Fermer

décembre 15, 2021

Retour sur l'état de la (in)sécurité du cloud en 2021


Au cours des deux dernières années, les organisations ont considérablement accéléré leur transition vers le cloud. Les équipes informatiques qui n'avaient pas encore commencé ce processus d'ici 2020 ont été relancées par la pandémie mondiale lorsqu'elles se sont soudainement retrouvées dans le besoin de prendre en charge une main-d'œuvre distante. Cette tendance n'a augmenté qu'en 2021, alors que de plus en plus d'entreprises et d'employés ont pris conscience de l'échelle, des performances et de la flexibilité du cloud computing.

Cette transformation s'est accompagnée de son propre ensemble de défis, notamment en matière de sécurité. La sécurité du cloud est sa propre bête : vous ne pouvez pas simplement soulever et déplacer des technologies et des politiques sur site et vous attendre à ce qu'elles fonctionnent, du moins pas bien. Au lieu de cela, il existe un nouvel ensemble de bonnes pratiques à suivre concernant le contrôle d'accès, la surveillance, la gestion de la surface d'attaque, le chiffrement, etc. Malheureusement, de nombreuses organisations sont immatures dans ce domaine, ce qui les rend vulnérables.

L'équipe Zscaler ThreatLabz analyse le plus grand ensemble de données de sécurité au monde, constitué de plus de 200 milliards de transactions quotidiennes sur la plate-forme Zscaler. Chaque année, ThreatLabz compile des statistiques anonymes sur la charge de travail du cloud à partir de ces données pour comprendre l'état actuel de la sécurité du cloud et ses différents défis. Par exemple, l'étude de cette année sur plusieurs milliers de charges de travail dans le cloud montre que par rapport à 2020l'étendue et la prévalence des problèmes de sécurité dans le cloud n'ont fait qu'augmenter.

Principales conclusions

article 12 figure 1 zscaler
  • 71 % n'utilisent pas l'authentification multifacteur pour l'accès au cloud
  • 56 % ne changent pas périodiquement les clés d'accès
  • 92 % n'enregistrent pas l'accès au stockage en nuage, éliminant ainsi la possibilité d'effectuer une analyse médico-légale d'un incident
  • 90 % des organisations ne savent pas qu'elles disposent d'autorisations étendues de lecture-écriture fournies à des fournisseurs tiers

Contrôle d'identité et d'accès

Les fournisseurs de cloud continuent d'ajouter plus de services, et le nombre moyen de droits distincts pour ces services dépassent maintenant les 5 000. Ce volume de droits est devenu extrêmement difficile à gérer à l'aide d'approches traditionnelles de gestion des identités et des accès (IAM) telles que la politique statique et le contrôle d'accès basé sur les rôles (RBAC) et est bien mieux géré par une solution Cloud Infrastructure Entitlements Management (CIEM). Le contrôle d'accès et la gestion des mots de passe en général ont longtemps été des points faibles de la sécurité organisationnelle, ce qui reste vrai dans les environnements cloud.

  • 71 % des comptes cloud n'utilisaient pas l'authentification multifacteur logicielle ou matérielle, contre 63 %. % l'année dernière
  • Plus de 25 % des comptes d'utilisateurs n'avaient pas été connectés depuis plus de 45 jours. Les comptes anciens et inutilisés sont des points d'entrée potentiels dans les comptes cloud. % des clés d'accès n'avaient pas fait l'objet d'une rotation au cours des 90 jours précédents, soit une augmentation de 6 % par rapport à l'année dernière. Cela indique qu'ils ont peut-être reçu des privilèges excessifs, ou que les données ne sont peut-être plus nécessaires
  • 91 % des comptes avaient reçu des autorisations qui n'avaient jamais été utilisées. L'utilisation d'un analyseur d'accès aurait permis d'identifier ces problèmes
  • La majorité des droits accordés sont inutiles ou mal configurés. Plus de 95% des comptes en IaaS utilisent, en moyenne, moins de 3% des droits qui leur sont accordés, ce qui augmente considérablement la surface d'attaque pour les compromissions de compte

Le passage au cloud permet également des paradigmes intéressants en centralisant spécifiquement le contrôle d'accès aux bases de données. Par exemple, 96 % de l'une des bases de données des fournisseurs de cloud public n'utilisait pas l'authentification IAM. Cela aurait permis un accès véritablement sans mot de passe mais authentifié à toutes les bases de données sans qu'il soit nécessaire de gérer des utilisateurs supplémentaires pour chaque base de données. Malheureusement, Zscaler ThreatLabz a observé que la plupart des comptes étaient mal équipés à cette fin car ils n'enregistraient pas suffisamment tout.

  • 92% des comptes n'enregistraient pas l'accès aux comptes au-delà de 90 jours. C'est la même chose que l'année dernière.
  • Les journaux d'accès pour les magasins d'objets tels que S3 et les magasins d'objets blob n'étaient pas activés pour plus de 90 % des compartiments. Il s'agit d'une augmentation de 20 % par rapport à l'année précédente et indique une augmentation des besoins de stockage. À moins que les organisations ne surveillent ces journaux, les accès non autorisés ne peuvent pas être identifiés
  • 54 % des coffres de clés ne tenaient pas de journaux d'accès. Cela laisse les équipes de sécurité aveugles à tout compromis
  • Les données de diagnostic servent d'avertissement précoce contre les problèmes potentiels dans un système. Les diagnostics détaillés n'ont pas été activés pour 89 % des bases de données et des machines virtuelles en 2020. Ce nombre est passé à 75 % cette année, mais nécessite encore des améliorations significatives. et ouvre les instances EC2 aux vulnérabilités SSRF. La version obsolète était toujours activée dans plus de 22 % des instances.
  • L'exposition des ports de gestion sur Internet ouvre un risque de compromission par le biais de vulnérabilités zero-day ou connues dans les services de gestion eux-mêmes. Son incidence a considérablement diminué par rapport à l'année dernière. Seuls 11 % des ports SSH sont exposés à Internet contre 26 % l'année dernière ; 4 % des ports RDP sont exposés cette année, contre 20 % l'année dernière

Stockage et chiffrement

  • Les services de mise en file d'attente et de notification contiennent souvent des informations sensibles avant de les traiter et d'appliquer les mesures de sécurité appropriées. La sensibilité de ceci est souvent négligée. 78 % de ces services manquaient de chiffrement côté serveur. 99% des clés utilisées étaient gérées par un fournisseur de services cloud (CSP). Les CSP présentent également des vulnérabilités, ce qui pourrait entraîner une perte de confidentialité et d'intégrité des données stockées dans les environnements cloud. La vulnérabilité ChaosDB dans Microsoft Azure est un exemple récent
  • 99 % des compartiments de stockage ne nécessitaient pas de chiffrement obligatoire des données au repos ou en transit. Ce risque reste le même que l'an dernier. Cela expose les fichiers stockés dans ces compartiments à une compromission accidentelle en raison d'erreurs
  • Le paramètre « Bloquer l'accès public » sur S3 est une option similaire qui réduit le risque d'exposition publique des fichiers en raison d'erreurs commises par les utilisateurs. 71 % des compartiments n'avaient pas le paramètre activé cette année, ce qui représente une réduction de 7 % sur l'année. Il s'agit d'une augmentation de 7 % par rapport à l'an dernier. Le stockage Azure est un exemple d'activation du chiffrement de disque par défaut

Cloud Ransomware

Les environnements cloud ne sont pas à l'abri des attaques de logiciels malveillants et de ransomware. Les acteurs de la menace continuent de faire évoluer leurs logiciels malveillants pour cibler les environnements cloud et les données qui y sont stockées plus efficacement. Les moyens les plus courants pour les attaquants d'infiltrer les entreprises sont de tirer parti d'un faux pas ou d'une mauvaise configuration, comme un actif mal configuré, en exploitant des mots de passe faibles ou en exploitant des contrôles de politique insuffisants. Ce sont des problèmes de sécurité du cloud omniprésents – ainsi, les services basés sur le cloud sont des cibles attrayantes pour les pirates qui souhaitent voler ou chiffrer des données.

  1. La planification BCP/DR est essentielle pour se remettre de ce type d'attaques. Bien que des mesures préventives puissent être prises, cela agit comme une assurance en cas d'attaque. Les services cloud rendent extrêmement facile la sauvegarde et la récupération des actifs et des données
  2. La plupart des ransomwares les plus récents cryptent les données et menacent d'exfiltrer et de libérer les données. Cela peut être annulé en choisissant de crypter toutes les données au repos. Cela rend les données exfiltrées inutiles pour l'adversaire
  3. Patching. En plus de tirer parti des mauvaises configurations, la plupart des logiciels malveillants sont capables de s'installer en raison de vulnérabilités non corrigées. Le choix de services cloud pour lesquels la responsabilité partagée de l'application des correctifs incombe au CSP élimine ce vecteur de menace dans les services cloud.
  4. Lors d'une attaque de malware, la vitesse de réponse est d'une importance primordiale. Cela signifie la possibilité de collecter des journaux de toutes les sources, de les surveiller et de répondre automatiquement aux événements critiques avant qu'ils n'aient eu la chance d'infliger des dommages

Supplier Chain Attacks in Cloud

Les environnements cloud présentent un risque accru d'approvisionnement attaque en chaîne et peut même entraîner des risques de non-conformité. Les données montrent que seulement 4 % des organisations n'ont pas d'applications tierces dans leur environnement. Cela signifie que le risque d'exposition excessive est une préoccupation pour presque toutes les organisations gérées par le cloud. Les équipes de sécurité doivent se concentrer sur la minimisation des risques liés aux tiers dans un environnement cloud, car cela permet une attaque de la chaîne d'approvisionnement. La réduction des autorisations fournies aux tiers devrait être une priorité absolue et une responsabilité partagée entre les clients et les fournisseurs.

  1. 15 % des fournisseurs reçoivent des autorisations d'écriture étendues qui leur permettent de modifier les ressources cloud actives. Dans la plupart des cas, l'accès aurait pu être restreint
  2. Plus de 90 % des organisations ne savaient pas qu'elles disposaient d'autorisations étendues de lecture-écriture fournies à des fournisseurs tiers

Recommandations

  1. Utilisez l'accès réseau sans confiance (ZTNA) pour sécuriser l'accès des utilisateurs aux applications cloud. La transformation d'un environnement de travail de bureau en un environnement de travail sécurisé depuis n'importe où ne peut pas se produire en adaptant les mêmes relations de confiance. Les entreprises doivent s'adapter au ZTNA, où l'accès aux applications n'est autorisé qu'aux utilisateurs autorisés. Zscaler Private Access (ZPA) peut vous aider à obtenir une confiance zéro en éliminant les surfaces d'attaque externes et les risques de propagation latérale. ZPA cache les applications derrière un proxy natif du cloud et négocie les connexions 1:1 entre les utilisateurs et les applications pour ne pas exposer le réseau
  2. Utilisez la confiance zéro pour les charges de travail cloud. La transformation vers le cloud des centres de données hérités vers des environnements cloud distribués à l'échelle mondiale fait face à des défis similaires. Les entreprises devraient étendre la confiance zéro au cloud comme elles le font avec les gens. Cette confiance peut être aussi large que la communication entre les VPC et aussi granulaire que la communication entre les applications. Les produits Zscaler tels que Zscaler Cloud Connector et Zscaler Workload Segmentations peuvent aider à résoudre ces problèmes
  3. Consigner et surveiller l'accès et le trafic. Outre le maintien de la visibilité dans le cadre d'un déploiement zéro confiance, les activités de réponse aux incidents nécessitent une journalisation complète de tous les actifs et services
  4. Assurez-vous de la configuration et de la maintenance de votre environnement. Alors que les environnements cloud sont couverts par une responsabilité partagée de la sécurité avec le fournisseur de services, la configuration appropriée de ces environnements est de la responsabilité des consommateurs de services cloud. Un service de gestion de posture de sécurité dans le cloud peut aider à identifier les erreurs de configuration, et couplé à Cloud Infrastructure Entitlement Management, il peut être utilisé pour identifier les problèmes d'autorisation et agir comme une progression logique à partir de longs -des solutions établies de gestion des identités et des accès (IAM) et de gestion des accès aux privilèges (PAM) basées sur des approches de moindre privilège

Conclusion

L'utilisation des clouds publics est en augmentation, tout comme les attaques qui les ciblent. Mais cela ne signifie pas que les clouds publics sont risqués et que les organisations doivent s'en tenir à l'écart. ThreatLabz a découvert que le facteur le plus important dans les cyberattaques les plus réussies sur les instances de cloud public est les mauvaises configurations de sécurité plutôt que les vulnérabilités sous-jacentes de ces infrastructures.

La pandémie a accéléré le passage à une main-d'œuvre distribuée et à des applications distribuées. Alors que les risques liés à ceux-ci augmentent et que les attaques qui les exploitent augmentent, les entreprises devraient accorder une attention et un examen supplémentaires à leur cloud public et se concentrer sur l'adaptation de leur état d'esprit pour sécuriser une charge de travail distribuée.

Le meilleur outil 2023 pour ta croissance Instagram !



Source link