La menace de l’usurpation d’identité des fournisseurs de services cloud
Pour bon nombre d’entreprises, les services cloud sont devenus un pilier essentiel de leurs opérations informatiques, à mesure qu’elles optent pour des stratégies multicloud et hybrides afin d’accroître leur efficacité et leur agilité.
Les cybercriminels continuent de se tourner vers le cloud également, mais dans le but d’exploiter les capacités des fournisseurs de services cloud pour compromettre les environnements des entreprises. Tandis que les entreprises intègrent des services cloud pour faciliter la collaboration et leurs processus métiers, ces mêmes services sont de plus en plus détournés par des cybercriminels afin de réaliser des opérations nuisibles dans les réseaux informatiques. Cette tendance devrait persister à court terme, car de plus en plus d’entreprises sont à la recherche d’environnements de travail hybrides.
Vecteurs d’attaque courants dans le cloud
Les vecteurs d’attaque courants dans le cloud utilisés par les cybercriminels et les intrusions ciblées sont les suivants :
Attaque par déni de service distribué (DDoS)
Une attaque par déni de service distribué (DDoS) survient lorsqu’un cyberattaquant inonde un serveur web, un système ou un réseau avec un surplus de trafic, ce qui complique, voire rend impossible, l’accès aux ressources informatiques pour les utilisateurs légitimes. Les cybercriminels sont réputés pour exploiter les comptes cloud détournés ou les périodes d’essai gratuites des utilisateurs afin de perpétrer ce type d’attaque.
Tentatives de phishing
Les cybercriminels utilisent le phishing pour voler les identifiants des utilisateurs de services cloud, dans le but de prendre le contrôle de ces comptes et de les exploiter à des fins malveillantes.
E-mails de spam
Les spammeurs utilisent une infrastructure cloud pour envoyer en masse leurs messages. Ces pirates profitent des services cloud en exploitant leur fiabilité et leur bande passante pour les aider dans leurs opérations.
cryptopiratage
Dans le cas du cryptopiratage, les cyberattaquants utilisent la puissance de calcul d’une victime pour miner de la cryptomonnaie. Si un cyberattaquant parvient à accéder aux ressources cloud d’une organisation, il pourra exploiter ces ressources et les utiliser pour des opérations de minage.
Attaque par force brute
Les attaques par force brute sont une méthode de compromission des comptes d’utilisateurs dans laquelle un cybercriminel procède par essais et erreurs pour deviner le mot de passe ou les identifiants de connexion d’un utilisateur. Les formes courantes comprennent les attaques par dictionnaire et « credential stuffing » (recyclage d’identifiants).
Hébergement de contenu malveillant
Une fois les services cloud compromis, ceux-ci peuvent être utilisés pour héberger des contenus malveillants, notamment des pages de phishing ou des robots spammeurs. Cette méthode présente l’avantage supplémentaire de compliquer le blocage de ce genre de contenu, car les cybercriminels utilisent des marques de confiance, leur permettant ainsi de camoufler le contenu nuisible parmi des éléments légitimes.
Utilisateurs internes malintentionnés
Les cybercriminels internes représentent un risque, car ils peuvent utiliser leur accès aux ressources cloud pour tirer parti de ces actifs afin de lancer des attaques.
Comment l’usurpation de l’identité des fournisseurs de services cloud fonctionne
Chez CrowdStrike, les chercheurs en cybermenaces surveillent de près le cloud à la recherche d’activités malveillantes, et les cyberattaquants continuent d’adopter des tactiques pour améliorer leur furtivité et leur efficacité. Les cybercriminels peuvent plus facilement échapper à la détection en exploitant la relation de confiance entre les utilisateurs, les fournisseurs et les réseaux.
Les cyberadversaires tirent aussi profit des relations de confiance des fournisseurs pour accéder à d’autres cibles par un déplacement latéral depuis les ressources d’authentification de l’entreprise hébergées dans l’infrastructure cloud. Lorsqu’un cyberadversaire parvient à élever ses privilèges au niveau administrateur global, il lui est facile de basculer entre des tenants du cloud liés pour élargir son accès.
Ce problème est tout particulièrement grave si la cible initiale est un fournisseur de services managés (MSP). Dans ce cas, l’accès administrateur global peut être utilisé pour prendre le contrôle des comptes de support utilisés par le fournisseur MSP pour apporter des modifications aux réseaux de ses clients, ouvrant ainsi la porte à une propagation verticale vers de nombreux autres réseaux. Cette technique a été utilisée par le cybercriminel COZY BEAR (un pirate affilié à la Russie) tout au long de l’année 2020, avec des preuves d’intrusion continue dans les réseaux des MSP se poursuivant en 2021.
VOICI CE QUE VOUS POUVEZ FAIRE POUR PROTÉGER VOTRE ENVIRONNEMENT CLOUD
Comme pour les environnements sur site, les équipes de sécurité qui connaissent les outils et les tactiques des cyberattaquants ont plus de chances d’identifier et d’arrêter les cybermenaces plus rapidement. Les équipes de sécurité doivent tenir compte des points suivants pour rester alignées sur les bonnes pratiques.
Surveillez les identités et leur utilisation
Pour protéger les environnements cloud, concentrez-vous sur les identités, en particulier en renforçant la sécurité des comptes utilisateurs avec des mots de passe forts et une authentification multifacteur (MFA), tout en les surveillant pour détecter toute activité suspecte.
Identifiez les ressources les plus importantes et surveillez-les pour détecter les communications sortantes et les exfiltrations.
Les organisations ont besoin de visibilité sur les environnements cloud pour pouvoir repérer tout signe de compromission. Les connexions sortantes doivent être passées au peigne fin pour repérer les communications inhabituelles.
Sensibilisez le SOC (Security Operations Center) à la sécurité du cloud
De nombreux analystes du SOC et autres intervenants en cas d’incident n’ont pas d’expertise dans les technologies cloud. Investissez dans leur formation, car il est crucial que l’équipe du SOC comprenne les outils et l’infrastructure du cloud.
Développez des plans de réponse aux incidents alignés sur le modèle de responsabilité partagée
Les entreprises doivent élaborer des stratégies spécifiant à la fois la manière dont les cybermenaces doivent être gérées et quelles entités se doivent de répondre à ces menaces et de les résoudre. Les technologies d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) sont essentielles, car elles permettent aux entreprises de collecter des données liées aux cybermenaces et d’automatiser la réponse.
Concentrez la chasse aux cybermenaces dans le cloud sur les indicateurs d’attaque (IOA)
Encore une fois, la connaissance donne le pouvoir. Les entreprises doivent tirer parti des derniers renseignements sur les cybermenaces pour ne pas se laisser distancer par les cyberattaquants et améliorer leur capacité à détecter les risques auxquels elles sont confrontées et à y répondre. CrowdStrike Falcon Cloud Security propose une sécurité cloud native, compatible avec toutes les plateformes cloud. Grâce à des renseignements complets et à une protection de bout en bout allant de l’hôte au cloud, cette solution assure une visibilité améliorée, une conformité accrue, ainsi qu’une détection et une réaction aux cybermenaces parmi les plus rapides du marché. Elle vous permet ainsi de devancer les cyberadversaires.
Rapport 2023 sur les risques liés au cloud
Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu’en 2024.
Télécharger