Secu
Cybersécurité : Comment le Cloud a changé la donne ?
Par La rédaction, publié le 27 août 2024
5 secondes pour détecter… 5 minutes pour analyser… 5 minutes pour répondre… Telle est la règle du Benchmark 555 qui définit les attentes en matière de cybersécurité dans le Cloud. Pourtant, les outils traditionnels comme l’EDR et l’XDR peinent à suivre ce rythme face à des attaques de plus en plus automatisées et rapides.
Par Pierre Gagnon, Ingénieur cybersécurité chez Sysdig France
Certaines organisations commencent tout juste à migrer vers le Cloud, tandis que d’autres y sont déjà pleinement installées. Mais finalement tout le monde est déjà dans le Cloud d’une manière ou d’une autre. Et pour cause : le Cloud offre des avantages considérables en termes de rapidité, d’évolutivité et de coût.
Mais les cyberattaquants modernes ont eux aussi également tiré profit de la migration vers le Cloud. En automatisant leurs attaques dans le Cloud, les cybercriminels peuvent en effet exécuter une attaque en 10 minutes ou moins ! L’opération avancée SCARLETEEL, qui peut pénétrer dans une organisation en seulement 220 secondes, est un excellent exemple. Nous pouvons affirmer sans risque que les cybercriminels peuvent désormais atteindre des cibles plus rapidement que le temps mis par certaines requêtes SIEM pour renvoyer leurs résultats…
Ces attaques rapides dans le Cloud sont également dynamiques ; elles peuvent tirer parti de nombreuses techniques dans le Cloud pour atteindre leur objectif. Ces attaques vont des plus simples – comme les mineurs de bitcoins qui utilisent des ressources à l’insu de leurs victimes et génèrent des hausses de consommation fortes – aux techniques avancées – comme l’exfiltration de données et les ransomwares. Ces derniers peuvent entraîner des temps d’arrêt considérables, ainsi que des pertes financières et de réputation.
Les outils EDR et XDR sont inadaptés au Cloud
La vitesse et la complexité de ces attaques dans le Cloud constituent un cauchemar pour les RSSI. Et malheureusement les outils en vogue, tels que les EDR et XDR sont fondamentalement inadaptés au Cloud. En effet, les équipes de sécurité qui s’appuient sur ces technologies se retrouvent aux prises avec des données incomplètes et cloisonnées qui manquent de contexte, ce qui ralentit considérablement les enquêtes.
Selon la norme 555 Benchmark for Cloud Detection and Response (5 secondes pour détecter, 5 minutes pour analyser, 5 minutes pour répondre) , nous disposons de seulement 5 minutes pour mener des investigations dans le Cloud. Mais les flux de travail complexes, multipartites et souvent manuels dans lesquels les équipes sont embourbées peuvent donner l’impression que les 5 minutes pour enquêter sur une alerte sont de l’ordre de 5 millisecondes. Si l’on multiplie cela par le flot d’alertes auxquelles les équipes de sécurité sont souvent confrontées en même temps, nous obtenons une tâche d’apparence impossible !
Pour accélérer les enquêtes et relever le défi des 5 minutes, les équipes de sécurité doivent s’attaquer à ces trois principaux problèmes :
- Les enquêtes prennent trop de temps
- Les outils existants sont souvent inadaptés
- Les environnements business « Cloud-natifs » sont fragmentés
Des enquêtes qui prennent trop de temps
Trop souvent, des données incomplètes et cloisonnées ralentissent le processus d’investigation. Pour relier les points d’une enquête sur une menace, les analystes sont souvent obligés de collecter et de corréler manuellement des preuves à travers de multiples outils et domaines.
Cette approche décousue et inefficace entrave considérablement la productivité de l’équipe chargée de la sécurité et de la plateforme de cybersécurité qu’ils utilisent. Les retards dans les temps de réponse qui s’ensuivent augmentent les risques et les coûts pour l’organisation, tout en affaiblissant sa position en matière de sécurité. Même dans les scénarios où l’attaque est connue, les équipes sont tout simplement incapables d’agir à temps.
Les outils existants racontent une histoire, mais pas une histoire utile
Relier rapidement les informations pertinentes issues des outils de détection et réponse dans le Cloud – dans des environnements Cloud multidimensionnels et complexes – est une tâche ardue. De nombreux fournisseurs promettent de relever ce défi, mais beaucoup n’y parviennent pas.
Souvent, les flux d’alertes et les données d’identité sont une collection de flux de données brutes, non filtrées ou incomplètes. Ces fils d’Ariane manquent d’informations essentielles sur le volume ou la nature des alertes au fil du temps, ce qui rend difficile la compréhension, la hiérarchisation et la réponse efficace aux menaces.
Les environnements business « Cloud-natifs » sont fracturés
Traditionnellement, les services cybersécurité opérant dans des environnements sur site étaient en mesure de gérer tous les aspects de la menace de bout en bout. Les complexités du Cloud signifient que cette responsabilité est souvent partagée entre des équipes disparates. Ces équipes peuvent avoir des objectifs et des priorités différents, mais elles doivent néanmoins collaborer pour garantir la sécurité de l’organisation.
Malheureusement, les approches EDR et XDR traditionnelles ne disposent pas du contexte Cloud nécessaire pour comprendre le qui, le quoi, le où et le comment d’une attaque avant qu’une fuite ne se produise. Sans ce contexte, les équipes ont du mal à comprendre et à communiquer les informations clés dont elles ont besoin pour collaborer efficacement. Les équipes qui gèrent les contrôles préventifs sont incapables de renforcer les protections, laissant les mêmes vulnérabilités ouvertes pour de futures attaques. Et les équipes de réponse sont incapables de réagir efficacement, ce qui augmente le risque de menaces non détectées dans leur parc informatique et peut conduire à une faille matérielle.
En outre, sans plateforme commune, les équipes travaillent souvent avec des informations et une terminologie différentes. Elles ne parlent effectivement pas la même langue, ce qui rend difficile le partage des étapes de collaboration, du contexte normatif et des actions de réponse entre les équipes.
Une lumière au bout du tunnel : le vrai CDR
Nous l’avons vu, les outils EDR et XDR sont très efficaces pour gérer les postes de travail, mais ils ne sont fondamentalement pas adaptés à la sécurité dans le Cloud. Pour lutter efficacement contre les menaces liées au Cloud, les équipes de sécurité ont besoin d’une solution de détection et de réponse complète et exploitable, spécialement conçue pour les complexités et la rapidité du Cloud. C’est ce que nous appelons le Cloud Detection and Response ou CDR.
Une solution de détection et de réponse véritablement conçue pour le Cloud doit être capable de détecter les menaces connues et inconnues sur l’ensemble du parc informatique d’une organisation, en temps réel ou quasi réel. La solution doit automatiquement corréler les informations relatives à la posture et à l’exécution afin d’obtenir un véritable contexte Cloud-natif, d’accélérer les flux de travail et d’éliminer les lacunes liées au manque de compétences. Elle doit également débloquer les boucles de retour d’information pour les principales parties prenantes, supprimer les frictions entre les environnements business fragmentés et fournir aux équipes une source unique de vérité.
En mettant en œuvre une véritable solution CDR qui offre ces capacités, les responsables et les professionnels de la sécurité peuvent récolter les fruits de l’efficacité des analystes, de la réduction des risques et de l’optimisation des coûts.
Comprendre les menaces liées au Cloud avec la rapidité et la profondeur qu’elles exigent peut sembler impossible, mais ce n’est pas une fatalité. Pour enquêter sur les menaces à la vitesse du Cloud, il faut des solutions de sécurité conçues pour le Cloud.
Ainsi, une fois que vous aurez atteint le Benchmark 555, vous pourrez protéger en toute confiance l’ensemble de votre parc informatique et en libérer la véritable valeur…
À LIRE AUSSI :
À LIRE AUSSI :
