Réduire le temps nécessaire à la détection, à l’investigation et à la réponse aux menaces est essentiel pour stopper les attaques dans le Cloud. Facile à dire, plus difficile à mettre en œuvre ! Mais le CDR est là…
Les attaques modernes ont fortement évolué pour gagner en rapidité et en agressivité et sont de plus en plus difficiles à contrer. Les attaques dans le Cloud se produisent de façon extrêmement rapide, profitant surtout de l’automatisation pour accéder à des données et des ressources sensibles. Pour les défenseurs, contrer des attaques aussi fulgurantes peut sembler impossible car il ne faut pas plus de 10 minutes aux attaquants pour identifier un exploit et exécuter complètement leur attaque…
Par ailleurs, les attaquants utilisent des techniques nouvelles et inconnues à base d’IA – pour écrire des codes malveillants, créer des malwares, mener des campagnes très ciblées d’ingénierie sociale ou de phishing et même générer des deepfakes vidéo et vocaux très réalistes – qui sont difficiles à anticiper. Ces techniques augmentent la vitesse, l’efficacité et l’ampleur des attaques. Elles amenuisent ainsi les barrières à l’entrée, font voler en éclats les principes de base de l’identité dans la sécurité et permettent aux acteurs malveillants de contourner les défenses initiales.
Dans ce paysage en pleine transformation, la prévention seule ne suffit plus. Les défenseurs doivent donner la priorité à la détection et l’arrêt d’attaques inconnues en temps réel. Pour construire une défense solide, la gestion des identités, des accès et des vulnérabilités et la mise en place d’autres contrôles préventifs sont particulièrement importantes.
Cependant, aucune organisation ne peut se défendre efficacement contre les exploits de type « zero day » sans une solution de détection et de réponse dans le Cloud (CDR – Cloud Detection and Response) conçue à cet effet.
Ce qui manque aux équipes de sécurité
Les attaquants modernes exploitent l’immensité et la complexité de l’infrastructure Cloud pour échapper aux défenses. Ils se déplacent facilement entre les Clouds publics, les workload et les infrastructures on-premises. Les équipes de sécurité ont alors du mal à suivre leurs actions en temps réel. Pour se défendre contre ces attaques, les professionnels de la sécurité doivent identifier rapidement les mouvements des attaquants et créer un fil narratif cohérent à partir de détails enchevêtrés, tels que le point de départ de l’attaque, les identités et autorisations qui ont été exploitées et les cibles et objectifs de l’attaque.
Les outils EDR et XDR existants, malgré leur popularité, ne parviennent pas à fournir une visibilité adéquate sur le Cloud, et les équipes doivent se contenter de données incomplètes et cloisonnées et d’un contexte Cloud insuffisant. Sans la capacité à corréler les résultats sur le comportement des identités, l’activité des charges de travail et les ressources Cloud, les équipes de sécurité ne peuvent se constituer une image globale de l’attaque. La détection et la réponse doivent se faire en quelques minutes, ce qui signifie que ce processus doit être automatisé et exécuté en temps réel.
Les modèles d’attaques récents mettent en évidence trois points clés dans lesquels les équipes de sécurité ont besoin d’aide pour faire face aux attaques inconnues :
1 – Le manque d’informations sur les identités et leur comportement
Les identifiants sont le principal vecteur d’attaque utilisé pour mener des attaques dans le Cloud, même si les informations sur les identités et leur comportement à un stade précoce restent limitées. Selon le rapport Verizon 2024 Data Breach Investigations Report, les identifiants exploités représentent le vecteur d’attaque initial le plus courant, utilisé dans près de 40 % des fuites.
Les attaquants se déplacent entre les différentes machines dans le Cloud, ce qui dissocie le comportement des identités et l’activité des charges de travail et rend difficile la reconstitution de l’historique complet d’une attaque, même après la détection initiale. L’explosion des identités non-humaines/machines ajoute d’ailleurs encore un peu plus de complexité.
Avec des milliers d’utilisateurs, d’autorisations et de journaux à analyser, les outils EDR/XDR ne parviennent pas à fournir une visibilité suffisante sur les activités des utilisateurs autour des identités Cloud, en particulier dans les environnements multicloud et Cloud hybride.
2 – Une couverture incomplète en raison de la nature complexe du Cloud
Le périmètre du Cloud est aujourd’hui multidimensionnel dans sa complexité, sa diversité et son immensité. Couvrir la variété des charges de travail sur des environnements de Clouds publics, privés et hybrides représente un véritable défi. Les exploits se manifestent sur les charges de travail et les services à travers tout le Cloud mais les modèles forensiques sont généralement visibles bien plus tôt sur les identités compromises associées. Les lacunes sont trop nombreuses car les outils ne permettent pas d’obtenir une visibilité approfondie sur les trois constructions Cloud-natives différentes que sont les conteneurs, les clusters Kubernetes, les microservices, parmi d’autres.
Là aussi les outils EDR/XDR présentent des limites car ils ne peuvent fournir une visibilité complète ni reconnaître les modèles forensiques malveillants dès lors qu’il s’agit d’une infrastructure Cloud-native.
D’autre part, les fournisseurs de gestion de la posture de sécurité du Cloud (CSPM) adoptent une approche strictement sans agent qui n’offre pas de véritable couverture en temps réel. De nombreux fournisseurs axés sur la CSPM ont également mis sur le marché des agents de sécurité immatures mais ces agents génèrent de nombreux problèmes : une consommation élevée en ressources, des temps de réponse lents et des processus d’installation fastidieux. Ces lacunes en termes de couverture et de visibilité laissent les défenseurs du Cloud aveugles et entraînent souvent une détection tardive des menaces, des coûts opérationnels plus élevés et un risque accru de failles.
3 – Les silos empêchent les équipes de collaborer pour renforcer les défenses
Les équipes de sécurité considèrent séparément les activités de détection dans le Cloud et les scénarios d’utilisation de la posture Cloud, tels que la gestion des identités et des autorisations dans le Cloud. Cette vision empêche le partage d’informations sur les identités à travers l’ensemble du spectre, pourtant la plupart des attaques Cloud de ces dernières années faisaient état d’un lien entre les identités compromises, les charges de travail et les ressources Cloud.
Il est donc urgent de relier entre elles les activités de détection et de prévention.
La réponse : le vrai CDR
Les outils EDR et XDR sont très efficaces pour sécurises des postes de travail mais sont fondamentalement inadaptés à la sécurité du Cloud. Pour contrecarrer efficacement les attaques en cours, la réponse est le Cloud Detection Response ou CDR, qui offre une visibilité totale sur l’infrastructure Cloud et englobe les identités, les charges de travail et les ressources Cloud.
La détection et la prévention ne peuvent pas être considérées comme des silos. Pour anticiper les intentions des attaquants et garder une longueur d’avance sur les attaques, les défenseurs ont besoin d’un outil qui corrèle le comportement de l’identité avec l’activité de la charge de travail afin d’obtenir une vue d’ensemble en temps réel. Le contexte de l’identité est au cœur d’une stratégie « zero-trust » pour le Cloud, mais il doit également être intégré dans les flux de travail de détection et de réponse.
En intégrant le contexte d’identité, les équipes de sécurité peuvent répondre aux menaces dès qu’elles détectent des actions basées sur l’identité, telles que la création d’utilisateurs à privilèges qui représente souvent l’étape initiale de l’attaque. Cette intégration du contexte d’identité, renforcée par une couverture étendue de la charge de travail, permet aux équipes de sécurité d’arrêter les attaques dès les premiers signes de compromission. Pour arrêter les menaces dans Cloud dès le début de la chaîne d’attaque, la seule réponse viable est la mise en place de solutions de sécurité… conçues pour le cloud.
_______________________________________
Par Philippe Darley, expert cybersécurité du Cloud chez Sysdig
puis