Dans la plupart des cas, les techniques d'attaques sur le cloud ciblent les données et les droits d'accès dont elles exploitent les mauvaises configurations. Active Directory demeure une cible de choix, ainsi que les environnements mal protégés sur site, permettant la compromission des actifs cloud en un seul saut.
Clé de votre réseau, responsable de la connexion des utilisateurs aux ressources du réseau, Active Directory demeure une cible de choix pour les attaquants.
En fait, 80 % de toutes les failles de sécurité identifiées par les organisations proviennent de mauvaises configurations ou de faiblesses d'Active Directory.
Plus inquiétant encore, un tiers de toutes les vulnérabilités des actifs critiques peuvent être attribuées à des problèmes d'identité et d'authentification dans AD.
Un attaquant qui a compromis un compte AD peut l'utiliser pour élever ses privilèges, dissimuler des activités malveillantes dans le réseau, exécuter un code malveillant et même accéder à l'environnement cloud.
Bon nombre de ces risques découlent de la nature inhérente des problèmes de configuration dynamique d'Active Directory, ainsi que de la difficulté de maintenir cette configuration à jour. Par exemple, les problèmes liés à la gestion des membres et à la réinitialisation des mots de passe.
Active Directory offre la plus grande surface d'attaque, mais la plus grande part d’exposition aux actifs critiques se trouve dans le cloud, et depuis une attaque sur site.
Dans la plupart des cas, les attaquants peuvent s'infiltrer dans les systèmes sur site, exploitant les vulnérabilités d'une mauvaise configuration et ensuite passer à l'environnement Cloud. Une fois dans cloud, ils peuvent potentiellement compromettre 93 % des actifs critiques en seulement deux sauts.
Les réseaux d'entreprise mal protégés ou mal configurés sont souvent le point de départ d'une exposition aux risques, surtout dans le domaine financier. Les VMs publiques sont également des sources d'exposition.
62% des actifs critiques cloud peuvent être compromis en un seul saut du point d'intrusion dans les réseaux sur site. Après avoir obtenu un accès initial à un environnement Cloud, les attaquants peuvent compromettre 88 % des actifs critiques en un seul saut.
Les techniques d'attaque associées aux identifiants locaux constituent un grave problème à l'origine des expositions critiques. (Comptes communs ou partagés, créés localement sur plusieurs appareils, entraînant un risque élevé de compromission)
Les solutions EDR sont efficaces mais souvent mal déployées. De plus en plus d'attaques outre passent ces solutions.
Les techniques d'attaques diffèrent entre les principales plateformes de cloud Amazon AWS, Microsoft Azure et GCP de Google
La plupart des techniques d'attaques dans le Cloud ciblent les informations d'identification et les privilèges d'accès. Bien que chaque fournisseur de service de cloud computing possède ses propres structure en matière d'identité, d'informations d'identification et de droits d'accès, ils souffrent tous de problèmes de mauvaise configuration.
AWS: Vulnérabilités et attaques liées à la mise à jour de la politique des rôles (impersonation role policy) qui permet à un utilisateur malveillant d’agir au nom d’un autre compte (8,6 % des attaques) suivie de l’escalade de privilèges (8,1 %) et de la modification des données utilisateurs des instances EC2 (7%)
MS Azure: Attaques liées à la gestion des rôles et notamment l’ajout non autorisé de nouveaux rôles (utilisateurs, groupes, services) pour accéder aux ressources (21 %), suivie par les attaques de type compromission du service Graph role compromise (19 %) et des attaques liées aux identités des membres de groupe Azure (16%).
Google Cloud platform: Les attaques ciblent d’abord la définition des politiques IAM (10%) suivies de la gestion de comptes par délégation (6%) Pour une analyse détaillée de la posture de sécurité de votre fournisseur cloud, réservez votre session en ligne.
Komentáře