Au fur et à mesure de l’accélération de l’adoption du Cloud (qui ne semble pas vouloir s’arrêter), l’évolution de la prochaine génération d’attaques de modems évoluera vers un plan de gestion du Cloud en entreprise. Mais de quoi s’agit-il ?
Le plan de gestion assure la gestion et l’orchestration du déploiement du Cloud dans une entreprise. C’est à ce niveau que les configurations de référence sont définies, que l’accès des utilisateurs et des rôles est fourni, ainsi que l’emplacement des applications afin qu’elles puissent s’exécuter avec les services associés— on peut le comparer au contrôle du trafic aérien dans le cadre des applications. Lorsque le plan de gestion est compromis, un adversaire a la possibilité de modifier l’accès et la configuration : c’est ce qui lui permet d’infliger des dommages matériels. Cette activité malveillante peut utiliser la palette des machines virtuelles, des conteneurs et de l’infrastructure sans serveur pour aboutir aussi bien à la perte de données qu’à des attaques préjudiciables.
Il s’agit peut-être de l’aspect double tranchant du Cloud. Alors que toutes les organisations qui utilisent le Cloud bénéficient des avantages de la vitesse et de l’échelle qu’il assure, les attaquants tentent également d’utiliser ces attributs à leur avantage. Il ne faut pas oublier que l’infrastructure, l’identité, les données et les services du plan de gestion du Cloud sont tous en jeu, et cela de manière de plus en plus importante, dans les viseurs des attaquants.
Est-ce surprenant ?
Croyez-le ou non, ce modèle a été utilisé pendant des années, et remonte au moins aussi loin que l’attaque irrémédiablement destructrice lancée contre Code Spaces en 2014. Après le piratage du plan de gestion de leurs plateformes Amazon Web Services (AWS) et que leur infrastructure et leurs données aient été capturées, le blocage complet de leur fonctionnement n’était plus qu’une question de temps. Plus récemment, en 2019 s’est produite une violation de Capital One largement médiatisée, lors de laquelle les dommages résultants ont été estimés à plus de 100 millions d’enregistrements volés et au moins $80 millions de pénalités appliquées.
Même s’il est vrai que les organisations les plus chanceuses puissent découvrir qu’elles sont simplement choisies pour subir moins d’attaques destructrices, comme par exemple le cryptominage, cela peut être le meilleur résultat pour les organisations qui ne protègent pas leur plan de gestion. Ce résultat ne sera probablement pas la plus précieuse des ressources de l’organisation. En outre, au fur et à mesure que l’équipement de logiciels lui-même est transformé par le Cloud, de nouvelles possibilités de compromission de la chaîne d’approvisionnement par l’intermédiaire des produits et des services va devenir un domaine de préoccupations croissantes.
Compte tenu de tout cela, le plan de gestion du Cloud n’est pas l’endroit pour sous-estimer le risque, dans la mesure où la persistance permet une atteinte et une influence majeure, bien au-delà des limites des campagnes réseau traditionnelles existantes. Les enjeux sont énormes, l’adversaire est motivé et les techniques d’espionnage sont activement développées lorsqu’elles n’ont pas encore déjà été banalisées.
Reconnaître le risque
Bien sûr, rien de tout cela ne doit suggérer que le risque doit dissuader les dirigeants et les décisionnaires stratégiques de poursuivre une stratégie de Cloud agressive et étendue, mais seulement que ce type de stratégie doit inclure une vision et une visibilité clairement définies. Une vision de l’aspect de l’utilisation autorisée et la visibilité en vue de surveiller et de mesurer les écarts par rapport à cette vision. La question devient alors la suivante : quelles actions sont autorisées et lesquelles sont malveillantes ? La réponse ne sera pas donnée en s’abonnant au dernier service de renseignement sur les menaces ou en téléchargeant le dernier pack de signatures. Toutefois, le recueil des bonnes données et l’application de l’intelligence artificielle (IA) permettront de comprendre l’ensemble. Cela revient à avoir la capacité de détecter les composants clés de la progression des attaques—la surveillance des informations d'identification compromises, la manière dont les services sont utilisés et l’interaction entre les applications et les services sous-jacents.
Les organisations disposant de la bonne technologie de détection des intrusions et un écosystème partenaire peuvent agréger les bons signaux qui indiquent que le plan de gestion est menacé, révéler la progression de l’attaque et se donner une chance… Mais, pour être clair, c’est loin de l’approche existante des attaques réseau qui comprend la recherche de mauvais indicateurs, ou tente simplement de réduire la portée de l’attaque au point de se reposer uniquement sur la prévention. Bien qu’une poursuite modeste de ces approches ait quelques mérites, les attaques sont inefficaces en elles-mêmes, et face à une nouvelle mutation de la menace suivante, elles échoueront en silence. En silence bien sûr, mais ce seulement jusqu’à ce que la violation fasse la une parce que les attaquants ont pris pied, établi une persistance et ont réussi à atteindre leurs objectifs.
Si nous avons bien appris une chose depuis le tournant du millénaire, c’est que face à l’ingéniosité quasi illimitée d’un adversaire motivé, des menaces inconnues et imprévues finiront par établir une tête de pont. Le plan de gestion du Cloud ne sera pas différent, et les dirigeants avisés investiront inévitablement dans la préparation à la détection et à la réponse à l’attaque.