Le site cloud est complexe. AWS compte à lui seul plus de 200 services, et ce nombre ne cesse de croître. La configuration de la sécurité, même sur un petit nombre de ces services, pour fonctionner à l'échelle des organisations modernes, pose de nombreux défis. Les infrastructures peuvent englober des centaines de services en constante évolution, ce qui rend difficile l'atteinte d'un état de bonne cyber-hygiène. En fait, il n'est pas exagéré de dire que le déploiement d'une application cloud en toute sécurité est aujourd'hui impossible. Comme les empreintes de cloud continuent de croître de manière exponentielle, les attaquants n'ont besoin que d'une seule ouverture pour exploiter des environnements entiers. Et comme la vitesse et l'agilité globales augmentent, le risque d'une mauvaise cyberhygiène augmente également, ce qui peut éventuellement introduire toutes sortes de problèmes de sécurité.
De plus, l'audit du site cloud n'est pas simple. Il existe de multiples sources de données à surveiller pour détecter les vulnérabilités, telles que les données de paquets de réseau et les données de journal. Les actions qui apparaissent dans une source de données peuvent ne pas être présentes dans l'autre source, ce qui pose un défi unique pour couvrir tous les angles. Alors que les organisations cherchent à établir et à maintenir des déploiements sécurisés sur cloud , elles doivent adopter des solutions qui offrent une couverture étendue de ces surfaces de menace.
Le site Cloud n'est pas qu'une surface de menace...
Bien entendu, toutes les attaques cloud ne se valent pas. Les attaques se manifestent différemment en fonction de la surface de menace ciblée.
Vectra pour le plan de contrôle AWS
Prenons l'exemple du plan de contrôle AWS. Ces dernières années, de nombreuses attaques ont été découvertes impliquant le plan de contrôle, où un attaquant accède malicieusement à l'empreinte AWS d'une organisation (par exemple, en utilisant des informations d'identification volées lors d'une campagne de phishing ). Une fois dans l'environnement, l'attaquant se promène dans le système comme un utilisateur normal, assumant différents rôles, escaladant les privilèges et accédant à des ressources de grande valeur telles que des clés cryptographiques, des magasins de données S3 et des lacs de données qui abritent des informations confidentielles. C'est exactement ce qui s'est passé lors de l'attaque populaire de Capital One, où les données de plus de 100 millions de clients ont été compromises. Ces attaques sont pratiquement impossibles à détecter car les actions entreprises par l'attaquant semblent provenir d'un compte d'utilisateur normal. Les attaques de cette nature sont de plus en plus courantes et ont été observées à de nombreuses reprises dans des organisations ayant des déploiements de cloud matures. Le seul moyen d'identifier ces attaques est l'analyse comportementale des mandants à travers les services AWS et les régions. De plus, ces schémas comportementaux ne se présentent que dans les données de journal et n'apparaissent pas dans d'autres sources de données (par exemple, les données de paquets de réseau).
C'est là qu'intervient la couverture de Vectra pour le plan de contrôle AWS. Au sein de cloud , la plateforme Vectra surveille en permanence les comptes et les services (par exemple, EC2, S3, IAM, KMS, Config, Organizations, etc.) dans toutes les régions afin d'identifier rapidement les comportements malveillants des attaquants à un niveau granulaire, à travers les différentes étapes de la chaîne cloud (détection, mouvement latéral, exfiltration). Depuis son lancement, la couverture de Vectra pour l’AWS Control Plane a aidé de nombreuses organisations à sécuriser leurs cloud en identifiant et en stoppant les comportements malveillants. Début 2022, la plateforme Vectra a identifié un attaquant exploitant des identifiants volés pour extraire des secrets cryptographiques de l’environnement AWS d’une entreprise du classement Fortune 500. La priorisation efficace de cette entité malveillante par la plateforme, l’attribution précise de la source à travers le labyrinthe des rôles assumés et sa fonctionnalité permettant d’enquêter rapidement sur les résultats ont permis à l’équipe SecOps d’identifier rapidement la source de l’attaque et d’y répondre avant qu’elle n’ait un impact grave sur leur organisation.
Vectra pour le réseau AWS
Orthogonal au plan de contrôle dans AWS se trouve le réseau (bien qu'il soit tout aussi important). Les attaques sur cette surface sont couramment observées dans les environnements "lift-n-shift". Alors que de plus en plus d'organisations adaptent leurs déploiements actuels à cloud, elles laissent inévitablement des lacunes et introduisent des vulnérabilités que les attaquants adorent exploiter.
Un exemple courant d'une telle attaque se manifestant dans les données de paquets de réseau est l'attaque Cloud Hopper, où, en 2019, des attaquants ont utilisé des vulnérabilités du réseau pour pénétrer dans les systèmes d'entreprises gérant des applications pour des clients via le site cloud. Ils ont obtenu l'accès en utilisant des informations d'identification volées et ont installé malware sur des hôtes cloud , ce qui leur a permis de passer d'un hôte à l'autre en toute transparence afin d'éviter d'être détectés. Les pirates ont utilisé leur accès pour faciliter ce qui est devenu l'un des plus grands efforts d'espionnage d'entreprise de l'histoire.
Le seul moyen de détecter cette attaque aurait été une surveillance rigoureuse du trafic réseau – ce qui est précisément la raison d’être de Vectra pour le réseau AWS. Pour ceux qui connaissent déjà la solution sur site de détection et de réponse aux menaces réseau de Vectra, la couverture du réseau AWS constitue une extension de cette même solution dans le cloud public AWS. La plateforme surveille les actions malveillantes visant les hôtes, couramment observées dans les déploiements de type « lift-and-shift ». La couverture de ce vecteur de menace reste une préoccupation majeure pour les organisations qui déploient leurs solutions dans le cloud. Au sein du réseau AWS, la plateforme Vectra surveille le trafic réseau des machines virtuelles EC2 à l'aide de la mise en miroir du trafic. Pour en savoir plus sur cette solution, cliquez ici.
En quoi la couverture du plan de contrôle AWS diffère-t-elle de celle du réseau AWS ?
La principale différence entre les deux réside dans les surfaces de menace couvertes. Alors que la couverture de Vectra pour le réseau AWS sécurise la composante réseau des déploiements cloud en surveillant les données des paquets, sa couverture pour le plan de contrôle AWS fortifie le plan de contrôle en analysant les données des journaux AWS. Ensemble, ils fournissent une couverture exhaustive de deux surfaces de menace majeures sur le site cloud.
En dehors des surfaces de menace, il existe quelques différences essentielles entre les deux, principalement en ce qui concerne la manière dont elles sont fournies. Elles sont présentées dans le tableau ci-dessous :
Lequel convient le mieux à mon organisation ?
Une question fréquente que nous recevons concerne la solution - Vectra pour le plan de contrôle AWS ou Vectra pour le réseau AWS - qui convient le mieux à une organisation déployant sur le site cloud. Comme nous l'avons vu précédemment, les deux solutions couvrent des surfaces de menace distinctes et se complètent mutuellement.
Pour les entreprises disposant de déploiements cloud , nous recommandons de commencer par déployer Vectra pour le plan de contrôle AWS afin de détecter rapidement tout comportement suspect. La plateforme Vectra assure la surveillance des menaces au niveau du plan de contrôle sur l'ensemble des environnements AWS à l'échelle de l'entreprise en quelques minutes seulement. En revanche, si une organisation migre vers le cloud une approche « lift-and-shift », nous recommandons de commencer par Vectra pour le plan de contrôle AWS afin d’assurer une couverture immédiate de ce dernier, puis d’activer la couverture du réseau AWS dans les enclaves à forte valeur ajoutée afin de surveiller le trafic réseau sensible. Cela garantit une couverture holistique des surfaces d’attaque à mesure que l’organisation s’aventure dans le cloud. En résumé, la couverture de Vectra pour le plan de contrôle et celle pour le réseau AWS fonctionnent en synergie pour offrir une couverture complète de l'empreinte AWS d'une organisation. Les deux sont indispensables pour renforcer l'arsenal d'un SOC contre les menaces existantes et émergentes dans le cloud. Cela vous intéresse ? Découvrez-en plus et inscrivez-vous pour un essai gratuit!