L’adoption massive de l’infrastructure cloud est pleinement justifi\u00e9e par d’innombrables avantages. Par cons\u00e9quent, aujourd’hui, les applications m\u00e9tier, les charges de travail et les donn\u00e9es les plus sensibles des entreprises se trouvent dans le cloud.<\/p>\n
Les pirates, bons et mauvais, ont remarqu\u00e9 cette tendance et ont efficacement fait \u00e9voluer leurs techniques d’attaque pour correspondre \u00e0 ce nouveau paysage cible all\u00e9chant. Avec la r\u00e9activit\u00e9 et l’adaptabilit\u00e9 \u00e9lev\u00e9es des acteurs de la menace, il est recommand\u00e9 de supposer que les organisations sont attaqu\u00e9es et que certains comptes d’utilisateurs ou applications ont peut-\u00eatre d\u00e9j\u00e0 \u00e9t\u00e9 compromis.<\/p>\n
Pour savoir exactement quels actifs sont menac\u00e9s par des comptes compromis ou des actifs pirat\u00e9s, il faut cartographier les chemins d’attaque potentiels sur une carte compl\u00e8te de toutes les relations entre les actifs. <\/p>\n
Aujourd’hui, la cartographie des chemins d’attaque potentiels est effectu\u00e9e avec des outils d’analyse tels qu’AzureHound ou AWSPX. Il s’agit d’outils bas\u00e9s sur des graphiques permettant de visualiser les relations entre les actifs et les ressources au sein du fournisseur de services cloud associ\u00e9.<\/p>\n
En r\u00e9solvant les informations de politique, ces collecteurs d\u00e9terminent comment des chemins d’acc\u00e8s sp\u00e9cifiques affectent des ressources sp\u00e9cifiques et comment la combinaison de ces chemins d’acc\u00e8s peut \u00eatre utilis\u00e9e pour cr\u00e9er des chemins d’attaque.<\/p>\n
Ces collecteurs bas\u00e9s sur des graphiques affichent des r\u00e9sultats topologiques cartographiant toutes les entit\u00e9s h\u00e9berg\u00e9es dans le cloud dans l’environnement et les relations entre elles.<\/p>\n
Les liens entre chaque entit\u00e9 \u00e9tablis dans le graphe r\u00e9sultant sont analys\u00e9s en fonction des propri\u00e9t\u00e9s de l’actif pour extraire la nature exacte de la relation et l’interaction logique entre les actifs en fonction : <\/p>\n
- \n
- La direction de la relation – est la direction de connexion de l’actif X \u00e0 l’actif Y ou l’inverse.<\/li>\n
- Le type de relation – est l’actif X\u00a0:<\/li>\n
- \n
- Contenu par l’actif Y<\/li>\n
- Peut acc\u00e9der \u00e0 l’actif\u00a0Y<\/li>\n
- Peut agir sur l’actif Y<\/li>\n
- \u2026<\/li>\n<\/ul>\n<\/ul>\n
L’objectif des informations fournies est d’aider les \u00e9quipes rouges \u00e0 identifier les mouvements lat\u00e9raux potentiels et les voies d’attaque d’escalade de privil\u00e8ges et les \u00e9quipes bleues \u00e0 trouver des moyens de bloquer l’escalade critique et d’arr\u00eater un attaquant.<\/p>\n
Le mot-cl\u00e9 dans cette phrase est “aider”. La sortie de cartographie compl\u00e8te qu’ils g\u00e9n\u00e8rent est un r\u00e9sultat passif, dans la mesure o\u00f9 les informations doivent \u00eatre analys\u00e9es et trait\u00e9es avec pr\u00e9cision et en temps opportun pour cartographier efficacement les chemins d’attaque potentiels et prendre des mesures pr\u00e9ventives.<\/p>\n
Bien que les informations fournies par les collecteurs sp\u00e9cifiques au cloud mettent en lumi\u00e8re les erreurs de configuration dans la gestion des acc\u00e8s \u00e0 privil\u00e8ges et les politiques d\u00e9fectueuses du gestionnaire d’acc\u00e8s \u00e0 l’identit\u00e9 (IAM) et permettent des actions correctives pr\u00e9ventives, elles ne parviennent pas \u00e0 d\u00e9tecter les couches d’autorisation secondaires potentielles qu’un attaquant pourrait exploiter pour se tailler un chemin d’attaque.<\/p>\n
Cela n\u00e9cessite des capacit\u00e9s analytiques suppl\u00e9mentaires capables d’effectuer une analyse approfondie, par exemple, des actifs contenants et des relations passives relatives aux actifs contenus. Cymulate d\u00e9veloppe actuellement une bo\u00eete \u00e0 outils qui op\u00e9rationnalise une approche de d\u00e9couverte plus active qui effectue une analyse beaucoup plus approfondie. <\/p>\n
Par exemple, si nous imaginons une situation o\u00f9 l’utilisateur privil\u00e9gi\u00e9 A a acc\u00e8s au coffre de cl\u00e9s X, un collecteur bas\u00e9 sur des graphes mappera correctement la relation entre l’utilisateur A et l’actif X.<\/p>\n
Dans ce cas, il n’y a pas de relation directe entre l’utilisateur A et les secrets contenus dans le coffre de cl\u00e9s X. Selon la classification ci-dessus, si nous appelons les actifs secrets Y(1 \u00e0 n<\/em>), les relations d\u00e9crites par le collecteur sont :<\/p>\n
- \n
- L’actif Y est contenu dans l’actif X<\/li>\n
- Le sens de la connexion entre l’utilisateur A et l’actif X est A \u21d2 X.<\/li>\n<\/ul>\n
D’un point de vue contradictoire, cependant, l’acc\u00e8s au coffre de cl\u00e9s offre la possibilit\u00e9 d’acc\u00e9der \u00e0 tous les actifs accessibles via ces secrets. En d’autres termes, la carte de relations bas\u00e9e sur un graphique ne parvient pas \u00e0 identifier les relations entre l’utilisateur A et les actifs Y (1 \u00e0 n<\/em>). Cela n\u00e9cessite des capacit\u00e9s d’analyse permettant d’identifier les relations entre les actifs contenus dans d’autres actifs et les actifs externes \u00e0 l’actif contenant.<\/p>\n
Dans ce cas, pour d\u00e9terminer exactement quels actifs sont potentiellement menac\u00e9s par l’utilisateur A, il faut cartographier tous les actifs li\u00e9s aux secrets stock\u00e9s dans le coffre de cl\u00e9s X.<\/p>\n
La vaste gamme de capacit\u00e9s de validation de s\u00e9curit\u00e9 continue de Cymulate unifi\u00e9es dans une plate-forme de gestion \u00e9tendue de la posture de s\u00e9curit\u00e9 (XSPM) est d\u00e9j\u00e0 adopt\u00e9e par les red teamers pour automatiser, mettre \u00e0 l’\u00e9chelle et personnaliser les sc\u00e9narios et les campagnes d’attaque. Toujours \u00e0 la recherche de nouvelles fa\u00e7ons de les aider \u00e0 surmonter ces d\u00e9fis, Cymulate s’engage \u00e0 enrichir en permanence l’ensemble d’outils de la plate-forme avec des fonctionnalit\u00e9s suppl\u00e9mentaires.<\/p>\n
Explorer Capacit\u00e9s XSPM<\/a> librement \u00e0 votre guise.<\/p>\n
Remarque : Cet article a \u00e9t\u00e9 \u00e9crit par <\/em>Cymuler<\/em><\/a> Laboratoires de recherche.<\/em><\/p>\n
<\/p>\n<\/div>\n