Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’état des menaces Cloud selon l’Unit 42 - Rapport semestriel 2020

février 2020 par L’Unit 42, unité de recherches de Palo Alto Networks

Ces 18 derniers mois, L’Unit42 a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches de l’Unit42 montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

Résumé des découvertes clés liées à l’IaC :

• 199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs de l’Unité42 ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud. Tout comme il suffit d’unefenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur. Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.

• 43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important ? Avoir des données en clair revient à avoir une maison avec des murs de verre. Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.

• 60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important ? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation.

Les templates IaC les plus couramment utilisés

• 37% Terraform
• 24 % des templates CloudFormation
• 39 % K8s YAML

Les templates IaC les plus vulnérables

• 22% Terraform
• 42 % des templates CloudFormation
• 9 % K8s YAML

Dans son rapport précédent, l’Unit42 notait que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, nous avons constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois.

Les principaux changements depuis le dernier rapport de l’Unit42.

• 76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport. Pourquoi est-ce important ? Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements cloud. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.
• 69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport. Pourquoi est-ce important ? Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport.
• 27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport. Pourquoi est-ce important ? TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.

Les bonnes pratiques à avoir

Avoir et maintenir une visibilité pluricloud

Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs), qui fournissent une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD.

Respecter les standards

La sécurité à l’échelle du cloud demande un respect strict des standards à travers les environnements cloud publics, privés ou hybrides. Si l’entreprise n’a pas encore de norme de sécurité pour le cloud, elle peut consulter les benchmarks créés par le CIS (Center for Internet Security). Un standard sur le papier c’est bien, mais il faut s’assurer qu’il est régulièrement mis en applications sans avoir à créer et maintenir des outils dédiés.

Toujours plus tôt

La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

Dans le rapport complet de l’Unit 42 vous aurez des informations sur :
• Les avantages et risques de l’IaC
• Les opérations des cybercriminels dans le cloud
•Les bonnes pratiques en matière de sécurité du cloud.


Voir les articles précédents

    

Voir les articles suivants