Piratage des environnements cloud : pourquoi le sujet doit intéresser toutes les organisations?

matrix-1735640_1920

Alors que les cybercriminels continuent de chercher des moyens d’infiltrer les entreprises d’aujourd’hui sans qu’elles se méfient, un nouveau rapport d’IBM Security X-Force met en lumière les principales tactiques des cybercriminels, les portes ouvertes que les utilisateurs leur laissent et le marché florissant des ressources Cloud volées sur le dark web. Reste qu’une bonne configuration des applications, des bases de données et des politiques aurait pu empêcher deux tiers des violations d’environnements Cloud observées par IBM dans ce fameux rapport.

Le rapport X-Force 2021 d’IBM sur le paysage des menaces de sécurité dans le Cloud a permis de mettre en évidence plusieurs points importants pour les organisations :

  • L’importance d’une bonne configuration. Pour deux des trois environnements Clouds étudiés ayant subi une violation, cette dernière était due à une interface de programmation d’applications (API) mal configurée. Les intervenants de l’équipe X-Force de réponse aux incidents ont également observé des machines virtuelles dont les paramètres de sécurité par défaut étaient exposés par erreur à Internet, notamment des plateformes mal configurées et des contrôles réseau insuffisamment appliqués.
  • Le non-respect des règles conduit à la compromission. L’équipe X-Force Red a constaté des violations des mots de passe et des politiques dans la grande majorité des tests de pénétration du Cloud réalisés au cours de l’année écoulée. L’équipe a également observé une augmentation significative de la gravité des vulnérabilités dans les applications déployées dans le Cloud, tandis que le nombre de vulnérabilités décelées dans les applications déployées dans le Cloud a bondi de 150 % au cours des cinq dernières années.
  • Vers un accès automatisé pour les cybercriminels. Avec près de 30 000 comptes Cloud compromis en vente à prix cassés sur les places de marché du dark web et le protocole Remote Desktop (protocole de bureau à distance) représentant 70 % des ressources Cloud en vente, les cybercriminels disposent d’options clés en main pour automatiser davantage leur accès aux environnements Cloud.

Les mineurs de cryptomonnaies et les ransomwares restent les logiciels malveillants les plus répandus dans les environnements Cloud, représentant plus de 50 % des compromissions de systèmes détectées, selon les données analysées.

La modernisation n’est autre que le nouveau pare-feu

Ce rapport 2021 révèlent également que les entreprises peinent à surveiller les environnements Cloud aujourd’hui et à détecter les menaces liées à ces derniers. Cela a contribué à faire pivoter les acteurs de la menace des environnements en local vers les environnements Cloud, ce qui en fait l’un des vecteurs d’infection ciblant les environnements Cloud les plus fréquemment observés – représentant 23 % des incidents auxquels IBM a répondu en 2020.

Les actifs mal configurés constituent un autre vecteur d’infection important que nous avons identifié. Deux tiers des incidents étudiés concernaient des APIs mal configurées. Les APIs dépourvues de contrôles d’authentification peuvent permettre à quiconque, y compris les acteurs malveillants, d’accéder à des informations potentiellement sensibles. D’un autre côté, les APIs auxquelles on accorde l’accès à trop de données peuvent également entraîner des divulgations involontaires.

Par ailleurs, de nombreuses entreprises n’ont pas le même niveau de confiance et d’expertise lors de la configuration des contrôles de sécurité dans les environnements de Cloud computing que dans les environnements en local, ce qui conduit à un environnement de sécurité fragmenté, plus complexe et difficile à gérer. Les entreprises doivent gérer leur infrastructure distribuée comme un seul et même environnement pour éliminer la complexité et obtenir une meilleure visibilité du réseau, du Cloud à la périphérie (au edge) et inversement. En modernisant leurs applications critiques, les équipes de sécurité pourront non seulement récupérer plus rapidement les données, mais elles disposeront également d’une vision beaucoup plus globale des menaces qui pèsent sur leur organisation, ce qui leur permettra de réagir plus rapidement.

Des attaquants qui gardent le cap

Il est de plus en plus évident que la notion de périmètre s’efface et les conclusions du rapport ne font qu’ajouter à ce corpus de données. C’est pourquoi l’adoption d’une approche Zero Trust gagne en popularité et en urgence. Elle supprime l’élément de surprise et permet aux équipes de sécurité d’anticiper tout manque de préparation à la réponse. En appliquant ce cadre, les organisations peuvent mieux protéger leur infrastructure de Cloud hybride, en leur permettant de contrôler tous les accès à leurs environnements et de surveiller l’activité liée au Cloud et les configurations appropriées. De cette façon, les organisations peuvent passer à l’offensive avec leur défense, en détectant les comportements à risque et en appliquant des contrôles liés à la réglementation en matière de confidentialité et des accès à privilège moindre.

« Nos recherches suggèrent que deux tiers des violations étudiées dans les environnements Cloud auraient probablement été évitées par un renforcement important des systèmes, comme la mise en œuvre correcte des politiques de sécurité et des correctifs », indique IBM Security X-Force.

Le Shadow IT, c’est-à-dire les instances ou ressources Cloud qui ne sont pas passées par les canaux officiels d’une organisation, indique que de nombreuses organisations ne respectent pas les normes de sécurité de base actuelles. En fait, X-Force estime que l’utilisation du shadow IT a contribué à plus de 50 % des expositions de données étudiées. Le rapport révèle également que la grande majorité des tests de pénétration de l’équipe dans divers environnements Cloud ont montré des problèmes liés aux mots de passe ou au respect des politiques.

Les marchés aux puces du Dark Web vendent des accès au Cloud

Les ressources Cloud offrent aux cyberacteurs de nombreux accès aux entreprises, attirant l’attention sur les dizaines de milliers de comptes Cloud disponibles à la vente sur des marchés illicites à prix cassés. Le rapport révèle que près de 30 000 comptes Cloud compromis sont exposés sur le dark web, avec des offres de vente allant de quelques dollars à plus de 15 000 dollars (en fonction de la géographie, du montant du crédit sur le compte et du niveau d’accès au compte) et des politiques de remboursement alléchantes pour influencer le pouvoir d’achat des clients.

Mais ce n’est pas le seul « outil » Cloud en vente sur les marchés du dark web. Notre analyse souligne que le protocole de bureau à distance (RDP : Remote Desktop Protocol) représente plus de 70 % des ressources Cloud à vendre – une méthode d’accès à distance qui dépasse largement tout autre vecteur commercialisé. Si les places de marché illicites constituent un terrain d’achat idéal pour les acteurs de la menace à la recherche de moyens pour pirater le Cloud, ce qui nous préoccupe le plus, c’est la persistance d’un modèle dans lequel les contrôles et protocoles de sécurité faibles – des formes de vulnérabilité évitables – sont exploités de manière répétée pour des accès illicites.

Source : InfoDSI, consulter l’article original

le clusis