Unit 42/Palo Alto Networks : Cloud, identité/accès - Talon d’Achille de la sécurité : 53 % des organisations autorisent l’utilisation d’un mot de passe faible !
avril 2022 par Unit 42/Palo Alto Networks
La transition en cours vers les plates-formes cloud signifie que des données plus sensibles sont stockées dans le cloud, ce qui les rend plus tentantes à exploiter pour les adversaires. Lorsqu’il s’agit de sécuriser le cloud, l’identité est la première ligne de défense. Sans politiques appropriées de gestion des identités et des accès (IAM) en place, une organisation peut payer pour n’importe quel nombre d’outils de sécurité, mais une sécurité complète ne sera jamais possible.
Pour comprendre comment les politiques IAM affectent la posture de sécurité cloud des organisations, nous avons analysé plus de 680 000 identités sur 18 000 comptes cloud de 200 organisations différentes afin de comprendre leur configuration et leurs modèles d’utilisation. Les résultats de ces recherches sont assez surprenantes.
Unit 42, cabinet de conseil et d’analyse/recherche sur les cybermenaces de Palo Alto Networks, dévoile son nouveau rapport « Cloud Threat ». Le rapport dans son intégralité est à retrouver ici. Vous pouvez également découvrir les principaux enseignements de ce rapport sur le blog de l’Unit 42. Si vous souhaitez échanger sur ce sujet/rapport, n’hésitez pas à me le faire savoir.
Ce qu’il faut retenir
Presque toutes les organisations que l’Unit 42 a analysé ne disposent pas des contrôles de politique de gestion IAM appropriés pour rester sécurisées.
Ces politiques IAM mal configurées ouvrent la porte à ce que l’Unité 42 définit comme un nouveau type de menace : les Cloud Threat Actors. L’Unit 42 définit un acteur de la menace cloud comme "un individu ou un groupe constituant une menace pour les organisations via un accès dirigé et soutenu aux ressources, services ou métadonnées intégrées de la plateforme cloud".
L’Unit 42 précise également que les acteurs de la menace cloud méritent une définition distincte, car ses chercheurs démontrent ici qu’ils ont commencé à utiliser un ensemble fondamentalement différent de tactiques, de techniques et de procédures (TTP) qui sont uniques au cloud - comme tirer parti de la capacité d’effectuer à la fois des mouvements latéraux et les opérations d’escalade de privilèges simultanément.
Cette analyse révèle notamment :
• Presque toutes les identités cloud sont trop permissives et beaucoup accordent des autorisations qui ne sont jamais utilisées.
• 53 % autorisent l’utilisation d’un mot de passe faible - 44 % autorisent la réutilisation du mot de passe.
• 62 % ont des ressources cloud exposées publiquement
De plus, Unit 42 a créé un Cloud Threat Actor Index mettant en évidence les principaux acteurs ciblant le cloud, ainsi que les acteurs des États-nations connus pour utiliser le cloud pour mener des cyberattaques. Vous trouverez ci-dessous les principaux acteurs de la menace cloud, triés par prévalence, pour votre référence. Le rapport contient de nombreux détails sur ces acteurs de la menace cloud et leurs tactiques.
Voici le Top 5 des acteurs des menaces cloud :
• TeamTNT : le groupe de ciblage des informations d’identification le plus connu et le plus sophistiqué
• WatchDog : considéré comme un groupe de menaces opportunistes qui cible les instances et applications cloud exposées
• Kinsing : acteur de la menace cloud opportuniste et motivé financièrement avec un fort potentiel pour la collecte d’informations d’identification cloud
• Rocke : spécialisé dans les opérations de ransomware et de cryptojacking dans les environnements cloud
• 8220 : Le groupe minier Monero aurait augmenté ses opérations minières en exploitant Log4j en décembre 2021.
Les acteurs des États-nations utilisant et ciblant l’infrastructure cloud
• APT 28 (Fancy Bear)
• APT 29 (Cozy Bear)
• APT 41 (Gadolinium)