Les cyberattaquants ciblent de plus en plus Cloud IAM comme un maillon faible

Les cybercriminels recherchent toujours des angles morts dans la gestion des accès, qu'il s'agisse de mauvaises configurations, de mauvaises pratiques d'identification, de bogues de sécurité non corrigés ou d'autres portes cachées du château de l'entreprise. Aujourd'hui, alors que les organisations poursuivent leur dérive de modernisation vers le cloud, les acteurs malveillants profitent d'une opportunité émergente : accéder aux failles et aux erreurs de configuration dans la manière dont les organisations utilisent les fournisseurs de cloud. gestion des identités et des accès (IAM) couches.

Dans une conférence le mercredi 10 août à Black Hat USA intitulée «Je suis celui qui frappe», Igal Gofman, responsable de la recherche chez Ermetic, offrira un aperçu de cette frontière de risque émergente. "Les défenseurs doivent comprendre que le nouveau périmètre n'est pas la couche réseau comme il l'était auparavant. Maintenant, c'est vraiment IAM - c'est la couche de gestion qui régit tout », a-t-il déclaré à Dark Reading.

Complexité, Identités Machines = Insécurité

Le piège le plus courant auquel les équipes de sécurité se heurtent lors de la mise en œuvre de l'IAM dans le cloud est de ne pas reconnaître la complexité même de l'environnement, note-t-il. Cela inclut la compréhension du nombre croissant d'autorisations et d'accès créés par les applications SaaS (logiciel en tant que service).

"Les adversaires continuent de mettre la main sur des jetons ou des informations d'identification, soit par hameçonnage, soit par une autre approche", explique Gofman. « À un moment donné, ceux-ci ne donnaient pas grand-chose à l'attaquant au-delà de ce qui se trouvait sur une machine locale. Mais maintenant, ces jetons de sécurité ont beaucoup plus d'accès, car tout le monde au cours des dernières années est passé au cloud et a davantage accès aux ressources du cloud.

La question de la complexité est particulièrement piquante lorsqu'il s'agit de entités machine – qui, contrairement aux humains, travaillent toujours. Dans le contexte du cloud, ils sont utilisés pour accéder aux API cloud à l'aide de clés API ; activer les applications sans serveur ; automatiser les rôles de sécurité (c'est-à-dire les courtiers de services d'accès au cloud ou CASB) ; intégrer des applications et des profils SaaS les uns aux autres à l'aide de comptes de service ; et plus.

Étant donné qu'une entreprise moyenne utilise désormais des centaines d'applications et de bases de données basées sur le cloud, cette masse d'identités de machine présente un réseau très complexe d'autorisations et d'accès entrelacés qui sous-tendent les infrastructures des organisations, qui est difficile à obtenir en visibilité et donc difficile à gérer, dit Gofman. C'est pourquoi les adversaires cherchent de plus en plus à exploiter ces identités.

"Nous assistons à une augmentation de l'utilisation d'identités non humaines, qui ont accès à différentes ressources et différents services en interne", note-t-il. « Ce sont des services qui dialoguent avec d'autres services. Ils ont des autorisations et un accès généralement plus large que les humains. Les fournisseurs de cloud poussent leurs utilisateurs à les utiliser, car au niveau de base, ils les considèrent comme plus sûrs. Mais certaines techniques d'exploitation peuvent être utilisées pour compromettre des environnements utilisant ces identités non humaines.

Les entités machine avec des autorisations de gestion sont particulièrement attrayantes pour les adversaires, ajoute-t-il.

"C'est l'un des principaux vecteurs ciblés par les cybercriminels, en particulier dans Azure", explique-t-il. "Si vous n'avez pas une compréhension intime de la façon de les gérer au sein de l'IAM, vous offrez une faille de sécurité."

Comment renforcer la sécurité IAM dans le cloud

D'un point de vue défensif, Gofman prévoit de discuter des nombreuses options dont disposent les organisations pour maîtriser le problème de la mise en œuvre d'un IAM efficace dans le cloud. D'une part, les organisations doivent utiliser les capacités de journalisation des fournisseurs de cloud pour créer une vue complète de qui – et quoi – existe dans l'environnement.

« Ces outils ne sont pas vraiment utilisés de manière intensive, mais ce sont de bonnes options pour mieux comprendre ce qui se passe dans votre environnement », explique-t-il. "Vous pouvez également utiliser la journalisation pour réduire la surface d'attaque, car vous pouvez voir exactement ce que les utilisateurs utilisent et les autorisations dont ils disposent. Les administrateurs peuvent également comparer les politiques énoncées à ce qui est réellement utilisé dans une infrastructure donnée. »

Il prévoit également de décomposer et de comparer les différents services IAM des trois principaux fournisseurs de cloud public - Amazon Web Services, Google Cloud Platform et Microsoft Azure - et leurs approches de sécurité, qui sont toutes légèrement différentes. L'IAM multi-cloud est une difficulté supplémentaire pour les entreprises utilisant différents clouds de différents fournisseurs, et Gofman note que comprendre les différences subtiles entre les outils qu'ils proposent peut grandement contribuer à renforcer les défenses.

Les organisations peuvent également utiliser une variété d'outils open source tiers pour obtenir une meilleure visibilité sur l'infrastructure, note-t-il, ajoutant que lui et son co-présentateur Noam Dahan, responsable de la recherche chez Ermetic, prévoient de faire la démonstration d'une option.

"Cloud IAM est extrêmement important", déclare Gofman. "Nous allons parler des dangers, des outils qui peuvent être utilisés et de l'importance de mieux comprendre quelles autorisations sont utilisées et quelles autorisations ne sont pas utilisées, et comment et où les administrateurs peuvent identifier les angles morts."