Le rapport 2023 Cloud Threat Landscape Report d’IBM X-Force indique que les identifiants volés sont les produits les plus vendus sur les marchés criminels du dark web, représentant près de 90 % des biens et services en vente. Des informations d’identification valides sont le vecteur d’accès initial le plus courant dans les atteintes à la sécurité du cloud, dans 36 % de tous les cas auxquels l’équipe X-Force IR a répondu au cours d’une période de 13 mois. Les acteurs de la menace qui cherchent à pénétrer un réseau ou à s'enfoncer plus profondément dans l'environnement d'une victime le font souvent en utilisant des informations d'identification légitimes, soit découvertes au cours d'une attaque, soit recueillies avant de cibler une victime spécifique. Dans les cas où l'infrastructure en cloud fait partie de la surface d'attaque, ces identifiants peuvent être utilisés pour accéder à des ressources spécifiques au cloud sans éveiller les soupçons.
Dans de nombreux cas, les criminels n'ont même pas besoin de débourser 10 dollars. X-Force a également découvert des identifiants en clair sur les terminaux des utilisateurs dans un tiers (33 %) de tous les incidents liés au cloud computing auxquels elle a répondu. Le rapport annuel est basé sur les renseignements sur les menaces de X-Force, les tests de pénétration, les missions de réponse aux incidents et l’analyse du dark web (certains fournis par Cybersixgill), tous collectés et compilés entre juin 2022 et juin 2023.
En particulier, il y avait une fréquence élevée d'identifiants de comptes de service stockés sur des terminaux, et beaucoup d'entre eux étaient surprivilégiés. Les utilisateurs ayant de grands privilèges peuvent être définis comme ceux qui ont plus d'autorisations qu'ils n'en ont besoin pour effectuer leur travail ou leur tâche. Les informations d'identification compromises ont été à l'origine de plus d'un tiers des incidents liés au cloud observés par l'équipe X-Force, ce qui suggère que les entreprises doivent trouver un équilibre entre les besoins d'accès des utilisateurs et les risques de sécurité.
« C'est un chiffre terriblement élevé par rapport à ce que le secteur devrait savoir à ce stade sur la conservation des secrets et des mots de passe en particulier », a déclaré Chris Caridi, analyste des cybermenaces chez IBM X-Force, auteur du rapport 2023 Cloud Threat Landscape Report (rapport sur les menaces liées au cloud).
À la lumière de ces autres statistiques, il n'est peut-être pas trop surprenant que des informations d'identification valides soient le vecteur d'accès initial le plus courant dans les atteintes à la sécurité du cloud, dans 36 % de tous les cas auxquels l'équipe X-Force IR a répondu au cours d'une période de 13 mois. Il illustre la façon dont les organisations sont devenues meilleures dans certains domaines comme la sécurité des points d'accès. En réponse, les cybercriminels ont trouvé un point d'entrée différent et plus efficace pour pénétrer dans les environnements informatiques des entreprises : le cloud.
Selon John Dwyer, responsable de la recherche chez X-Force, en 2020, les courtiers d'accès initiaux vendaient principalement des accès via des terminaux compromis. « Au cours des trois dernières années, nous avons constaté une augmentation des investissements dans la sécurité des terminaux », a déclaré Dwyer. « Nos clients se sont améliorés dans la détection des portes dérobées, qui sont directement liées aux attaques basées sur l'extorsion. Il est donc intéressant de constater que l'écosystème criminel se tourne vers les informations d'identification comme vecteur d'accès pour poursuivre ces opérations criminelles. »
La migration rapide vers l'informatique dématérialisée en 2020 est également en jeu, car les entreprises se sont empressées de s'adapter au travail à domicile induit par la pandémie. Si les entreprises ont rapidement adopté l'infrastructure en cloud, « nous n'avons pas vu le même type d'adoption avec une posture de sécurité spécifique au cloud », a déclaré Dwyer. « Les cybercriminels sont très attentifs à l'endroit où ils peuvent accéder, et c'est souvent par le biais de l'informatique en cloud en raison de son expansion rapide et de sa complexité. »
Cela souligne également la nécessité d'une meilleure gestion de l'identité et de l'accès dans le cloud, ce que d'autres analystes et chercheurs en sécurité ont noté, soulignant la prolifération des services en cloud et les autorisations qui y sont attachées.
Nombre total de vulnérabilités liées au cloud recensées par X-force
Conformément aux observations de l'équipe X-Force, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ont publié un avis commun au début de l'année 2023 en réponse à une campagne de rançongiciels en cours, baptisée ESXiArgs. Les acteurs de cette campagne de rançongiciels exploitaient les vulnérabilités des serveurs VMware ESXi (CVE-2021-219747) pour accéder aux serveurs ESXi, y déployer des rançongiciels et y chiffrer des fichiers, rendant ainsi les machines virtuelles (VM) potentiellement inutilisables.
CVE, abréviation de Common Vulnerabilities and Exposures (vulnérabilités et expositions communes), est une liste de failles de sécurité informatique divulguées publiquement. Lorsqu'on parle d'un CVE, il s'agit d'une faille de sécurité à laquelle a été attribué un numéro d'identification CVE. Les avis de sécurité publiés par les fournisseurs et les chercheurs mentionnent presque toujours au moins un numéro d'identification CVE. Les CVE aident les professionnels de l'informatique à coordonner leurs efforts pour établir des priorités et remédier à ces vulnérabilités afin de rendre les systèmes informatiques plus sûrs.
Dans le...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.