Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonÉtude Google Cloud : risque important lié à la prolifération des informations d'identification et des clés
Étude Google Cloud : risque important lié à la prolifération des informations d'identification et des clés
Votre e mail a été envoyé
Clés, identifiants et comptes, oh mon Dieu ! Une nouvelle étude de Google Cloud montre que les attaquants s'attaquent au ventre mou de l'entreprise : la gestion des accès aux identités.
Les informations d'identification sont le talon d'Achille de la sécurité des entreprises, selon un nouveau rapport de la Cybersecurity Action Team de Google Cloud, qui révèle que les vulnérabilités des informations d'identification représentaient 60 % des facteurs de compromission parmi les utilisateurs de Google Cloud. Le groupe de sécurité de l'entreprise a déclaré, dans son nouveau rapport Threat Horizons, que le renforcement de ces points faibles peut être obtenu en accordant une attention élémentaire aux détails de confiance zéro, y compris de solides garde-fous de gestion des identités.
De plus, l'équipe Google Cloud a signalé que les problèmes de mauvaise configuration représentaient 19 % des facteurs de compromission, qui étaient également associés à d'autres facteurs de compromission tels que les interfaces de programmation d'applications ou les interfaces utilisateur sensibles exposées à des problèmes tels que des pare-feu mal configurés (Figure A).
Figure A
« Chaque trimestre, nous constatons les mêmes activités, mais les attaquants sont de plus en plus sophistiqués dans la manière dont ils les mettent en œuvre », a déclaré Matt Shelton, responsable de la recherche et de l'analyse des menaces chez Google Cloud. « Nous continuons de considérer l'IAM comme le problème numéro un et je pense que nous continuerons de le constater au cours des prochains trimestres. Les identifiants de compte volés et les erreurs de configuration sont ce que tout le monde recherche ces jours-ci », a-t-il ajouté.
Sauter à:
Dans le rapport conçu pour les utilisateurs professionnels de Google Cloud, l'équipe a analysé les statistiques d'alerte anonymisées du premier trimestre 2023 de Chronicle, la suite logicielle en tant que sécurité de Google pour les centres d'opérations de sécurité, afin d'identifier les facteurs de risque induisant des compromissions.
Les alertes prédominantes au premier trimestre 2023, représentant près de 75 % des alertes, concernaient des abus entre projets des autorisations de génération de jetons d'accès. D'une manière générale, il s'agit d'un problème de gestion des accès aux privilèges, impliquant fréquemment des comptes surprovisionnés, où les équipes informatiques cherchent à augmenter la disponibilité et à réduire la complexité en accordant trop d'accès aux comptes, violant ainsi le concept de moindre privilège.
Shelton a souligné que les comptes surprovisionnés sont courants avec l'accès aux identités entre projets, expliquant qu'un utilisateur crée très généralement un compte de service avec trop d'autorisations, afin de faciliter le travail. L'attaquant vole ensuite ces informations d'identification et tente d'effectuer des actions telles que l'accès à un autre projet ou l'augmentation des privilèges.
"Les comptes surprovisionnés s'appliquent généralement aux comptes de service ou d'administrateur privilégiés, donc les conséquences d'un identifiant volé sont pires que s'il s'agissait d'un compte d'utilisateur final", a déclaré Shelton.
Un exemple de faux pas de surprovisionnement est l’utilisation excessive de clés de shell sécurisées, qui donnent accès à des protocoles réseau cryptés et sécurisés conçus pour permettre aux machines de communiquer sur un réseau ouvert non sécurisé. Les clés SSH sont utilisées pour effectuer des actions à distance telles que les transferts de fichiers, la gestion du réseau et l'accès aux systèmes d'exploitation.
« Si je suis un administrateur qui se connecte à une instance GCP Linux, j'ai une clé privée sur mon point de terminaison qu'un méchant peut voler et l'utiliser pour se connecter. C'est un vecteur d'attaque qui existe depuis des années et des années. Nous avons évolué au-delà de cela, mais il est toujours largement utilisé dans l'industrie, comme le montre notre rapport », a déclaré Shelton. « C’est encore un autre magasin d’identité dont vous devez garder une trace. Personne ne met une clé SSH sur un système de faible priorité, c'est toujours sur le système Unix back-end qui contient des données sensibles », a-t-il déclaré. (Figure B).
Figure B
Shelton a déclaré qu'une meilleure tactique consiste à utiliser le nom d'utilisateur et le mot de passe fournis avec l'outil Google IAM. « C’est une confiance zéro. Il garantit que vous disposez d'un compte, d'un mot de passe avec authentification multifacteur, d'un emplacement central où vous pouvez le désactiver ou de le réactiver et d'un endroit central pour consulter les journaux. Notre recommandation est donc la suivante : oui, l’IAM est l’un des principaux vecteurs de compromission, mais il existe des outils basés sur les principes de confiance zéro qui peuvent vous aider à protéger votre compte », a-t-il déclaré.