Explication de la détection des menaces AWS

La détection des menaces AWS consiste à identifier et à hiérarchiser les activités malveillantes ou suspectes dans AWS en analysant cloud à la recherche de signes de comportement d'attaquant.

Plutôt que d'évaluer des événements isolés, cette approche examine ce qu'un acteur fait à travers ses identités, ses rôles et ses services. Les environnements AWS génèrent de grands volumes de journaux et de métadonnées qui sont difficiles à interpréter indépendamment. Le fait de relier ces données télémétriques à des signaux comportementaux permet de révéler les mouvements des attaquants tout au long du cycle de vie cloud , ce qui est important car des activités non corrélées peuvent retarder l'enquête et la réponse.

Ce que signifie concrètement la détection des menaces AWS

En pratique, la détection des menaces AWS relie les actions connexes à des modèles comportementaux qui peuvent être examinés et classés par ordre de priorité. Plutôt que de traiter cloud comme un ensemble d'alertes sans rapport entre elles, elle interprète l'activité comme la preuve d'une possible séquence d'attaques. Cette distinction est importante, car de nombreuses actions AWS sont techniquement légitimes tout en représentant un abus d'accès, de rôles ou de services.

Afin de réduire l'incertitude pendant les enquêtes, la détection des menaces AWS se concentre sur les comportements qui indiquent la progression des attaquants, notamment les types d'activités suivants qui révèlent leurs intentions au fil du temps et à travers les services :

• Utilisation d'identités compromises pour obtenir un accès initial aux ressources AWS.
  
• Assumer des rôles et exploiter des identifiants temporaires pour dissimuler l'acteur initial.
  
• Enchaîner ou « passer » d'un rôle à l'autre pour échapper à l'attribution entre plusieurs comptes ou services.
  
• Contourner les défenses en tentant de désactiver, de supprimer ou de contourner la journalisation.
  
• Exfiltrer des données ou exécuter des actions destructrices après avoir étendu les privilèges.
  

Découvrez le comportement des pirates informatiques AWS en action grâce à une visite guidée des attaques →

Pourquoi la surveillance AWS centrée sur les journaux passe à côté du comportement des attaquants

La surveillance centrée sur les journaux dans AWS ne parvient souvent pas à mettre en évidence le comportement des attaquants, car les événements sont analysés comme des enregistrements autonomes. L'attribution s'arrête fréquemment au rôle ou aux informations d'identification temporaires les plus récents, ce qui conduit les enquêtes à se concentrer sur une abstraction erronée. En conséquence, les défenseurs peuvent ne pas identifier l'acteur d'origine à temps pour contenir l'activité avant qu'elle n'ait un impact.

Pour éviter de mal hiérarchiser les tâches, les équipes doivent reconnaître les modes de défaillance spécifiques qui peuvent se produire lorsque l'activité AWS est évaluée comme des événements isolés :

• Alertes événementielles qui ne parviennent pas à relier les actions entre les services ou dans le temps
  
• Attribution incomplète qui s'arrête à un rôle supposé au lieu de remonter jusqu'à l'acteur original.
  
• Vues cloisonnées entre les comptes, les régions et les domaines qui empêchent une narration unifiée
  
• La charge de corrélation manuelle qui retarde la réponse et augmente la charge cognitive
  
• Volume d'alerte élevé qui masque l'identité ou le compte présentant le risque le plus élevé
  

Les comportements des attaquants que la détection des menaces aide à mettre en évidence

Pour comprendre comment les pirates informatiques se déplacent dans AWS, il faut aller au-delà des actions individuelles des services. La détection axée sur le comportement met en évidence des schémas de progression, tels que l'enchaînement des rôles, le contournement de la journalisation et l'accès latéral aux services, qui peuvent sembler légitimes lorsqu'ils sont considérés isolément. 

Afin que les enquêtes restent axées sur les risques réels, la détection des menaces AWS met en évidence les comportements des attaquants qui ont de l'importance, car ils indiquent la séquence, l'intention et l'impact opérationnel :

• Infiltration par le biais de l'ingénierie sociale et de l'abus de relations d'identité de confiance
  
• Utilisation de rôles supposés pour abstraire l'identité et échapper à l'attribution directe
  
• Enchaînement de rôles en plusieurs étapes qui masque l'identité compromise d'origine
  

Découvrez comment les pirates exploitent les rôles et les identités sur AWS →

Signaux et indicateurs utilisés dans la détection des menaces AWS

Tous les signaux dans AWS n'ont pas la même valeur pour l'enquête. Les efforts de détection donnent la priorité aux indicateurs qui reflètent un comportement anormal ou en plusieurs étapes lié à un acteur spécifique. Les indicateurs précoces peuvent être subtils et dispersés, tandis que les signaux tardifs n'apparaissent souvent qu'après que des dommages importants se sont produits.

Pour accélérer le triage sans avoir à deviner l'intention derrière un événement, la détection des menaces AWS s'appuie sur des signaux pertinents, car ils permettent d'attribuer une activité et d'identifier sa progression :

• Écarts par rapport à la base de référence, tels que des appels API inhabituels ou des modèles d'utilisation des identifiants
  
• Comportements de reconnaissance précoce suggérant l'exploration des autorisations ou des ressources
  
• Chaînes d'attribution de rôles et séquences d'informations d'identification indiquant l'activité de chaînage des rôles
  
• Tentatives visant à désactiver, réduire ou contourner la couverture de la journalisation et de la surveillance
  
• Comportement corrélé entre l'identité, le réseau et cloud qui désigne un seul acteur
  
• Indicateurs tardifs tels que la communication de type « commande et contrôle » ou l'exfiltration de données
  

Limites et idées fausses concernant la détection des menaces AWS

La détection des menaces dans AWS a encore ses limites. Bien qu'elle permette d'identifier les comportements suspects, la détection des menaces n'empêche pas automatiquement les risques cloud et n'y remédie pas. Cela signifie que les équipes doivent toujours s'appuyer sur des workflows de réponse et le jugement des analystes. Confondre détection et prévention peut créer des angles morts qui retardent la maîtrise des menaces.

Voici quelques idées reçues courantes concernant la détection des menaces :

Comment la Vectra AI prend en charge la détection des menaces AWS grâce à la corrélation des comportements des attaquants

Pour prendre en charge la détection des menaces AWS, il est nécessaire de comprendre le comportement des attaquants à travers les identités, le réseau et cloud comme un continuum unique. La Vectra AI aborde ce problème en corrélant les actions plutôt qu'en traitant les événements AWS comme des alertes isolées, ce qui réduit l'incertitude lorsque les rôles, les identifiants temporaires et l'activité multiservices obscurcissent l'attribution.

Pour plus de clarté, la Vectra AI est conçue pour vous aider en :

• Observer le comportement corrélé des attaquants à travers les identités, les rôles et cloud plutôt que des événements AWS isolés.
  
• Déterminer quelle identité ou quel compte présente le risque le plus élevé en mettant l'accent sur l'urgence et le contexte plutôt que sur le volume.
  
• Réduire le risque d'attribution erronée dans la chaîne des rôles en reliant les activités suspectes à leur auteur initial lorsque cela est possible.
  

Suivez cette visite guidée des attaques AWS pour découvrir comment les identités compromises, le chaînage des rôles, les mouvements latéraux et les activités d'exfiltration s'articulent en une seule progression d'attaque, et comment les équipes peuvent mener l'enquête et réagir avec clarté.