Alors que l'adoption de cloud continue de s'accélérer sans fin en vue, l'évolution de la prochaine génération d'attaques modernes passera par le plan de contrôle cloud de l'entreprise et s'y dirigera. Mais pourquoi cela ?
Le plan de contrôle assure la gestion et l'orchestration du déploiement cloud d'une entreprise. C'est là que les lignes de base de la configuration sont établies, que l'accès des utilisateurs et des rôles est provisionné et que les applications sont placées de manière à pouvoir s'exécuter avec les services connexes - c'est un peu comme le contrôle du trafic aérien pour les applications. Lorsque le plan de contrôle est compromis, un adversaire a la possibilité de modifier l'accès et la configuration, ce qui lui permet d'infliger des dommages matériels. Cette activité malveillante peut s'étendre aux machines virtuelles, aux conteneurs et à l'infrastructure sans serveur, entraînant à la fois des pertes de données et des attaques percutantes.
C'est peut-être là l'épée à double tranchant de cloud? Alors que toute organisation utilisant le site cloud profitera de la vitesse et de l'échelle qu'il offre, les attaquants tenteront également d'utiliser ces attributs à leur avantage. Nous devons nous rappeler que l'infrastructure, l'identité, les données et les services du plan de contrôle cloud sont tous en jeu et de plus en plus dans la ligne de mire des attaquants.
Faut-il s'en étonner ?
Croyez-le ou non, cet avenir a été annoncé depuis des années, au moins depuis l'attaque fatalement destructrice lancée contre Code Spaces en 2014. Une fois que leur plan de contrôle Amazon Web Services (AWS) a été violé et que leur infrastructure et leurs données ont été saisies, ce n'était qu'une question de temps avant que leur opération ne soit complètement arrêtée. Plus récemment, en 2019, nous avons assisté à la violation très médiatisée de Capital One, dont les dommages ont été quantifiés à plus de 100 millions d'enregistrements volés et au moins 80 millions de dollars de pénalités imposées.
S'il est vrai que les organisations les plus chanceuses peuvent constater qu'elles sont simplement cooptées pour soutenir des attaques moins destructrices comme le minage de crypto-monnaies, il s'agit peut-être d'un résultat optimal pour les organisations qui ne protègent pas leur plan de contrôle. Nous devons également reconnaître que ce résultat sera d'autant moins probable que les actifs d'une organisation ont une grande valeur ou que l'adversaire est sophistiqué. En outre, la livraison de logiciels étant elle-même transformée par le site cloud, les nouvelles possibilités de compromission de la chaîne d'approvisionnement par le biais de produits et de services deviendront de plus en plus préoccupantes.
Tout bien considéré, le plan de contrôle cloud n'est pas l'endroit où l'on doit sous-estimer les risques, car la persistance y permet d'étendre la portée et l'influence bien au-delà des limites des campagnes traditionnelles basées sur les réseaux. Les enjeux sont élevés, l'adversaire est motivé et le savoir-faire est activement développé là où il n'a pas encore été banalisé.
Reconnaître le risque
Bien entendu, cela ne veut pas dire que ce risque doit dissuader les cadres et les décideurs stratégiques de poursuivre une stratégie agressive et étendue sur le site cloud , mais seulement qu'une telle stratégie doit inclure une vision et une visibilité clairement définies. Une vision de ce à quoi ressemble une utilisation autorisée et la visibilité nécessaire pour contrôler et mesurer les écarts par rapport à cette vision. La question qui se pose alors est la suivante : quelles sont les actions autorisées et quelles sont celles qui sont malveillantes ? Les réponses ne seront pas trouvées en s'abonnant au dernier flux d'informations sur les menaces ou en téléchargeant le dernier pack de signatures. Toutefois, la collecte des bonnes données et l'application de l'intelligence artificielle (IA) permettront de faire la part des choses. Il s'agit d'avoir la capacité de détecter les éléments clés de la progression de l'attaque - surveillance des identifiants compromis, de la manière dont les services sont utilisés et de l'interaction entre les applications et les services sous-jacents.
Les organisations qui disposent de la technologie de détection des intrusions et de l'écosystème de partenaires adéquats peuvent agréger les signaux corrects indiquant que le plan de contrôle est menacé, débloquer la progression de l'attaque et se donner une chance. Mais pour être clair, cela est très éloigné de l'approche traditionnelle des attaques de réseau qui consiste à rechercher des mauvais indicateurs connus, ou simplement à essayer de réduire la surface d'attaque au point de s'en remettre entièrement à la prévention. Bien que la poursuite modeste de ces approches ait un certain mérite, elles sont inefficaces en elles-mêmes et, lorsqu'elles sont confrontées à une nouvelle mutation de la prochaine menace, elles échouent - silencieusement. En silence, bien sûr, jusqu'à ce que la violation fasse les gros titres parce que les attaquants ont pris pied, ont établi leur persistance et ont réussi à atteindre leurs objectifs.
Si nous avons appris quelque chose depuis le début du millénaire, c'est que face à l'ingéniosité presque illimitée d'un adversaire motivé, les menaces inconnues et imprévues finissent par établir une tête de pont. Le plan de contrôle cloud ne sera pas différent, et les dirigeants avisés investiront dans la préparation de la détection et de la réponse à cette inévitabilité.