Comment les attaquants ciblent votre système d'exploitation sans fil Cloud

24 mars 2022
Aakash Gupta
Chef de produit, Détection et réponse pour le public Cloud
Comment les attaquants ciblent votre système d'exploitation sans fil Cloud

Le site cloud est complexe. AWS compte à lui seul plus de 200 services, et ce nombre ne cesse de croître. La configuration de la sécurité, même sur un petit nombre de ces services, pour fonctionner à l'échelle des organisations modernes, pose de nombreux défis. Les infrastructures peuvent englober des centaines de services en constante évolution, ce qui rend difficile l'atteinte d'un état de bonne cyber-hygiène. En fait, il n'est pas exagéré de dire que le déploiement d'une application cloud en toute sécurité est aujourd'hui impossible. Comme les empreintes de cloud continuent de croître de manière exponentielle, les attaquants n'ont besoin que d'une seule ouverture pour exploiter des environnements entiers. Et comme la vitesse et l'agilité globales augmentent, le risque d'une mauvaise cyberhygiène augmente également, ce qui peut éventuellement introduire toutes sortes de problèmes de sécurité.

De plus, l'audit du site cloud n'est pas simple. Il existe de multiples sources de données à surveiller pour détecter les vulnérabilités, telles que les données de paquets de réseau et les données de journal. Les actions qui apparaissent dans une source de données peuvent ne pas être présentes dans l'autre source, ce qui pose un défi unique pour couvrir tous les angles. Alors que les organisations cherchent à établir et à maintenir des déploiements sécurisés sur cloud , elles doivent adopter des solutions qui offrent une couverture étendue de ces surfaces de menace.

Le site Cloud n'est pas qu'une surface de menace...

Bien entendu, toutes les attaques cloud ne se valent pas. Les attaques se manifestent différemment en fonction de la surface de menace ciblée.

 

Vectra pour le plan de contrôle AWS

Prenons l'exemple du plan de contrôle AWS. Ces dernières années, de nombreuses attaques ont été découvertes impliquant le plan de contrôle, où un attaquant accède malicieusement à l'empreinte AWS d'une organisation (par exemple, en utilisant des informations d'identification volées dans le cadre d'une campagne de harponnagephishing ). Une fois dans l'environnement, l'attaquant se promène dans le système comme un utilisateur normal, endosse différents rôles, élève ses privilèges et accède à des ressources de grande valeur telles que des clés cryptographiques, des magasins de données S3 et des lacs de données qui abritent des informations confidentielles. C'est exactement ce qui s'est passé lors de l'attaque populaire de Capital One, où les données de plus de 100 millions de clients ont été compromises. Ces attaques sont pratiquement impossibles à détecter car les actions entreprises par l'attaquant semblent provenir d'un compte d'utilisateur normal. Les attaques de cette nature sont de plus en plus courantes et ont été observées à de nombreuses reprises dans des organisations ayant déployé cloud . Le seul moyen d'identifier ces attaques est l'analyse comportementale des mandants à travers les services AWS et les régions. De plus, ces schémas comportementaux ne se présentent que dans les données de journal et n'apparaissent pas dans d'autres sources de données (par exemple, les données de paquets de réseau).  

C'est là que la couverture de Vectra pour le plan de contrôle AWS entre en jeu. Sur le site cloud , la plateforme Vectra surveille en permanence les comptes et les services (EC2, S3, IAM, KMS, Config, Organizations, etc.) dans toutes les régions afin d'identifier rapidement les comportements malveillants des attaquants à un niveau granulaire à travers les différentes étapes de la chaîne d'exécution cloud (découverte, mouvement latéral, exfiltration). Depuis son lancement, la couverture de Vectra pour le Control Plane d'AWS a aidé de nombreuses organisations à sécuriser leurs déploiements cloud en identifiant et en stoppant les comportements des attaquants. Début 2022, la plateforme Vectra a identifié un attaquant qui exploitait des identifiants volés pour extraire des secrets cryptographiques de l'environnement AWS d'une entreprise du Fortune 500. La priorisation efficace de cette entité malveillante par la plateforme, l'attribution de la source réelle à travers le labyrinthe des rôles supposés et sa fonction d'investigation rapide des résultats ont permis à l'équipe SecOps d'identifier rapidement la source de l'attaque et de réagir avant qu'elle n'ait un impact sérieux sur l'organisation.

Figure : Couverture fournie par Vectra pour le plan de contrôle AWS

Vectra pour le réseau AWS

Orthogonal au plan de contrôle dans AWS se trouve le réseau (bien qu'il soit tout aussi important). Les attaques sur cette surface sont couramment observées dans les environnements "lift-n-shift". Alors que de plus en plus d'organisations adaptent leurs déploiements actuels à cloud, elles laissent inévitablement des lacunes et introduisent des vulnérabilités que les attaquants adorent exploiter.

Un exemple courant d'une telle attaque se manifestant dans les données de paquets de réseau est l'attaque Cloud Hopper, où, en 2019, des attaquants ont utilisé des vulnérabilités du réseau pour pénétrer dans les systèmes d'entreprises gérant des applications pour des clients via le site cloud. Ils ont obtenu l'accès en utilisant des informations d'identification volées et ont installé malware sur des hôtes cloud , ce qui leur a permis de passer d'un hôte à l'autre en toute transparence afin d'éviter d'être détectés. Les pirates ont utilisé leur accès pour faciliter ce qui est devenu l'un des plus grands efforts d'espionnage d'entreprise de l'histoire.

Le seul moyen de découvrir cette attaque aurait été de surveiller prudemment le trafic réseau - ce que Vectra pour le réseau AWS a précisément été conçu pour accomplir. Pour ceux qui connaissent la solution de Vectra pour la détection et la réponse aux menaces sur les réseaux sur site, la couverture du réseau AWS représente une extension de la même solution dans le réseau public AWS cloud. La plateforme surveille les actions malveillantes contre les hôtes que l'on rencontre couramment dans les déploiements de type " lift-n-shift ". La couverture de ce vecteur de menace reste une préoccupation majeure pour les organisations qui se déploient sur le site cloud. Dans le réseau AWS, la plateforme Vectra surveille le trafic réseau des machines virtuelles EC2 à l'aide de la mise en miroir du trafic. Pour en savoir plus sur cette solution , cliquez ici.

Figure : Couverture fournie par Vectra pour le réseau AWS

En quoi la couverture du plan de contrôle AWS diffère-t-elle de celle du réseau AWS ?


La principale différence entre les deux réside dans les surfaces de menace couvertes. Alors que la couverture de Vectra pour le réseau AWS sécurise la composante réseau des déploiements cloud en surveillant les données des paquets, sa couverture pour le plan de contrôle AWS fortifie le plan de contrôle en analysant les données des journaux AWS. Ensemble, ils fournissent une couverture exhaustive de deux surfaces de menace majeures sur le site cloud.

En dehors des surfaces de menace, il existe quelques différences essentielles entre les deux, principalement en ce qui concerne la manière dont elles sont fournies. Elles sont présentées dans le tableau ci-dessous :

 

Lequel convient le mieux à mon organisation ?

Une question fréquente que nous recevons concerne la solution - Vectra pour le plan de contrôle AWS ou Vectra pour le réseau AWS - qui convient le mieux à une organisation déployant sur le site cloud. Comme nous l'avons vu précédemment, les deux solutions couvrent des surfaces de menace distinctes et se complètent mutuellement.

Pour les organisations ayant des déploiements natifs sur cloud , nous recommandons de déployer d'abord Vectra pour le plan de contrôle AWS afin d'anticiper rapidement tout comportement d'un attaquant. La plateforme Vectra permet de surveiller les menaces au niveau du plan de contrôle dans les empreintes AWS à l'échelle de l'entreprise en quelques minutes. En revanche, si une entreprise migre vers le site cloud de manière progressive, nous recommandons de commencer par Vectra for the AWS Control Plane pour une couverture immédiate du plan de contrôle, puis d'activer la couverture du réseau AWS dans les enclaves de grande valeur afin de surveiller le trafic réseau sensible. Cela garantit une couverture holistique des surfaces de menace à mesure que l'organisation s'aventure sur le site cloud. En bref, la couverture de Vectra pour le plan de contrôle et sa couverture pour le réseau AWS fonctionnent conjointement pour fournir une couverture complète de l'empreinte AWS d'une organisation. Ces deux couvertures sont inestimables pour renforcer l'arsenal d'un SOC contre les menaces existantes et émergentes sur le site cloud. Cela vous semble intéressant ? En savoir plus et s'inscrire pour un essai gratuit!

Foire aux questions