De plus en plus d’entreprises répartissent leurs charges de travail entre AWS, Microsoft, Google et d’autres fournisseurs cloud, afin d’éviter de dépendre d’un seul fournisseur et de renforcer la résilience de leurs processus opérationnels essentiels. Cette tendance au multi-cloud ne fait qu’aggraver les défis auxquels sont confrontées les équipes de sécurité déjà sous pression. Les interdépendances complexes entre les composants du cloud augmentent la surface d’attaque, tandis que la visibilité sur l’infrastructure globale diminue.
Les outils de sécurité traditionnels ne sont pas adaptés
Nombreuses sont les solutions de sécurité qui n’ont pas été conçues pour fonctionner avec la flexibilité et la complexité du multi-cloud moderne. Cela se ressent aujourd’hui de plusieurs manières : les solutions ponctuelles, isolées, ont une vision limitée à leur périmètre et génèrent des silos ; elles nécessitent de jongler entre plusieurs plateformes, ce qui consomme plus de ressources sans offrir plus de visibilité ; enfin, de l’absence de contexte découle une avalanche d’alertes décorrélées les unes des autres, et présentées sans hiérarchisation.
Par ailleurs, la définition de règles, qui s’est imposée comme la clé de voûte de la sécurité informatique depuis des décennies, ne peut fonctionner dans les environnements cloud. Parce qu’ils sont dynamiques, ils nécessitent en effet une adaptation permanente de ces ensembles de règles rigides. C’est pourquoi les approches traditionnelles de la sécurité ont des difficultés avec certaines activités du cloud. Les systèmes de détection d’intrusion sur le réseau, par exemple, ne détectent pas le trafic entre les conteneurs d’une même instance. Les micro-services, les caches de données et les adresses IP temporaires, qui ne sont actifs que quelques minutes avant de disparaître, constituent un autre problème.
Une protection sans règles grâce au machine learning
Une nouvelle génération de solutions de sécurité cloud-native vient aujourd’hui répondre à la complexité du cloud et du multi-cloud grâce au machine learning et à l’intelligence artificielle. En matière de machine learning, deux approches existent : l’approche heuristique et l’approche comportementale. La distinction n’est pas toujours très claire et les solutions de sécurité avec machine learning disponibles aujourd’hui présentent souvent un mix des deux.
La majorité d’entre elles tendent toutefois clairement vers l’heuristique. Cette approche recherche des modèles similaires aux attaques d’ores et déjà identifiées, et rassemble des connaissances pour des événements comparables à l’avenir. Cette méthode est particulièrement efficace pour les variants connus. Mais lorsque des menaces Zero Day totalement inconnues apparaissent, elle atteint ses limites. Les taux moyens de faux positifs sont acceptables dans des environnements cloud simples, mais posent problème dans des environnements multi-cloud complexes avec plusieurs millions d’événements.
La méthode comportementale utilise une approche différente : ici, l’état normal de chaque environnement multi-cloud est analysé en permanence. Cela inclut les activités de toutes les entités du cloud – utilisateurs, charges de travail, applications, etc. Dans ce contexte, les anomalies ressortent clairement. Qu’une attaque soit déjà connue ou apparaisse pour la première fois n’a pas d’importance. Parce que la technologie a appris ce qu’est un état normal, elle est capable d’identifier les activités régulières et les exclure des menaces. Cela permet de réduire le nombre de faux positifs, même dans les environnements complexes.
Déterminer la normalité
La sécurité du cloud basée sur les comportements nécessite de déterminer avec précision l’état “normal” de chaque environnement. Pour ce faire, elle s’intéresse aux processus, c’est-à-dire la plus petite unité possible prise en charge par le système. Les agents installés sur les systèmes hôtes enregistrent toutes les interactions en temps réel, à tous les niveaux. Un même serveur fait généralement tourner plusieurs applications et conteneurs qui ne se comportent pas de manière identique. Pour obtenir une base de référence plus précise, la surveillance des processus différencie les comportements et distingue également le trafic interactif (initié par les utilisateurs) du trafic non interactif (initié par les applications).
Le comportement du trafic d’application à application peut être très bien prédit et ne change pas lorsque les applications sont mises à l’échelle automatiquement dans le cloud. Le comportement des utilisateurs, en revanche, est plus difficile à prévoir. C’est pourquoi les activités sont regroupées par catégories, par exemple la communication entre applications, la communication entre machines, les changements de privilèges ou encore le comportement des initiés (les utilisateurs humains). L’accent n’est ici pas mis sur l’analyse d’entités individuelles. La surveillance des processus collecte des données provenant de milliers de machines, de processus, d’utilisateurs et de conteneurs, mais les regroupe en fonction de leur comportement. L’analyse ne se fait pas au niveau du système hôte, mais du centre de données.
La surveillance des processus basée sur le comportement compare le comportement actuel d’une entité avec le comportement connu de cette même entité au fil du temps, et avec le comportement du groupe d’entités comparables. Par conséquent, la surveillance ne génère pas d’alarmes détaillées et fragmentées par charge de travail ou application, mais par groupe d’analyse. Cela réduit considérablement le nombre d’alarmes.
Les règles font qu’il est difficile pour les responsables de la sécurité de détecter des activités suspectes mais pas fondamentalement interdites. Si, par exemple, des attaquants utilisent des informations d’identification d’utilisateurs légitimes à des fins illégitimes, cela ne peut pas toujours être détecté par des règles. La sécurité comportementale, quant à elle, apprend comment un utilisateur agit normalement. Si un accès se produit à un moment inhabituel, après une longue période d’inactivité, à de nouvelles ressources ou à partir d’une machine inconnue, la surveillance des processus déclenche une alarme fiable sur la base de ces anomalies.
Les entreprises ne se débarrassent pas facilement des outils et des modes de pensée établis de longue date. Mais dans le domaine de la sécurité informatique, le « business as usual » ne semble plus guère possible : le cloud hybride, le multi-cloud, les conteneurs et l’informatique sans serveur ont fondamentalement changé les infrastructures en peu de temps, et le rythme s’accélère encore. Les fournisseurs de solutions ne pourront pas indéfiniment transposer leurs anciennes approches de la sécurité à ces environnements dynamiques.
___________________
Par Philippe Van Hove, VP EMEA South & Central de Lacework