Les attaquants disposent de deux moyens d'attaque pour compromettre les ressources de cloud : accéder aux systèmes à l'intérieur du périmètre du réseau de l'entreprise, ou compromettre les informations d'identification d'un compte d'administrateur disposant de capacités d'administration à distance ou d'un accès administratif au CSP.
Lorsque la visibilité est disponible dans l'infrastructure cloud , il est beaucoup plus facile de détecter les comportements des attaquants dans les systèmes et services compromis qui fonctionnent clairement en dehors des spécifications attendues.
Cloud modifient les hypothèses fondamentales sur la manière de détecter les menaces et d'y répondre.
L'inventaire très dynamique des charges de travail de cloud signifie que les systèmes vont et viennent en quelques secondes. Lorsque des erreurs de configuration du système sont introduites au cours d'une construction, elles peuvent être exacerbées et amplifiées lorsque l'automatisation reproduit les erreurs sur de nombreuses charges de travail. Le partage des responsabilités avec le fournisseur de services cloud (CSP) crée des lacunes potentielles dans la détection des menaces au cours du cycle de vie de l'attaque.
Sur le site cloud , tout passe par une méthode d'accès aux données API, et les approches traditionnelles de surveillance du flux de trafic ne s'appliquent plus.
Outre les défis liés à la détection et à la réponse aux menaces, le rythme de l'innovation sur le site cloud laisse les entreprises constamment à la traîne. L'intensification de la concurrence signifie que les entreprises se concentrent davantage sur la livraison de fonctionnalités en premier lieu et sur l'externalisation des capacités non essentielles - souvent au détriment de la sécurité de l'information.
L'explosion des services cloud signifie que le concept de périmètre a disparu et que l'utilisation de contrôles périmétriques devient futile. La croissance de nouvelles infrastructures et d'outils de déploiement donne lieu à de nouveaux environnements avec de nouveaux modèles de sécurité et de nouvelles surfaces d'attaque.
Les outils proposés par les FSC sont complexes et encore nouveaux pour de nombreuses entreprises locataires, ce qui entraîne des erreurs de configuration accidentelles. Enfin, la pénurie d'expertise en matière de sécurité s'amplifie avec toutes les nouvelles fonctionnalités et tous les nouveaux services.
Plus important encore, l'introduction de multiples capacités d'accès et de gestion crée une variabilité qui ajoute un risque important aux déploiements de cloud . Il est difficile de gérer, de suivre et d'auditer les actions administratives lorsque les utilisateurs peuvent accéder aux ressources cloud depuis l'intérieur ou l'extérieur de l'environnement de l'entreprise.
Sans une stratégie de gestion des comptes à privilèges bien pensée qui inclut des rôles bien séparés pour obtenir un accès administratif à partir d'endroits approuvés uniquement, les organisations sont susceptibles de faire un usage abusif des informations d'identification et des privilèges administratifs.
Traditionnellement, l'accès à un serveur nécessitait une authentification au périmètre de l'organisation et une surveillance pouvait être mise en œuvre à l'intérieur du réseau privé pour suivre l'accès administratif. Les systèmes de gestion cloud sont accessibles depuis l'internet public via une interface web ou une API. Sans protection appropriée, l'entreprise locataire pourrait immédiatement exposer les joyaux de la couronne.
Les attaquants disposent de deux moyens d'attaque pour compromettre les ressources de cloud .
La première consiste à accéder aux systèmes à l'intérieur du périmètre du réseau de l'entreprise par des moyens traditionnels, suivis d'une reconnaissance et d'une escalade des privilèges jusqu'à un compte administratif ayant accès aux ressources du site cloud .
La seconde consiste à contourner toutes les mesures susmentionnées en compromettant simplement les informations d'identification d'un compte d'administrateur disposant de capacités d'administration à distance ou d'un accès administratif au CSP.
Cette variabilité des modèles d'accès administratif signifie que la surface d'attaque change avec de nouvelles menaces de sécurité via un accès non réglementé aux terminaux utilisés pour gérer les services cloud . Les dispositifs non gérés utilisés pour développer et gérer l'infrastructure exposent les organisations à des vecteurs de menace tels que la navigation sur le web et le courrier électronique.
Lorsque le compte administratif principal est compromis, l'attaquant n'a pas besoin d'escalader les privilèges ou de conserver l'accès au réseau de l'entreprise, car le compte administratif principal peut faire tout cela et plus encore. Comment l'organisation assure-t-elle une surveillance adéquate de l'utilisation abusive des privilèges administratifs du CSP ?
Les organisations doivent revoir la façon dont l'administration du système et la propriété du compte cloud sont gérées. Combien de personnes gèrent le compte principal ?
Le CSP ou l'organisation locataire cloud ? Au départ, cela semble dépendre du problème, mais certains FSC veulent confier cette responsabilité à l'organisme locataire.
Plus important encore, comment une organisation contrôle-t-elle l'existence et l'utilisation abusive d'informations d'identification administratives ? Il incombe au locataire de sécuriser le compte administratif.
Les FSC communiquent clairement sur le caractère critique de la protection et sur le fait qu'il s'agit d'une responsabilité qui incombe au locataire. Les FSC insistent fortement sur les conséquences d'une protection faible ou inexistante. Le manque de visibilité sur l'infrastructure de gestion du CSP signifie que les organisations locataires de cloud doivent identifier l'utilisation abusive de l'accès au CSP dans leur propre environnement lorsqu'il est utilisé comme moyen d'intrusion.
En 2017, la Cloud Security Alliance (CSA) a mené une enquête pour compiler les opinions des professionnels sur ce qu'elle considérait à l'époque comme les problèmes de sécurité les plus urgents dans l'informatique cloud .
Sur les 12 problèmes identifiés, cinq étaient liés à la gestion des informations d'identification et aux méthodes permettant de compromettre ces informations afin d'accéder aux environnements cloud à des fins malveillantes. Ces cinq problèmes, par ordre de gravité selon les résultats de l'enquête, sont les suivants :
Absence de systèmes évolutifs de gestion de l'accès à l'identité, non-utilisation de l'authentification multifactorielle, faiblesse des mots de passe et absence de rotation automatisée permanente des clés cryptographiques, des mots de passe et des certificats.
De l'authentification et du contrôle d'accès au cryptage et à la surveillance des activités, ces interfaces doivent être conçues pour protéger contre les tentatives accidentelles et malveillantes de contournement des politiques.
Les attaquants peuvent écouter les activités et les transactions des utilisateurs, manipuler les données, renvoyer des informations falsifiées et rediriger vos clients vers des sites illégitimes.
Un employé actuel ou ancien, un contractant ou un autre partenaire commercial qui a ou avait un accès autorisé au réseau, aux systèmes ou aux données d'une organisation et qui a intentionnellement outrepassé ou abusé de cet accès d'une manière qui a affecté négativement la confidentialité, l'intégrité ou la disponibilité des informations ou des systèmes d'information de l'organisation.
L'absence de diligence raisonnable expose une entreprise à une myriade de risques commerciaux, financiers, techniques, juridiques et de conformité qui compromettent sa réussite.
La sécurisation des environnements cloud n'est pas une option mais un impératif critique pour les entreprises qui cherchent à protéger leurs données et à maintenir leur résilience opérationnelle. Vectra AI fournit des solutions de sécurité de pointe cloud conçues pour répondre aux besoins uniques des entreprises modernes, de la détection des menaces et de la réponse à la conformité et à la protection des données. Contactez-nous pour découvrir comment notre expertise peut vous aider à naviguer dans les complexités de la sécurité cloud et à garantir que vos actifs cloud sont entièrement protégés.