Un rapport de Qualys examine comment les problèmes de mauvaise configuration chez les fournisseurs de services dans le Cloud permettent aux pirates d’accéder aux données.
Les erreurs de configuration dans l’informatique dématérialisée – des paramètres de contrôle incorrects appliqués à des éléments matériels et logiciels dans l’informatique dématérialisée – sont des vecteurs de menace qui amplifient le risque d’atteinte à la protection des données.
Un nouveau rapport de Qualys, fournisseur de services de sécurité dans le Cloud, rédigé par Travis Smith, vice-président de l’unité de recherche sur les menaces de l’entreprise, lève le voile sur les facteurs de risque pour trois grands fournisseurs de services dans le nuage.
À propos du rapport
Travis Smith écrit que les chercheurs de Qualys, en analysant les problèmes de mauvaise configuration chez Amazon Web Services, Microsoft Azure et Google Cloud Platform, ont découvert que chez Azure, 99 % des disques ne sont pas cryptés ou n’utilisent pas les clés gérées par le client qui donnent aux utilisateurs le contrôle des clés de cryptage qui protègent les données dans les applications de type « software as a service » (logiciel en tant que service).
L’étude, qui porte sur le chiffrement, la gestion des identités et des accès et les défaillances dans la surveillance des actifs orientés vers l’extérieur, a examiné les risques d’accès non autorisé dus aux facteurs suivants :
– la complexité des environnements Cloud
– le manque d’expertise pour suivre l’évolution des technologies
– des paramètres et des autorisations non sécurisés dus à des erreurs humaines
– un déploiement rapide qui compromet les mesures de mise en œuvre de la sécurité
– le manque de contrôle et de visibilité des données non chiffrées ou sensibles résidant dans les Cloud, en raison de la nature dynamique des environnements en nuage.
Travis Smith a écrit que les chercheurs de l’entreprise ont découvert que 85 % des clés ne sont pas tournées, ce qui signifie que la rotation automatique des clés n’est pas activée. Amazon propose une rotation automatique des clés (génération d’un nouveau matériel cryptographique) sur un cycle de 365 jours pour les clés.
Qualys a également signalé que dans les environnements GCP, 97,5 % des disques de machines virtuelles critiques ne sont pas chiffrés à l’aide de clés de chiffrement fournies par le client.
Gestion des identités et des accès
Qualys a constaté que les niveaux de mise en œuvre de la gestion des identités et des accès (IAM) étaient médiocres chez les trois principaux fournisseurs :
– Authentification multifactorielle : AWS n’est pas activé pour 44% des utilisateurs IAM avec des mots de passe de console. L’analyseur d’accès IAM n’est pas activé pour 96 % des comptes analysés par Qualys.
– Dans Azure, les analyses visant à activer l’authentification et à configurer les certificats clients dans Azure App Service échouent dans 97 % des cas.
Exposition des ressources externes à cause de fuites dans les buckets S3
Qualys a noté qu’une erreur commune aux utilisateurs des trois plateformes est l’exposition publique des données :
– Qualys a rapporté que 31% des buckets S3 sont accessibles au public.
– La mauvaise configuration consistant à laisser l’accès au réseau public activé a été constatée dans 75 % des bases de données Azure.
Les travaux du Center for Internet Security offrent des pistes de remédiation
Les recommandations de l’entreprise comprenaient l’examen de la recherche du Center for Internet Security, y compris le travail auquel Qualys a participé : la mise en correspondance des contrôles individuels avec les tactiques et techniques ATT&CK de MITRE.
Qualys a contribué au développement de ces références CIS pour AWS, Azure et GCP. Ces repères permettront aux défenseurs de mieux hiérarchiser les centaines de contrôles de renforcement disponibles dans les environnements en nuage, en leur offrant une vision et un contexte précieux.
Qualys a également examiné la manière dont les entreprises déploient des contrôles pour renforcer leurs postures dans le Cloud sur les trois principales plateformes, notant que l’escalade des privilèges (96,03 %), l’accès initial (84,97 %) et la découverte (84,97 %) atteignent les taux les plus élevés.
Les efforts déployés pour contrôler les attaques à un stade précoce permettent d’atténuer les conséquences plus néfastes à un stade plus avancé de la chaîne d’exécution :
– L’impact n’est passé que dans 13,67 % des cas
– L’exfiltration n’est réussie qu’à 3,70 %.
– L’exploitation des applications publiques n’est réussie qu’à 28,54 %.
– L’exploitation des services distants, avec seulement 17,92 %, échoue à des taux élevés.
– Le détournement de ressources ne réussit qu’à 22,83 %.
Selon Travis Smith, les logiciels malveillants d’extraction de crypto-monnaie constituant une menace pour les environnements Cloud, les entreprises devraient envisager d’atténuer ces contrôles afin de réduire les risques qu’elles encourent dans ce type d’environnement.
« La leçon à tirer de ces données est que presque toutes les organisations doivent mieux surveiller les configurations dans le nuage », souligne Travis, ajoutant que les analyses des contrôles CIS ont échoué 34 % du temps pour AWS, 57 % pour Microsoft Azure et 60 % pour GCP (figure A).
Figure A
Taux d’échec moyens pour AWS, Azure et GCP dans le cadre des benchmarks CIS. Image : Qualys.
« Même si vous pensez que vos configurations cloud sont en ordre, les données nous indiquent que ne pas confirmer régulièrement l’état est un pari risqué. Examinez souvent les configurations et assurez-vous que les paramètres sont corrects. Il suffit d’un seul faux pas pour ouvrir accidentellement le nuage de votre organisation aux attaquants », conclut Travis Smith.
