La dernière décennie a été marquée par une formidable démocratisation de l'informatique et, par conséquent, par l'augmentation de la diversité des environnements en nuage. La plupart des entreprises de sécurité ont dénoncé la dispersion des services informatiques entre un grand nombre de fournisseurs, mais cette diversité n'est pas à combattre. Au contraire, nos recherches auprès des RSSI indiquent que si l'augmentation du nombre de fournisseurs complique les pratiques de sécurité, la démocratisation de l'informatique favorise une culture axée sur l'innovation et l'utilisation de services en nuage spécialisés et rentables, ce qui aide les entreprises à long terme.
Bien qu'il ne faille pas lutter contre la diversité des nuages, les entreprises doivent gérer et surveiller activement les ressources dynamiques réparties sur un ensemble varié de fournisseurs et surveiller en permanence les nouveaux actifs ShadowCloudTM afin qu'ils puissent être activement découverts, suivis et placés dans un état de sécurité gérée. Il s'agit d'une approche que nous appelons Inventaire continu, dans laquelle une découverte de premier ordre et une surveillance continue sont essentielles pour suivre le rythme rapide de l'évolution de vos environnements en nuage.
Il existe plusieurs approches pour déterminer les actifs que vous possédez dans le nuage, que nous allons examiner ci-dessous :
- Surveillance du trafic: Dans ce mode, tout le trafic sortant des points de sortie d'une entreprise est surveillé pour être dirigé vers un ensemble d'environnements en nuage connus. Cette méthode fonctionne très bien pour détecter les problèmes en temps réel, mais elle peut être bruyante et ces systèmes ne détectent que le trafic dont les points de sortie ont été correctement configurés dans l'ensemble de l'organisation. Pour de nombreuses grandes organisations, cela peut ne pas garantir une couverture à 100 %, ni couvrir l'infrastructure mise en place par des tiers ou les employés travaillant à domicile qui ne passent pas par l'infrastructure de l'entreprise. Et comme nous le savons, les développeurs/développeurs et les services de marketing, qui sont à l'origine d'une grande partie des actifs inconnus de nos clients, veulent agir rapidement pour accomplir leur travail et mettront en place l'infrastructure avec le moins de résistance possible et l'oublieront bien souvent.
- Intégrations: Dans ce modèle, les entreprises intègrent tous leurs signaux internes en un point unique où divers logiciels comme ActiveDirectory, Endpoint Protection, VPN, CMDB et d'autres logiciels se rencontrent dans un modèle de données unique. Bien que les produits SIEM traditionnels fassent quelque chose de similaire, ils ne normalisent pas ces données en une source unique de vérité pour la gestion des actifs. Ces modèles fonctionnent bien si vous disposez d'intégrations approfondies, mais ils souffrent également du paradigme de l'entrée et de la sortie des déchets. Il est peu probable qu'ils fonctionnent aussi bien avec des actifs créés par des tiers, des travailleurs à distance et des actifs non approuvés. Les intégrations sont nécessaires pour contextualiser les informations provenant de certaines des autres méthodes de découverte décrites dans le présent document, afin que vous puissiez prendre les mesures qui s'imposent.
- Outils de surveillance de l'informatique en nuage: Dans ce modèle, un ensemble d'intégrations d'api dans les principaux fournisseurs d'informatique en nuage permet d'avoir une vision approfondie des actifs mis en œuvre dans ces environnements. Bon nombre de ces outils interagissent avec la configuration de l'environnement en nuage et n'évaluent pas vraiment ce qui se passe au niveau de l'hôte lui-même. Ils vont très loin pour trouver les risques dans les fournisseurs de cloud connus en utilisant les données de configuration, mais ils échouent souvent à trouver les comptes fantômes dans ces fournisseurs connus et les fournisseurs de cloud inconnus, ou ce que nous appelons ShadowCloudTM.
- Internet Wide Perspective: À Censys, nous adoptons une approche différente des modèles présentés ci-dessus. Nous examinons l'ensemble de l'internet grâce à des années de recherches universitaires menées à l'université du Michigan qui nous permettent de découvrir, de suivre et de contrôler chaque appareil exposé publiquement à l'internet. En fait, pour nous vanter, nous voyons plus de 40 % de l'internet en plus que notre concurrent le plus proche. C'est la clé pour trouver toutes les informations à longue traîne qui se cachent dans l'ombre et qui représentent tous les risques. Grâce à un algorithme que nous avons mis des années à développer, nous sommes en mesure d'utiliser ces données ainsi que d'autres ensembles de données pour associer ou attribuer les actifs qui appartiennent à une organisation. Pensez aux noms, aux certificats, aux données WhoIS, aux bases de données d'acquisition, etc. L'algorithme utilise nos ensembles de données Internet universelles pour faire pivoter tout ce que nous trouvons afin de construire un graphique d'une organisation. Ce qui est intéressant, c'est que nous voyons non seulement l'infrastructure créée au sein de l'organisation, mais nous sommes également en mesure de trouver l'infrastructure créée par des tiers, des travailleurs à domicile, et même l'infrastructure que les attaquants ont créée pour se faire passer pour votre organisation. Il permet de trouver des infrastructures que les intégrations et la surveillance du trafic ne suffisent pas à détecter. Enfin, il nous permet d'effectuer des recherches intéressantes dans plusieurs entreprises et sur Internet !
ShadowCloud est la norme. Dans un échantillon représentatif de plus de 50 grandes entreprises, nous avons trouvé les principaux fournisseurs de nuages publics et privés fournissant un mélange de IaaS, PaaS, SaaS et CDN. Nous avons pu associer les surfaces d'attaque de notre échantillon aux fournisseurs de services en nuage suivants :
Choquant, n'est-ce pas ? La liste est encore plus longue, mais il s'agit là d'un bon échantillon. Certains d'entre eux pourraient même causer d'importants maux de tête en matière de conformité. Nos clients connaissent généralement les 3 à 5 principaux fournisseurs de services en nuage, mais ils sont étonnés de constater que leur surface d'attaque comprend une longue liste de fournisseurs de services en nuage. Nos recherches montrent que cette longue queue d'instances cloud inconnues contient le plus souvent certains des risques les plus élevés de fuite de données et d'accès non autorisé.
Nous pensons qu'une combinaison de découverte d'actifs, en utilisant certaines des meilleures techniques décrites ci-dessus, combinée à une perspective à l'échelle de l'Internet, est la seule approche pour trouver tous vos actifs et leurs risques. La gestion de la surface d'attaque consiste à découvrir tous vos actifs externes et leurs risques, mais surtout à fournir une visibilité sur l'écosystème dynamique et en croissance rapide du cloud. Chez Censys, nous sommes la gestion de la surface d'attaque pour ceux qui migrent vers le nuage et qui cherchent à établir une base de référence pour leurs actifs externes afin de mettre leur nuage fantôme dans un état géré.
N'hésitez pas à nous contacter et nous serons ravis d'examiner avec vous à quoi ressemble votre longue traîne dans le nuage - il y a de fortes chances que vous soyez très surpris.
