76 % des charges dans le cloud ont une exposition SSH

0

Ces 18 derniers mois, L’Unit42 de Palo Alto Networks a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches de l’Unit42 montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

Résumé des découvertes de l’Unit42 clés liées à l’IaC :

  • 199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs de l’Unité42 ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud. Tout comme il suffit d’unefenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur. Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.
  • 43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important? Avoir des données en clair revient à avoir une maison avec des murs de verre. Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.
  • 60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation. 

Dans son rapport précédent, l’Unit42 notait que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, ils ont constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois. 

Principaux changements depuis le dernier rapport de l’Unit42

76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport. Pourquoi est-ce important? Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements cloud. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.

69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport. Pourquoi est-ce important? Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport. 

27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport. Pourquoi est-ce important? TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.  

Les bonnes pratiques à mettre en place

  • Avoir et maintenir une visibilité pluricloud: Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs), qui fournissent une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD. 
  • Respecter les standards: La sécurité à l’échelle du cloud demande un respect strict des standards à travers les environnements cloud publics, privés ou hybrides. Si l’entreprise n’a pas encore de norme de sécurité pour le cloud, elle peut consulter les benchmarks créés par le CIS (Center for Internet Security). Un standard sur le papier c’est bien, mais il faut s’assurer qu’il est régulièrement mis en applications sans avoir à créer et maintenir des outils dédiés. 
  • Toujours plus tôt: La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply