L’adoption massive de l’infrastructure cloud est pleinement justifiée par d’innombrables avantages. Par conséquent, aujourd’hui, les applications métier, les charges de travail et les données les plus sensibles des entreprises se trouvent dans le cloud.
Les pirates, bons et mauvais, ont remarqué cette tendance et ont efficacement fait évoluer leurs techniques d’attaque pour correspondre à ce nouveau paysage cible alléchant. Avec la réactivité et l’adaptabilité élevées des acteurs de la menace, il est recommandé de supposer que les organisations sont attaquées et que certains comptes d’utilisateurs ou applications ont peut-être déjà été compromis.
Pour savoir exactement quels actifs sont menacés par des comptes compromis ou des actifs piratés, il faut cartographier les chemins d’attaque potentiels sur une carte complète de toutes les relations entre les actifs.
Aujourd’hui, la cartographie des chemins d’attaque potentiels est effectuée avec des outils d’analyse tels qu’AzureHound ou AWSPX. Il s’agit d’outils basés sur des graphiques permettant de visualiser les relations entre les actifs et les ressources au sein du fournisseur de services cloud associé.
En résolvant les informations de politique, ces collecteurs déterminent comment des chemins d’accès spécifiques affectent des ressources spécifiques et comment la combinaison de ces chemins d’accès peut être utilisée pour créer des chemins d’attaque.
Ces collecteurs basés sur des graphiques affichent des résultats topologiques cartographiant toutes les entités hébergées dans le cloud dans l’environnement et les relations entre elles.
Les liens entre chaque entité établis dans le graphe résultant sont analysés en fonction des propriétés de l’actif pour extraire la nature exacte de la relation et l’interaction logique entre les actifs en fonction :
La direction de la relation – est la direction de connexion de l’actif X à l’actif Y ou l’inverse.
Le type de relation – est l’actif X :
Contenu par l’actif Y
Peut accéder à l’actif Y
Peut agir sur l’actif Y
…
L’objectif des informations fournies est d’aider les équipes rouges à identifier les mouvements latéraux potentiels et les voies d’attaque d’escalade de privilèges et les équipes bleues à trouver des moyens de bloquer l’escalade critique et d’arrêter un attaquant.
Le mot-clé dans cette phrase est « aider ». La sortie de cartographie complète qu’ils génèrent est un résultat passif, dans la mesure où les informations doivent être analysées et traitées avec précision et en temps opportun pour cartographier efficacement les chemins d’attaque potentiels et prendre des mesures préventives.
Bien que les informations fournies par les collecteurs spécifiques au cloud mettent en lumière les erreurs de configuration dans la gestion des accès à privilèges et les politiques défectueuses du gestionnaire d’accès à l’identité (IAM) et permettent des actions correctives préventives, elles ne parviennent pas à détecter les couches d’autorisation secondaires potentielles qu’un attaquant pourrait exploiter pour se tailler un chemin d’attaque.
Cela nécessite des capacités analytiques supplémentaires capables d’effectuer une analyse approfondie, par exemple, des actifs contenants et des relations passives relatives aux actifs contenus. Cymulate développe actuellement une boîte à outils qui opérationnalise une approche de découverte plus active qui effectue une analyse beaucoup plus approfondie.
Par exemple, si nous imaginons une situation où l’utilisateur privilégié A a accès au coffre de clés X, un collecteur basé sur des graphes mappera correctement la relation entre l’utilisateur A et l’actif X.
Dans ce cas, il n’y a pas de relation directe entre l’utilisateur A et les secrets contenus dans le coffre de clés X. Selon la classification ci-dessus, si nous appelons les actifs secrets Y(1 à n), les relations décrites par le collecteur sont :
L’actif Y est contenu dans l’actif X
Le sens de la connexion entre l’utilisateur A et l’actif X est A ⇒ X.
D’un point de vue contradictoire, cependant, l’accès au coffre de clés offre la possibilité d’accéder à tous les actifs accessibles via ces secrets. En d’autres termes, la carte de relations basée sur un graphique ne parvient pas à identifier les relations entre l’utilisateur A et les actifs Y (1 à n). Cela nécessite des capacités d’analyse permettant d’identifier les relations entre les actifs contenus dans d’autres actifs et les actifs externes à l’actif contenant.
Dans ce cas, pour déterminer exactement quels actifs sont potentiellement menacés par l’utilisateur A, il faut cartographier tous les actifs liés aux secrets stockés dans le coffre de clés X.
La vaste gamme de capacités de validation de sécurité continue de Cymulate unifiées dans une plate-forme de gestion étendue de la posture de sécurité (XSPM) est déjà adoptée par les red teamers pour automatiser, mettre à l’échelle et personnaliser les scénarios et les campagnes d’attaque. Toujours à la recherche de nouvelles façons de les aider à surmonter de tels défis, Cymulate s’engage à enrichir en permanence l’ensemble d’outils de la plate-forme avec des fonctionnalités supplémentaires.
Explorez les capacités XSPM librement à votre guise.
Remarque : cet article a été rédigé par Cymulate Research Labs.