Oubliez les classes de bogues obscures : certaines des vulnérabilités les plus sournoises se cachent à la vue de tous.
Il s'agit des problèmes de sécurité liés à la conception, c'est-à-dire des vulnérabilités inhérentes à la fonctionnalité d'un système. Il s'agit souvent de "bizarreries" bien connues du système, mais dont l'impact est sous-exploré. Alors que les vulnérabilités traditionnelles nécessitent des correctifs au niveau du code, ces problèmes de conception exigent souvent une refonte complète du système et une révision totale de sa fonctionnalité.
Lorsque la fonctionnalité du service cloud s'écarte des normes du secteur ou des attentes des clients, le "bogue" décrit peut être inhérent à sa conception, mais il peut avoir de profondes répercussions sur la sécurité.
Cet article se penche sur ces vulnérabilités importantes, souvent structurelles, du site cloud , et explique pourquoi la correction des bogues de sécurité de conception nécessite plus qu'un simple correctif.
Abus de fonctionnalités et vulnérabilités liées à la conception dans le cadre de la sécurité de Cloud
Prenons un moment pour définir les limites des vulnérabilités de type "Insecure-by-Design" en les opposant à l'abus de fonctionnalité, ou plutôt à la mauvaise utilisation intentionnelle d'une fonctionnalité, un autre problème de sécurité courant sur le site cloud.
L'abus de fonctionnalités - un risque reconnu dans les environnements Cloud
L'abus de fonctionnalité décrit l'utilisation par un acteur d'une fonctionnalité cloud pour atteindre un objectif malveillant. Il ne s'agit pas d'une vulnérabilité ou d'une faille, mais d'une mauvaise intention derrière l'utilisation d'une fonctionnalité légitime de cloud .
Soulignons la fonctionnalité standard des systèmes IAM qui permet de générer des informations d'identification pour un utilisateur autre que soi-même. Cette capacité définit le mouvement latéral (et probablement l'escalade des privilèges) avec le risque reconnu d'une mauvaise utilisation intentionnelle. Cependant, il n'existe aucune vulnérabilité dans un système IAM qui permette à un utilisateur de générer des informations d'identification pour un autre utilisateur. Au lieu de cela, l'industrie s'efforce de prévenir et de détecter l'abus de cette fonctionnalité à l'aide des contrôles d'atténuation disponibles.
Insecure-by Design - Une classe de vulnérabilité Cloud
Les attentes et les normes de l'industrie s'étendent aux contrôles de sécurité entourant les fonctionnalités fournies par cloud. Les vulnérabilités liées à la conception peuvent inclure un contrôle insuffisant de la part du fournisseur cloud .
Dans le scénario de génération d'informations d'identification décrit ci-dessus, les consommateurs de services s'attendent à des contrôles d'autorisation avant de délivrer des informations d'identification et d'enregistrer de tels événements. L'absence de ces contrôles exposerait les clients à un risque important, ce qui indiquerait un défaut de conception du service.
Un exemple plus concret de vulnérabilité non sécurisée par conception est apparu récemment dans le service DocumentAI de Google. Un utilisateur de Document AI pouvait déplacer des objets de stockage Cloud en dehors du projet en utilisant les privilèges de l'agent du service DocumentAI sans que le système IAM ne vérifie que l'utilisateur final avait accès aux objets.
L'absence des contrôles d'autorisation prévus représentait un écart considérable par rapport aux principes de conception sécurisée.
Vulnérabilités non sécurisées par conception et responsabilité partagée
Comme nous pouvons le constater, certains des risques de sécurité les plus insidieux sont directement intégrés dans la conception d'un système. Ces failles dans la conception deviennent apparentes lorsque la fonctionnalité d'un service ou les contrôles disponibles s'écartent des normes établies et des attentes des clients.
Les défauts de conception non sécurisés peuvent être particulièrement frustrants sur le site cloud, où la prévention des abus de service relève de la responsabilité des clients. Cependant, en raison de la délimitation des tâches dans le modèle de responsabilité partagée, le fournisseur de services est responsable de la mise à disposition des contrôles nécessaires, de la fourniture d'une documentation précise et de l'éducation pour mettre en œuvre un service de manière sécurisée.
Atténuer l'impact des vulnérabilités de conception non sécurisée dans les services Cloud
La remédiation traditionnelle des vulnérabilités implique souvent une approche simple : identifier le code défectueux, le corriger et déployer la mise à jour. Mais cette mentalité "on répare et on oublie" ne suffit pas lorsqu'il s'agit de vulnérabilités non sécurisées par conception dans les services cloud . Pourquoi ? Parce que deux caractéristiques distinguent ces vulnérabilités des vulnérabilités classiques d'un logiciel.
- Ces vulnérabilités sont souvent profondément liées à la fonctionnalité du service, voire sous-tendent ses principes fondamentaux, ce qui rend une simple "correction" irréalisable. La désactivation ou la modification significative de la fonctionnalité pourrait perturber d'innombrables charges de travail.
- Avec les API toujours disponibles, les fonctionnalités susceptibles de donner lieu à des abus n'affectent pas seulement ceux qui utilisent le service, mais tous les clients, qu'ils utilisent ou non l'API.
Un état d'esprit à somme nulle qui se concentre uniquement sur la "réparation" du service limite les options pour une réduction efficace des risques. Au contraire, ceux qui se concentrent sur la sécurité du site cloud ont besoin d'une stratégie plus holistique. Cela implique la mise en œuvre de contrôles préventifs et de détection pour atténuer les risques tout en explorant des solutions potentielles à long terme pour le défaut de conception sous-jacent. Un outil puissant de cette stratégie est l'utilisation de glissières de sécurité.
Contrôles d'atténuation : Garde-fous
Sur le site cloud , les garde-fous sont des contrôles préventifs qui appliquent les politiques et les normes de sécurité dans l'environnement cloud d'une organisation. Ils agissent comme des butoirs le long d'une piste de bowling, donnant à l'administration de la sécurité l'assurance que l'utilisation ne s'éloignera pas trop d'un modèle prescrit.
La mise en place de garde-fous planifiés à l'avance peut contribuer à atténuer les vulnérabilités de cloud . Ils sont particulièrement utiles pour désactiver ou supprimer complètement un comportement indésirable. Toutefois, l'efficacité des garde-fous diminue lorsque des fonctions non sécurisées sont profondément ancrées dans des processus critiques. Dans ce cas, il n'est pas toujours possible de bloquer l'accès à la fonction.
Contrôles d'atténuation : Détection et réponse
Si les contrôles préventifs tels que les garde-fous sont précieux, ils ne sont pas toujours suffisants. La mise en œuvre peut être complexe et des exceptions sont souvent nécessaires pour tenir compte des cas d'utilisation légitimes. En outre, il faut plus que des garde-fous et des contrôles préventifs pour aider les clients qui utilisent déjà des fonctionnalités non sécurisées.
C'est pourquoi la détection et l'élaboration d'une réponse rapide sont souvent les activités de remédiation les plus utiles lorsque des fonctionnalités non sécurisées sont identifiées.
Lorsque vous envisagez la détection et la réponse en tant que contrôles d'atténuation des vulnérabilités sur cloud , posez-vous les questions suivantes :
- Les clients reçoivent-ils un signal de haute fidélité du comportement incriminé, ou des enregistrements supplémentaires sont-ils nécessaires ?
- Les journaux sont-ils activés par défaut ou le client doit-il être averti pour permettre un enregistrement supplémentaire ?
- Pouvez-vous agir rapidement sur le résultat de la détection pour réduire et éliminer les dommages ?
Mise en veilleuse de la fonctionnalité insécurisée de Cloud : Le long adieu
L'introduction de fonctions non sécurisées dès la conception et susceptibles de donner lieu à des abus peut s'avérer coûteuse pour les fournisseurs de services. Une fois intégrées dans les flux de travail des clients, ces fonctions peuvent être difficiles à supprimer ou à modifier en raison des dépendances en aval et des hypothèses concernant les charges de travail des produits et des clients.
S'il est souvent possible de supprimer ou de corriger ces vulnérabilités, notamment en adoptant une approche progressive et en introduisant des solutions de rechange plus sûres, le processus est rarement rapide. C'est pourquoi les garde-fous et les contrôles de détection sont essentiels. Ils agissent comme des pansements indispensables, permettant aux organisations et à leurs clients de disposer d'un temps précieux pour abandonner les fonctionnalités non sécurisées sans perturber les processus d'entreprise.
Détecter les abus et mettre en place des garde-fous :
- Accordez à vos équipes de développement le temps dont elles ont besoin pour abandonner les fonctions peu sûres de manière ordonnée, en utilisant les deux leviers que sont les contrôles de détection et les contrôles préventifs.
Fonctionnalité du coucher de soleil :
- Faire migrer les charges de travail existantes qui dépendent de fonctionnalités peu sûres vers des modèles plus sûrs. Cesser d'utiliser les fonctionnalités vulnérables et, enfin, supprimer les API incriminées.
Approche du devenir partagé pour la remédiation des vulnérabilités sur le site Cloud
En fin de compte, la lutte contre les vulnérabilités liées à l'insécurité de la conception nécessite une approche fondée sur le partage du destin. Cloud Les fournisseurs et leurs clients doivent travailler ensemble, en reconnaissant la nature interdépendante de leurs responsabilités.
Les fournisseurs doivent faire preuve de transparence lorsque les contrôles de sécurité ne répondent pas aux attentes et créent des vulnérabilités non sécurisées par conception. Les clients, quant à eux, doivent exploiter les outils disponibles pour prévenir et détecter les abus de fonctionnalités et faire évoluer leurs environnements en s'éloignant des modèles hérités non sécurisés.
Cette approche collaborative permettra de s'assurer que le site cloud continue d'évoluer vers un système plus résilient et plus sûr dès sa conception.