Pourquoi votre sécurité cloud ne la coupe-t-elle pas et que faire?

L'enquête 2019 sur la sécurité dans le cloud du SANS Institute donne à réfléchir (vous devez vous inscrire pour pouvoir le lire gratuitement). Rédigé par Dave Shackleford en avril 2019, le rapport expose des faits et des chiffres décevants. Par exemple, on pourrait penser qu'après tous les récents rapports de violation, nous serions mieux en mesure de protéger nos ressources cloud. Mais non seulement nous en sommes encore assez mal, le gros problème n’est même pas la technologie. Ce sont toujours des gens. Une indication claire de cela apparaît dans la liste des principaux types d'attaques du rapport, à commencer par le piratage de compte ou de données d'identification et par la deuxième raison de mauvaise configuration des services et des ressources en nuage.

"Le piratage des données d'identification est une méthode d'accès éprouvée, car vous attaquez des personnes", a déclaré Mike Sprunger, directeur principal du groupe de conseil en sécurité chez Insight Enterprises. "Les gens resteront toujours le maillon faible, car c'est là que vous abordez de nombreux problèmes d'ingénierie sociale traditionnels, tels que les appels au service d'assistance, l'hameçonnage et le harponnage."

Bien sûr, les informations d'identification peuvent être volées de nombreuses façons, le phishing étant tout simplement le dernier en date et, dans certains cas, le plus difficile à gérer. Toutefois, les informations d'identification peuvent également être collectées à partir de données provenant d'autres violations, simplement parce que les utilisateurs réutilisent les mêmes informations d'identification dans la mesure de leurs moyens, de manière à ne pas s'en souvenir plus que nécessaire. En outre, la pratique ancestrale consistant à écrire des informations de connexion sur des notes autocollantes et à les coller à côté d'un clavier est toujours d'actualité.

La mauvaise configuration des services en nuage est un autre domaine dans lequel les personnes constituent le point faible. La différence ici est que les gens vont mettre en place un service cloud sans avoir la moindre idée de ce qu'ils font, puis ils vont l'utiliser pour stocker des données sans les protéger.

"Premièrement, dans l'adoption du nuage, il est tellement difficile de créer un nuage qu'il existe des attentes irréalistes", a expliqué Sprunger. "Les gens font des erreurs, et ce que vous devez faire pour définir la sécurité autour des conteneurs n'est pas vraiment clair."

L'imprécision en sécurité n'est pas bonne

Une partie du problème réside dans le fait que les fournisseurs de services cloud n’expliquent pas suffisamment le fonctionnement de leurs options de sécurité (comme je l’ai découvert lors de l’examen récent de solutions Infrastructure-as-a-Service ou IaaS). Vous devez donc deviner ou appeler le vendeur de l'aide. Par exemple, avec de nombreux services de cloud computing, vous pouvez activer un pare-feu. Mais trouver comment le configurer une fois lancé peut ne pas être expliqué clairement. Du tout.

Ce problème est si grave que Shackleford, l'auteur du rapport SANS, commence le rapport par une liste de compartiments non protégés Amazon S3 qui ont entraîné des violations. "Si l'on en croit les chiffres, 7% des seaux S3 sont largement ouverts sur le monde", a-t-il écrit, "et 35% n'utilisent pas le cryptage (intégré au service)". Amazon S3 est une excellente plate-forme de stockage, comme le prouvent nos tests. Des problèmes comme ceux-ci découlent simplement de la mauvaise configuration du service par les utilisateurs ou de l’ignorance totale de certaines fonctionnalités.

L'abus d'usage privilégié est le suivant sur la liste et c'est un autre problème découlant des personnes. Sprunger a déclaré qu'il s'agissait de plus que de simples employés mécontents, même s'ils incluaient ceux-ci. "Beaucoup de choses qui manquent sont des tiers qui ont un accès privilégié", a-t-il expliqué. "Il est beaucoup plus facile d'accéder à un compte de service. Généralement, il s'agit d'un compte unique avec un mot de passe unique, sans aucune obligation de rendre des comptes."

Les comptes de service sont généralement fournis à des tiers, souvent des fournisseurs ou des sous-traitants, qui ont besoin d'un accès pour fournir une assistance ou un service. C’était un tel compte de service appartenant à un fournisseur de systèmes de chauffage, de ventilation et de climatisation (CVC) qui constituait le point faible qui a conduit à la violation de Target en 2014. "Ces comptes bénéficient généralement de privilèges divins", a déclaré Sprunger, ajoutant qu'ils étaient une cible privilégiée pour les attaquants.

Surmonter les vulnérabilités de sécurité

Alors, que faites-vous de ces vulnérabilités? La réponse courte est la formation, mais c'est plus complexe que cela. Par exemple, les utilisateurs doivent être formés à la recherche d'e-mails de phishing et cette formation doit être suffisamment complète pour reconnaître les signes même les plus subtils de phishing. De plus, il doit inclure les étapes à suivre par les employés s’ils soupçonnent même qu’ils sont témoins d’une telle attaque. Cela inclut la manière de voir où se trouve réellement un lien dans un courrier électronique, mais il doit également inclure des procédures pour rapporter un tel courrier électronique. La formation doit inclure la conviction qu’ils n’auront pas de problèmes pour ne pas avoir suivi les instructions envoyées par courrier électronique qui semblent suspectes.

De même, il est nécessaire de mettre en place un certain niveau de gouvernance d'entreprise afin d'éviter que des employés aléatoires ne se lancent dans la création de leurs propres comptes de service cloud. Cela inclut la surveillance des pièces justificatives des dépenses pour les frais liés aux services en nuage sur les cartes de crédit personnelles. Mais cela signifie également que vous devez dispenser une formation sur la gestion de la disponibilité des services cloud.

Faire face aux abus des utilisateurs privilégiés

Traiter les abus des utilisateurs privilégiés peut également s'avérer difficile, car certains fournisseurs insisteront pour que l'accès soit doté d'un large éventail de droits. Vous pouvez gérer certaines de ces difficultés en segmentant votre réseau de manière à ce que l'accès ne concerne que le service géré. Par exemple, segmentez-le de manière à ce que le contrôleur HVAC se trouve sur son propre segment, et les fournisseurs chargés de la maintenance de ce système auront uniquement accès à cette partie du réseau. Une autre mesure qui pourrait aider à atteindre cet objectif consiste à déployer un système de gestion des identités (IDM) robuste, qui permettra non seulement de mieux suivre les comptes, mais également de savoir qui en est titulaire et ses privilèges d'accès. Ces systèmes vous permettront également de suspendre l'accès plus rapidement et fourniront une trace d'audit de l'activité du compte. Et même si vous pouvez dépenser beaucoup d'argent pour un seul, vous pouvez déjà en lancer un si vous êtes un magasin Windows Server avec une arborescence Microsoft Active Directory (AD) activée.

• Les meilleures suites de sécurité pour 2019 Les meilleures suites de sécurité pour 2019
• Les meilleurs fournisseurs de stockage et de partage de fichiers sur le cloud professionnel pour 2019 Les meilleurs fournisseurs de stockage et de partage de fichiers sur le cloud professionnel pour 2019
• Les meilleurs services de sauvegarde sur le cloud pour entreprises en 2019 Les meilleurs services de sauvegarde sur le cloud pour entreprises en 2019

Vous devrez peut-être également vous assurer que les fournisseurs ont un accès avec le moins de privilèges afin que leurs comptes ne leur octroient que des droits sur le logiciel ou l'appareil qu'ils gèrent et rien d'autre - une autre utilisation intéressante d'un système IDM. Vous pouvez leur demander de demander un accès temporaire pour toute autre chose.

Ce ne sont que les principaux éléments d'une liste assez longue de problèmes de sécurité, et il vaut la peine de lire le rapport de l'enquête de sécurité SANS dans son intégralité. Sa liste vous fournira une feuille de route des moyens d’aborder vos vulnérabilités de sécurité et vous aidera à prendre davantage de mesures. Mais en bout de ligne, si vous ne faites rien pour résoudre les problèmes signalés par SANS, votre sécurité dans le cloud sera nulle et vous serez probablement pris au piège d'un vortex d'échec lorsque votre nuage vous mènera à une perte totale. violation.