Dans le paysage numérique d’aujourd’hui, environ 60% des données d’entreprise résident désormais dans le cloud, Amazon S3 constituant l’épine dorsale du stockage de données pour de nombreuses grandes entreprises.
Bien que S3 soit un service sécurisé proposé par un fournisseur réputé, son rôle central dans le traitement de grandes quantités de données sensibles (informations personnelles des clients, données financières, propriété intellectuelle, etc.) constitue une cible juteuse pour les acteurs malveillants. Il reste vulnérable aux attaques de ransomwares qui sont souvent lancées à l’aide de clés d’accès divulguées qui ont été accidentellement exposées par une erreur humaine et ont accès aux compartiments de l’organisation.
Pour lutter efficacement contre ces menaces évolutives, il est essentiel de garantir que votre organisation dispose d’une visibilité sur votre environnement S3, que vous êtes conscient de la manière dont les acteurs malveillants peuvent compromettre les données contre une rançon et, plus important encore, des meilleures pratiques pour minimiser le risque que les cybercriminels exécutent avec succès. une telle attaque.
Assurer la visibilité : journaux d’accès CloudTrail et serveur
La visibilité sert de base à toute stratégie de détection efficace. Dans Amazon S3, presque chaque action se traduit par un appel d’API, qui est méticuleusement enregistré dans CloudTrail et documenté dans la documentation AWS.
Les deux principales options de journalisation des activités dans les compartiments S3 (les événements de données CloudTrail et les journaux d’accès au serveur) contiennent une multitude d’informations que les professionnels de la sécurité doivent exploiter pour anticiper et détecter les activités suspectes. Chacun offre des avantages et des compromis distincts :
- Événements de données Cloud Trail : offrent une visibilité sur les opérations de ressources effectuées sur ou au sein d’une ressource en temps réel, mais entraînent des implications potentielles en termes de coûts en raison des volumes élevés d’appels d’API.
- Journaux d’accès au serveur : accès gratuit aux enregistrements pour chaque demande adressée à votre compartiment S3, mais s’accompagne de retards potentiels dans la disponibilité des journaux et d’une journalisation potentielle avec moins d’intégrité.
 |
| Les avantages et les compromis entre les journaux d’accès au serveur et les journaux AWS CloudTrial. |
Atténuer les risques en comprenant les scénarios d’attaque
En utilisant les journaux ci-dessus pour garantir une visibilité adéquate, il est possible de garder un œil sur les scénarios d’attaque potentiels afin d’atténuer efficacement les risques. Nous observons trois principaux scénarios d’attaque avec les attaques du ransomware S3, qui peuvent tous empêcher une organisation d’accéder à ses données. Vous trouverez ci-dessous les scénarios d’attaque, ainsi que des liens vers des requêtes de recherche que l’équipe d’experts en chasse aux menaces de Hunters’ Équipe Axon a partagé publiquement qui permet à quiconque de rechercher ces scénarios d’attaque dans son propre environnement :
- Cryptage d’objets : les ransomwares impliquent généralement le cryptage de fichiers pour refuser à une organisation l’accès à ses fichiers, nuire aux opérations commerciales et exiger une rançon pour récupérer les fichiers.
- Requête de chasse : https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_objects_encrypted_with_a_kms_key_not_owned_by_the_organization.sql
- Suppression d’objets – Opérations de suppression : la suppression de tous les objets d’un compartiment est un moyen simple pour les acteurs malveillants d’avoir un impact majeur sur les opérations commerciales, améliorant ainsi les chances des victimes de payer une rançon.
- Requête de chasse : https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_unauthorized_object_deletions.sql
- Suppression d’objets – Politique de cycle de vie : un moyen moins simple mais plus silencieux de supprimer des fichiers dans Cloudtrail qui offre toujours de fortes chances d’obtenir une rançon payée
*Remarque : Chiffrement d’objets et suppression d’objets – Les opérations de suppression nécessitent l’activation des événements de données Cloudtrail pour les compartiments appropriés.
Chaque scénario entraîne des perturbations importantes, empêchant potentiellement les organisations d’accéder aux données critiques. En examinant les autorisations requises, les perspectives des attaquants et les méthodes de détection pour chaque scénario, les organisations peuvent se préparer de manière proactive aux menaces potentielles.
Protection et bonnes pratiques
Comprendre les scénarios d’attaque permet de fournir un contexte sur la manière de mettre en œuvre des mesures proactives pour réduire considérablement la surface d’attaque. Plusieurs mesures peuvent être prises pour améliorer la sécurité des compartiments S3 contre la menace des ransomwares.
- Utilisez des rôles IAM pour les informations d’identification à court terme : évitez d’utiliser des clés d’accès IAM statiques. Si vous utilisez des utilisateurs IAM, assurez-vous d’activer l’authentification multifacteur (MFA) pour eux.
- Suivez le principe du moindre privilège : cela garantit que les utilisateurs et les rôles possèdent uniquement les autorisations nécessaires à leurs tâches. De plus, utilisez des stratégies de compartiment pour restreindre l’accès à ces ressources essentielles.
- Activer le versioning S3 : cela signifie conserver une trace de chaque version de chaque objet stocké dans votre bucket au lieu de le modifier directement. Ceci est très efficace contre les remplacements ou suppressions non autorisés.
- Activer le verrouillage d’objet S3 : fonctionnant sur un modèle WORM (écriture unique, lecture multiple), cela signifie que vos données ne peuvent être supprimées par personne (les données sont « verrouillées »), ce qui protège contre les modifications pendant des périodes définies.
- Configurer AWS Backup/Bucket Replication : il peut s’agir de toute forme de sauvegarde distincte en termes d’emplacement et de contrôle d’accès de votre compartiment actuel.
- Implémentez le chiffrement côté serveur avec les clés AWS KMS : cela donne à votre organisation un contrôle spécifique sur qui peut accéder aux objets du compartiment. Cela fournit encore un autre niveau de protection contre ceux qui peuvent chiffrer et déchiffrer les objets de votre compartiment.
Conclusion
Alors que les volumes de données continuent d’augmenter, la sécurisation d’Amazon S3 est primordiale pour protéger des millions d’organisations contre les attaques de ransomwares et l’évolution des cybermenaces.
Hiérarchiser les menaces, garantir la visibilité via CloudTrail et les journaux d’accès au serveur et mettre en œuvre des mesures proactives sont des étapes essentielles pour atténuer les risques. En adoptant ces stratégies, les organisations peuvent renforcer la protection de leurs compartiments S3 et garantir l’intégrité et la sécurité de leurs données critiques.
Pour une analyse plus détaillée des scénarios d’attaque courants et des meilleures pratiques, consultez un vidéo approfondie de l’équipe Axon. Team Axon est la branche experte en matière de chasse aux menaces du remplacement populaire du SIEM. Chasseurset offre une réponse rapide aux cybermenaces émergentes, une expertise cyber à la demande et une chasse proactive aux menaces dans les environnements des clients. Suivez l’équipe Axon sur X pour des mises à jour opportunes sur les cybermenaces émergentes et du contenu cyber de première qualité.