Comment arrêter une chaîne d'attaques dans le cloud avec Illumio CloudSecure
De plus en plus d'entreprises utilisent les services cloud, ce qui étend la surface d'attaque à un rythme alarmant. Il existe de nombreuses autres opportunités pour les attaquants de pénétrer dans les réseaux et de se déplacer jusqu'à atteindre vos actifs critiques ou à installer un ransomware.
Mais les intrusions dans le cloud peuvent être difficiles à détecter. Étant donné que les méthodes modernes de cybercriminalité ne déploient pas de logiciels malveillants, aucun comportement anormal ne peut attirer l'attention sur eux. Ils utilisent généralement des ports légitimes pour se déplacer via le réseau jusqu'à la cible.
C'est pourquoi il est si important de créer Zero Trust dans le cloud. Il déplace la limite de confiance aussi près que possible des ressources critiques. Dans cet article de blog, parcourez une véritable chaîne d'attaque dans le cloud et découvrez comment la segmentation Zero Trust avec Illumio CloudSecure peut vous aider à stopper les chaînes d'attaques dans le cloud.
Exemple concret : une chaîne d'attaque cloud réussie
La plupart des plateformes de sécurité des applications protègent le cloud en détectant les menaces et en y répondant. Mais cette méthode n'est pas suffisante : beaucoup failles de sécurité dans le cloud ces dernières années n'ont pas été découverts depuis longtemps. En fait, 47 % de toutes les violations de données survenues l'année dernière provenaient du cloud, selon une étude menée par Vanson Bourne.
Il est tout aussi important de survivre à des menaces non détectées que de se protéger contre celles que nous connaissons. Les menaces connues et inconnues doivent être stoppées.

Que s'est-il passé ? La chaîne d'attaque
Les attaquants ont utilisé des informations d'identification de haut niveau volées pour pénétrer le réseau. L'organisation avait mis en place plusieurs solutions de sécurité, mais les attaquants ont créé des portes dérobées dans le réseau pour réussir à voler des données. Ils ont évité les outils de détection et n'ont pas déployé de programmes malveillants, laissant la faille passer inaperçue pendant des mois.
Les outils de sécurité de l'organisation ne recherchaient que les menaces connues et les comportements suspects. Étant donné que le comportement de l'attaquant utilisait des moyens légitimes pour accéder au réseau, il a pu facilement se déplacer dans l'environnement, ou se déplacer latéralement, pour accéder aux applications.
La couche réseau avait mis en place un certain niveau de segmentation à l'aide de groupes de sécurité, mais il s'agissait de segments larges. Une fois que les attaquants avaient accédé à l'application initiale, ils pouvaient facilement passer à d'autres applications.
Qu'est-ce qui aurait pu être fait ? Arrêt des mouvements latéraux
Il aurait été beaucoup plus difficile pour les attaquants d'accéder aux ressources s'ils n'avaient pas pu passer d'une application à l'autre. Limitant mouvement latéral aurait protégé l'environnement cloud non seulement contre les violations connues, mais également contre les violations inconnues et non détectées.
Une architecture de sécurité efficace doit protéger contre les menaces connues et inconnues sans ajouter de complexité opérationnelle.
Dans l'exemple ci-dessus, seuls les groupes de sécurité situés aux limites du réseau cloud limitaient les mouvements latéraux. Le problème avec les groupes de sécurité dans les clouds privés virtuels (VPC) ou les réseaux virtuels (VNET) est qu'il s'agit de solutions centrées sur le réseau. De nombreux propriétaires d'applications ne comprenant pas parfaitement les dépendances du trafic entre leurs applications, les groupes de sécurité sont trop souvent ajoutés au réseau de manière très générale, voire pas du tout. Cela permet à un large éventail de trafic de passer, créant ainsi des portes grandes ouvertes que les attaquants peuvent facilement franchir.
En s'appuyant sur outils de sécurité réseau traditionnels ne fonctionne pas dans les architectures cloud hybrides modernes. En effet, les ressources augmentent et diminuent constamment et peuvent être déplacées entre les hôtes pour des performances optimales. L'adressage réseau traditionnel n'est plus un moyen fiable d'identifier une application dans le cloud.
Comment Zero Trust Segmentation s'attaque aux chaînes d'attaques dans le cloud
Il est temps de séparer la charge de travail du cloud et la sécurité des applications de la sécurité centrée sur le réseau. Ils ont des priorités très différentes.
Segmentation Zero Trust (ZTS) agit comme un filet de sécurité contre les chaînes d'attaques dans le cloud. Il utilise des contrôles de segmentation au niveau de l'application sans recourir à la segmentation traditionnelle centrée sur le réseau.
La plupart des systèmes d'exploitation modernes ont des ports ouverts par défaut et en mode écoute, tels que Linux Secure Shell (SSH) et Protocole Windows Remote Desktop (RDP). Si les attaquants compromettent une charge de travail, ils peuvent utiliser l'un de ces ports pour se connecter à un hôte voisin. Ils peuvent ensuite les utiliser pour accéder à des ressources critiques ou diffuser des charges utiles malveillantes.
Du point de vue des acteurs de la menace, ces ports ouverts sont des portes déverrouillées qu'il est facile de franchir lorsqu'ils se déplacent sur le réseau à la recherche de la cible souhaitée. ZTS arrête cet accès latéral inutile entre les applications. Cela signifie que les attaquants sont confinés à leur point d'entrée d'origine et ne peuvent pas se propager davantage dans le réseau.
Comment Illumio CloudSecure étend ZTS au multicloud hybride
Avec Illumio CloudSecure, vous pouvez créer des ZTS centrés sur les applications à grande échelle. En se concentrant sur les besoins de sécurité uniques de chaque application, CloudSecure réduit votre surface d'attaque et arrête les mouvements latéraux.
Voici les trois étapes suivies par CloudSecure pour stopper une chaîne d'attaques cloud avant qu'elle ne se propage à vos applications.
1. Voir tout le trafic cloud et les dépendances entre les applications
Vous ne pouvez pas imposer ce que vous ne pouvez pas voir. C'est pourquoi il est essentiel d'obtenir visibilité de bout en bout sur l'ensemble du trafic applicatif sur l'ensemble de votre environnement hybride et multicloud.
Dans le cadre du Plateforme Illumio ZTS, CloudSecure affichera l'ensemble du trafic entre toutes les charges de travail pour n'importe quelle application de votre environnement cloud :

2. Définissez l'accès avec le moindre privilège entre les applications
CloudSecure utilise un modèle de politique basé sur des étiquettes qui associe les balises cloud existantes aux étiquettes multidimensionnelles d'Illumio. Il identifie les charges de travail selon des limites qui sont pertinentes pour les propriétaires d'entreprise et les propriétaires d'applications au lieu d'un adressage centré sur le réseau. Ces étiquettes définissent les politiques applicables aux hôtes appartenant à des applications.
3. Implémentez automatiquement les politiques de sécurité du cloud
CloudSecure mettra ensuite en œuvre ces politiques à l'aide d'outils de sécurité natifs du cloud, tels que les groupes de sécurité et les groupes de sécurité réseau (NSG).
Les équipes de sécurité n'ont pas besoin d'utiliser des adresses IP et des ports pour mettre en œuvre une politique. CloudSecure intègre la politique centrée sur les applications dans une syntaxe que les contrôles natifs du cloud peuvent comprendre. Il découvre ensuite les contrôles natifs du cloud requis pour déployer cette politique.

L'utilisation d'un modèle de politique basé sur des étiquettes signifie que chaque ressource cloud associée à une application aura la bonne étiquette.
Dans l'exemple d'attaque dans le cloud ci-dessus, si le système avait été divisé en segments, il aurait été beaucoup plus difficile pour les attaquants de passer d'une application à une autre. L'attaque aurait été limitée à un petit groupe de ressources au lieu de se propager rapidement à toutes avant d'être détectée.
Commencez votre essai gratuit d'Illumio CloudSecure aujourd'hui. Nous contacter pour en savoir plus sur la manière de stopper les brèches dans votre multicloud hybride grâce à la plateforme Illumio ZTS.