Briefing exécutif : rapport sur les menaces cloud de l’unité 42

L’unité 42 est l’équipe de renommée mondiale de Palo Alto Networks en matière de renseignement sur les menaces et de conseil en sécurité.

Le titre clé du dernier rapport Unit 42 Cloud Threat Report ne concerne pas les attaques les plus sophistiquées. C’est que presque toutes les organisations que nous avons analysées ne disposent pas des contrôles appropriés pour assurer la sécurité de leurs ressources cloud.

Le terme pour cela dans la sécurité du cloud est gestion des identités et des accès (IAM), et il fait référence aux politiques qui définissent qui est autorisé à faire quoi dans un environnement cloud. Une pratique exemplaire fondamentale pour des politiques comme celle-ci consiste à appliquer accès au moindre privilège – s’assurer que chaque utilisateur ou groupe dispose de l’accès minimum requis pour exécuter les fonctions nécessaires. Cela permet de minimiser les dommages qu’un attaquant peut causer en cas de compromission, car l’attaquant n’aura accès qu’aux informations et capacités limitées de cette ressource cloud compromise.

Malheureusement, nous avons trouvé une situation différente lorsque nous avons étudié la façon dont les organisations gèrent l’accès à leurs environnements cloud. Nous avons analysé plus de 680 000 identités sur 18 000 comptes cloud de 200 organisations différentes et avons constaté que un pourcentage stupéfiant de 99 % des utilisateurs du cloud, les rôles, les services et les ressources ont reçu des autorisations excessives. Cela est important car la majorité des incidents cloud connus commencent par une stratégie IAM mal configurée ou une fuite d’informations d’identification.

Quel impact les politiques IAM laxistes pourraient-elles avoir sur vous ?

Tout au long de la pandémie, de nombreuses organisations se sont déplacées des quantités importantes de données et d’opérations commerciales dans le cloud. Nous avons constaté que 69 % des organisations hébergent désormais plus de la moitié de leurs charges de travail dans le cloud, contre seulement 31 % en 2020.

Cela fait du cloud une cible plus tentante pour les adversaires qui cherchent, par exemple, à voler des données sensibles, livrer des rançongiciels ou profiter de ressources informatiques qui ne leur appartiennent pas. Bien que des attaques sophistiquées sur les ressources cloud soient possibles, les attaquants n’ont pas besoin d’aller aussi loin pour atteindre leurs objectifs lorsque les organisations autorisent des autorisations excessives et des politiques trop permissives. Si votre organisation ne suit pas les meilleures pratiques pour les autorisations IAM dans le cloud, vous pourriez faciliter le travail d’un attaquant.

Améliorer la sécurité du cloud : recommandations

Votre sécurité doit être aussi native dans le cloud que les applications que vous y exécutez. Les RSSI devraient examiner Plate-forme de protection des applications natives dans le cloud (CNAPP) intégration de la suite. Cela peut aider à intégrer des fonctions de sécurité disparates dans une interface utilisateur unique, toutes adaptées à la sécurité du cloud.

Votre équipe de sécurité doit également renforcer les autorisations IAM. Notre récent Rapport sur les menaces cloud comprend un guide des meilleures pratiques en huit étapes qui pourrait vous aider.

Enfin, comme c’est souvent le cas dans la cybersécurité aujourd’hui, une surabondance d’alertes est susceptible de gêner votre équipe de sécurité et de réduire son efficacité. Examinez les outils et les flux de travail que vous pouvez déployer pour accroître l’automatisation de la sécurité, permettant à votre équipe de respirer pour obtenir la bonne posture de sécurité globale, plutôt que d’être coincé à répondre à une alerte après l’autre.

Vous voulez en savoir plus ? Télécharger le rapport complet ici: Unité 42 Cloud Threat Report, vol 6