Développé en réponse aux nouveaux types de menaces complexes découverts grâce aux recherches de Lacework Labs, Cloud Hunter utilise le langage de requête de Lacework (LQL) pour permettre la recherche de données au sein de la plateforme Lacework via des requêtes LQL créées automatiquement. Les clients peuvent rapidement et facilement rechercher des données et élaborer des requêtes afin d’assurer une surveillance continue, tout en renforçant le système de détection ainsi que les mesures de sécurité du cloud de leur organisation. Les données sont automatiquement analysées pendant que Cloud Hunter extrait les informations, ce qui permet de rationaliser les compétences et les temps de réponse en cas d’incident.

Le rapport Lacework Labs sur les menaces du cloud analyse les menaces qui ont pesé sur la sécurité du cloud au cours des trois derniers mois et dévoile les nouvelles techniques et méthodes que les cybercriminels exploitent pour faire du profit aux dépens des entreprises. Dans ce dernier rapport, l’équipe de Lacework Labs a constaté que les pirates s’étaient nettement perfectionnés, avec une augmentation du nombre d’attaques contre les principaux logiciels de réseau et de virtualisation, et une augmentation sans précédent de la vitesse des attaques après une compromission. Les principales tendances et menaces identifiées sont les suivantes :

• Augmentation de la vitesse entre l’exposition et la compromission : les pirates se perfectionnent pour faire face à l’adoption du cloud et au temps de réponse. De nombreuses catégories d’attaques sont désormais entièrement automatisées pour gagner du temps. En outre, l’une des cibles les plus répandues est la fuite d’informations d’identification. Dans un exemple précis tiré du rapport, une fuite de clé d’accès AWS a été repérée et signalée par AWS en un temps record. Malgré l’exposition limitée, un pirate inconnu a pu se connecter et lancer des dizaines d’instances GPU EC2, démontrant ainsi la rapidité avec laquelle les pirates peuvent tirer parti d’une simple erreur.
• L’accent est mis sur l’infrastructure, en particulier sur les attaques contre les réseaux principaux et les logiciels de virtualisation : les réseaux principaux couramment déployés et l’infrastructure connexe demeurent constamment une cible privilégiée pour les pirates. Les principales failles de l’infrastructure apparaissent souvent soudainement et sont ouvertement relayées en ligne, créant ainsi des opportunités pour tous les pirates d’exploiter ces cibles potentielles.
• Reconnaissance et exploitation continues de Log4j : près d’un an après l’exploit initial, l’équipe de Lacework Labs observe encore fréquemment des logiciels vulnérables ciblés par des requêtes OAST. L’analyse de l’activité de Project Discovery (interact.sh) a révélé que Cloudflare et DigitalOcean en sont les principaux auteurs.

« La création d’un outil open source ne permet pas seulement d’étendre nos capacités en tant qu’équipe de recherche et entreprise, mais elle nous donne également un moyen de rendre pleinement service à la communauté des développeurs et de la responsabiliser en fonction de ce que nous constatons lors de nos recherches relatives aux menaces », a déclaré James Condon, directeur de la recherche relative aux menaces chez Lacework. « Comme nos recherches révèlent un environnement d’attaque de plus en plus sophistiqué, cet outil fournit une analyse plus détaillée de l’environnement unique d’une entreprise basée sur les nouvelles techniques utilisées par les pirates. Cloud Hunter est le premier outil de Lacework à générer des requêtes qui peuvent être directement converties en politiques personnalisées dans l’environnement d’un client. »

L’équipe de Lacework Labs s’est également penchée sur les problèmes liés à l’utilisation de "comptes pirates" par les pirates à des fins de reconnaissance et d’exploration des compartiments S3, ainsi que sur la popularité croissante du cryptojacking et de la stéganographie.