Ce n’est pas toujours paisible là-haut dans les nuages.
Depuis quelques années, Check Point Research (CPR) suit l’évolution du paysage des menaces liées au cloud, ainsi que l’augmentation constante de l’adoption des infrastructures cloud par les entreprises. Pas moins de 98 % des entreprises mondiales ont recourt à des services basés sur le cloud, et environ 76 % d’entre elles disposent d’environnements multi-clouds, comprenant des services provenant de deux fournisseurs de clouds ou plus.

L’adoption du cloud en général a connu une croissance rapide au cours des dernières années, et le COVID-19 a accéléré cette transition. Compte tenu de la normalisation du télétravail, les entreprises devaient être en mesure de soutenir et de fournir des services essentiels à leur personnel hors site. Avec le passage au cloud, le besoin de sécurité du cloud se fait sentir, car plus l’adaptation de la technologie est grande, plus la technologie s’adapte, plus le nombre d’attaques à son encontre augmente. Ces applications basées sur le cloud doivent être protégées contre les attaques, et les données hébergées, contre les accès non autorisés, conformément aux réglementations en vigueur. Cette année a été marquée par un exemple éloquent de la nécessité de cette protection, quand le réseau mobile le plus étendu de Thaïlande, AIS, a accidentellement dévoilé une base de données de huit milliards d’enregistrements Internet, entraînant l’une des violations les plus coûteuses jamais enregistrées, et dont la résolution a coûté 58 milliards de dollars à l’entreprise.

En novembre, le FBI et le CISA ont révélé dans un communiqué commun qu’un groupe de menace anonyme soutenu par l’Iran avait piraté une entreprise du Federal Civilian Executive Branch (FCEB) pour déployer le malware de cryptomining XMRig. Les attaquants ont compromis le réseau fédéral après avoir piraté un serveur VMware Horizon non corrigé en utilisant un exploit ciblant la vulnérabilité d’exécution de code à distance Log4Shell (CVE-2021-44228).

Augmentation du nombre d’attaques contre les réseaux basés sur le cloud.
En examinant les deux dernières années du paysage des réseaux basés sur le cloud, nous constatons une croissance significative de 48 % du nombre d’attaques subies par entreprise en 2022, par rapport à 2021. Si l’on examine la croissance du nombre d’attaques par entreprise, en fonction des régions géographiques, on constate que l’Asie connaît la plus forte augmentation, d’une année sur l’autre, avec 60% de croissance, suivie par l’Europe qui a connu une croissance substantielle de 50% et l’Amérique du Nord avec 28%.

Impact des CVE les plus récents et les plus importants sur les réseaux basés sur le cloud par rapport aux réseaux sur site.
Bien que le nombre actuel d’attaques sur les réseaux basés sur le cloud soit toujours inférieur de 17 % par rapport aux réseaux non basés sur le cloud, lorsqu’on examine les types d’attaques, et plus particulièrement les exploitations de vulnérabilité, on constate une utilisation plus importante des CVE les plus récentes (divulguées entre 2020 et 2022) comparé aux réseaux sur site dans le cas des tentatives d’attaques sur les réseaux basés sur le cloud. La différence entre les deux types de réseaux est visible dans le schéma ci-dessous.

Pourcentage d’attaques exploitant des vulnérabilités récentes (divulguées en 2020-2022)

Une analyse plus poussée de vulnérabilités mondiales spécifiques et très médiatisées révèle que certaines CVE majeures ont eu un impact plus important sur les réseaux basés sur le cloud que sur les réseaux sur site. Par exemple, la vulnérabilité Text4shell (CVE-2022-42889), qui a été découverte en octobre et exploitée peu de temps après, a révélé un impact de 16 % supérieur sur les environnements cloud par rapport à son impact sur les réseaux on-prem. Cette vulnérabilité, basée sur la fonctionnalité du texte Apache Commons, permet des attaques sur un réseau sans nécessiter de privilèges spécifiques ou d’interaction avec l’utilisateur.

Autres exemples de CVEs majeurs divulgués cette année qui ont montré une tendance similaire :
• Exécution de code à distance de VMware Workspace (CVE-2022-22954) - Impact supérieur de 31 % sur les réseaux basés sur le cloud.
• Microsoft Exchange Server Remote Code Execution (CVE-2022-41082) - Impact 17% plus élevé sur les réseaux basés sur le cloud
• F5 BIG IP (CVE-2022-1388) - Impact 12% plus élevé sur les réseaux basés sur le cloud
• Atlassian Confluence—Remote Code Execution (CVE-2022-26134) - Impact supérieur de 4% sur les réseaux basés sur le cloud

Les 7 piliers d’une sécurité robuste dans le cloud

Bien que les fournisseurs de cloud proposent de multiples fonctions et services de sécurité natifs du cloud, il est indispensable de recourir à des solutions complémentaires tierces pour assurer une protection professionnelle des charges de travail du cloud contre les brèches, les fuites de données et les attaques ciblées dans l’environnement cloud. Une pile de sécurité intégrée native du cloud/tiers fournit la visibilité centralisée et le contrôle granulaire basé sur des politiques nécessaires pour offrir les meilleures pratiques de l’industrie énumérées ci-dessous :
1. Contrôles de sécurité du réseau cloud Zero Trust sur des réseaux et micro-segments isolés logiquement.
Déployer les ressources et les applications critiques pour l’entreprise dans des sections logiquement isolées du réseau cloud du fournisseur, comme les clouds privés virtuels (AWS et Google) ou vNET (Azure). Faites appel à des sous-réseaux pour micro-segmenter les charges de travail les unes des autres, avec des politiques de sécurité granulaires au niveau des passerelles de sous-réseau. Utilisez des liaisons WAN dédiées dans les architectures hybrides, et recourez à des configurations de routage statiques définies par l’utilisateur pour personnaliser l’accès aux périphériques virtuels, aux réseaux virtuels et à leurs passerelles, ainsi qu’aux adresses IP publiques.
2. Décalez votre sécurité vers la gauche
Intégrez la protection de la sécurité et de la conformité dès le début du cycle de développement. Grâce aux contrôles de sécurité intégrés en continu dans le pipeline de déploiement, plutôt qu’à la fin, les DevSecOps sont en mesure de trouver et de corriger les failles de sécurité à un stade précoce, accélérant ainsi la mise sur le marché d’une entreprise.
3. Maintenir une hygiène sécurisée du code avec une gestion des vulnérabilités (vous pouvez peut-être rééditer le code car il doit être hygiénique et sécurisé)
Définissez des politiques de garde-fou pour que votre déploiement respecte les règles d’hygiène du code de l’entreprise. Ces politiques donneront l’alerte sur tout écart et pourront bloquer les déploiements d’artefacts non conformes. Élaborer des processus de remédiation pour alerter l’équipe de développement sur les artefacts non conformes et prendre les mesures correctives appropriées.
Intégrer des outils permettant de rechercher les vulnérabilités et le SBOM (Software Bill of Materials) afin d’identifier rapidement les ressources présentant des vulnérabilités critiques.

4. Éviter les erreurs de configuration grâce à un balayage continu de la posture
Les fournisseurs de sécurité du cloud proposent une gestion fiable de la posture de sécurité du cloud, et appliquent de manière cohérente les règles de gouvernance et de conformité aux serveurs virtuels. Cela permet de s’assurer qu’ils sont configurés conformément aux meilleures pratiques et correctement séparés par des règles de contrôle d’accès.
5. Protection de toutes les applications (et en particulier des applications distribuées natives du cloud) au moyen d’une prévention active via un système de prévention des intrusions (IPS) et un pare-feu pour applications web de nouvelle génération.
Arrêtez le trafic malveillant avant qu’il n’atteigne vos serveurs d’applications Web. Les règles WAF sont automatiquement mises à jour en réponse aux changements de comportement du trafic et sont déployées à proximité des microservices qui exécutent des charges de travail.
6. Protection des données optimisée grâce aux couches multiples
Une protection renforcée des données avec un chiffrage à toutes les couches de transport, des partages de fichiers et des communications sécurisés, une gestion continue des risques liés à la conformité et le maintien d’une bonne hygiène des ressources de stockage de données, comme la détection des compartiments mal configurés et la suppression des ressources orphelines, constitueront une couche de sécurité supplémentaire pour le paysage du cloud d’une entreprise.
7. Une intelligence des menaces qui détecte et remédie aux menaces connues et inconnues en temps réel.
Les fournisseurs tiers de sécurité du cloud ajoutent un contexte aux flux importants et diversifiés des journaux natifs du cloud en croisant intelligemment les données des journaux agrégés avec des données internes telles que les systèmes de gestion des actifs et des configurations, les scanners de vulnérabilité, etc. et des données externes telles que les flux publics de renseignements sur les menaces, les bases de données de géolocalisation, etc. Ils fournissent également des outils qui aident à visualiser et à interroger le paysage des menaces et favorisent des temps de réponse plus rapides aux incidents. Le système applique des algorithmes de détection d’anomalies basés sur l’IA pour détecter les menaces inconnues, qui font ensuite l’objet d’une analyse approfondie pour déterminer leur profil de risque. Les alertes en temps réel sur les intrusions et les violations de politiques réduisent les délais de remédiation, déclenchant même parfois des flux de travail de remédiation automatique.

* Les données utilisées dans ce rapport ont été détectées par les technologies Threat Prevention de Check Point, puis stockées et analysées dans ThreatCloud.. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives provenant de Check Point Research - la branche intelligence et recherche de Check Point.