)

Amazon Threat Intelligence documented a campaign in which a Russian-speaking financially motivated threat actor used commercial generative AI services to compromise over 600 FortiGate devices across 55+ countries between January 11 and February 18, 2026. The attackers leveraged AI to scale their operations, demonstrating that AI-augmented threats are accelerating attack volume for both skilled and unskilled adversaries.

LexisNexis ECS role abuse (February 2026)

In February 2026, a threat actor exploited an unpatched React frontend application running on AWS to gain initial access, then abused an over-permissive ECS task role with broad read access to AWS Secrets Manager. This enabled exfiltration of Redshift credentials, VPC maps, and millions of database records. The incident mapped to MITRE ATT&CK techniques including T1190 (exploit public-facing application), T1078 (valid accounts), and T1530 (data from cloud storage object) — underscoring why monitoring identity and role behavior is essential for AWS threat detection.

These incidents share a pattern: attackers used legitimate AWS mechanisms (encryption features, valid roles, temporary credentials) to carry out malicious activity that looked normal at the event level but revealed itself through behavioral analysis.

Limiti e idee errate sul rilevamento delle minacce AWS

Il rilevamento delle minacce in AWS presenta ancora dei limiti. Sebbene sia in grado di identificare comportamenti sospetti, il rilevamento delle minacce non previene né risolve automaticamente i rischi cloud . Ciò significa che i team devono ancora affidarsi ai flussi di lavoro di risposta e al giudizio degli analisti. Confondere il rilevamento con la prevenzione può creare punti ciechi che ritardano il contenimento.

Table: Misconceptions vs. corrections

Idea sbagliata	Correzione	Perché è importante
Più strumenti di sicurezza migliorano automaticamente la sicurezza AWS	L'aggiunta di strumenti può aumentare il rumore e il carico di correlazione senza migliorare la chiarezza.	Il volume degli avvisi può nascondere l'identità o l'account più importante da indagare
Notare un'attività sospetta equivale a fermarla	Il rilevamento identifica il comportamento, mentre l'interruzione richiede azioni di risposta e flussi di lavoro.	I team possono perdere tempo se presumono che visibilità equivalga a contenimento.
AWS native tools cover the full attack chain	Native services focus on activity within AWS but cannot correlate hybrid attacks that start on-premises or in other cloud environments	Attackers routinely pivot from identity providers or endpoints into AWS, requiring cross-environment behavioral correlation

The future of AWS threat detection

Several trends are reshaping how organizations approach threat detection in AWS environments.

AI-augmented attacks are accelerating. As demonstrated by the 2026 FortiGate campaign, threat actors are using generative AI to scale exploitation. AWS threat detection must keep pace by correlating signals faster than attackers can generate them.
Identity is the new perimeter. With over 70% of cloud breaches originating from compromised identities and 61% of organizations maintaining root users without MFA, identity-centric detection will continue to take priority over network-centric approaches.
Multi-stage attack detection is becoming table stakes. GuardDuty's Extended Threat Detection represents a shift toward correlating actions across services and time rather than evaluating events individually. This pattern will expand to cover more AWS services and cross-cloud scenarios.
Hybrid attack paths require unified visibility. As organizations operate across AWS, Azure, on-premises, and SaaS environments, threat detection strategies that treat each domain in isolation will miss the attacks that matter most — those that move laterally across boundaries.

In che modo la Vectra AI supporta il rilevamento delle minacce AWS attraverso il comportamento correlato degli aggressori

Supporting AWS threat detection requires understanding attacker behavior across identity, network, and cloud activity as a single continuum. The Vectra AI Platform approaches this problem by correlating actions instead of treating AWS events as isolated alerts, which reduces uncertainty when roles, temporary credentials, and multi-service activity obscure attribution. Vectra AI's Cloud Detection and Response (CDR) for AWS extends detection beyond native tools by analyzing behaviors across hybrid attack surfaces.

Platform capabilities:

Osservare il comportamento correlato degli aggressori attraverso identità, ruoli e cloud invece che eventi AWS isolati
Decidere quale identità o account rappresenta il rischio più elevato, dando priorità all'urgenza e al contesto rispetto al volume.
Ridurre il rischio di attribuzioni errate nella catena dei ruoli ricollegando, ove possibile, le attività sospette all'autore originale.
Detecting suspicious sequences of exploration activities that indicate early-stage reconnaissance before lateral movement begins

See AWS attacker behavior in action with a guided attack tour

Domande frequenti

In che modo il rilevamento delle minacce AWS differisce dal monitoraggio dei log CloudTrail?

Il monitoraggio CloudTrail registra singoli eventi, mentre il rilevamento delle minacce AWS mira a collegare eventi tra identità, ruoli, servizi e tempo per rivelare il comportamento degli aggressori. Gli eventi di log isolati possono mostrare cosa è successo, ma spesso non mostrano l'intenzione o la progressione, specialmente quando gli aggressori utilizzano credenziali temporanee e ruoli assunti. La differenza pratica è di natura investigativa: il rilevamento delle minacce dà la priorità a modelli di comportamento in più fasi che possono essere attribuiti e su cui è possibile agire, invece di lasciare che gli analisti assemblino manualmente la narrazione dai log grezzi.

Il rilevamento delle minacce AWS previene le configurazioni errate?

No. Il rilevamento delle minacce AWS non previene né risolve di per sé i problemi architetturali o di configurazione. La gestione delle configurazioni errate si concentra sull'identificazione di impostazioni non sicure e condizioni di esposizione, mentre il rilevamento delle minacce si concentra sull'identificazione di attività dannose o sospette che si verificano all'interno di un ambiente AWS. Confondere queste funzioni è importante perché i team potrebbero supporre che il rilevamento sostituisca la sicurezza della configurazione, lasciando inalterati i punti di accesso primari e aspettandosi che il rilevamento delle minacce compensi tale lacuna.

Perché l'identità e i ruoli sono fondamentali per il rilevamento delle minacce AWS?

L'identità e i ruoli sono fondamentali perché gli aggressori spesso operano utilizzando meccanismi di accesso legittimi dopo la compromissione iniziale, inclusi ruoli assunti e credenziali temporanee. Le azioni possono apparire valide a livello di API anche quando rappresentano un abuso, quindi l'attribuzione diventa essenziale per capire chi ha avviato una sequenza e se tale sequenza è in linea con il comportamento previsto. Questo è importante perché il concatenamento dei ruoli può oscurare l'attore originale e le indagini possono fallire se si fermano all'ultimo ruolo temporaneo utilizzato.

Quali tipi di attività sono più difficili da rilevare negli ambienti AWS?

I comportamenti in più fasi che utilizzano meccanismi AWS legittimi sono più difficili da rilevare se valutati evento per evento. Il concatenamento dei ruoli, le sequenze di credenziali temporanee e le azioni che appaiono normali se considerate isolatamente richiedono spesso una correlazione tra servizi e identità per diventare significative. Questi modelli sono difficili da individuare perché possono essere distribuiti su più servizi AWS e finestre temporali e perché l'ultima credenziale utilizzata potrebbe non riflettere l'attore originale. Questo è importante perché i comportamenti sottili nelle fasi iniziali possono passare inosservati fino a quando non emergono indicatori nelle fasi finali.

Il rilevamento delle minacce AWS è in grado di tracciare gli attacchi che hanno origine al di fuori di AWS?

Sì, ma solo quando l'approccio collega le attività tra diversi ambienti invece di trattare AWS come un dominio isolato. Gli attacchi ibridi possono avere origine da laptop compromessi o provider di identità e successivamente passare ad AWS utilizzando relazioni di identità affidabili e ruoli assunti. Senza una correlazione tra identità e telemetria correlata, l'attività AWS può apparire scollegata dal percorso di compromissione iniziale. Questo è importante perché i difensori devono comprendere in che modo cloud sono correlate all'accesso precedente per definire correttamente l'ambito della risposta e dell'attribuzione.

What is the difference between Amazon GuardDuty and AWS Security Hub?

Amazon GuardDuty performs active threat detection by analyzing CloudTrail events, VPC Flow Logs, and DNS logs using machine learning to identify malicious behavior. AWS Security Hub is a centralized findings aggregator that collects and prioritizes alerts from GuardDuty, Amazon Inspector, AWS Config, and third-party tools. GuardDuty detects threats. Security Hub organizes and manages them. Most organizations use both together — GuardDuty as the detection engine and Security Hub as the operational dashboard for prioritizing response across accounts and regions.

What AWS threat detection tools should organizations enable first?

Start with Amazon GuardDuty enabled across all AWS accounts and all regions — including regions not actively in use, since attackers target unmonitored regions for activities like cryptomining. Feed GuardDuty findings into AWS Security Hub for centralized visibility. Add Amazon Detective for investigating high-severity findings. Then configure EventBridge rules with Lambda functions to automate responses to critical alerts. This layered approach provides detection, aggregation, investigation, and automated response.

How do attackers use AI to target AWS environments?

Threat actors increasingly use commercial generative AI services to scale their attacks against cloud infrastructure. In early 2026, Amazon Threat Intelligence documented a campaign where attackers used AI to compromise over 600 network devices across 55+ countries, then pivoted into cloud environments. AI helps attackers automate reconnaissance, generate exploit code, and identify misconfigurations faster than manual methods allow. This trend makes behavioral detection more important because AI-augmented attacks generate higher volumes of activity that can overwhelm rule-based detection systems.

What is Extended Threat Detection in Amazon GuardDuty?

Extended Threat Detection is a capability launched in December 2025 that uses AI and machine learning to identify multi-stage attack sequences across AWS services. Instead of generating separate findings for each suspicious event, it correlates signals — such as credential abuse, privilege escalation, and data exfiltration — into a single attack sequence mapped to MITRE ATT&CK tactics. This reduces triage time by showing the full attack story rather than leaving analysts to manually connect individual findings.