Ces attaques de dernière génération, appelées « Man in the Cloud Attacks » ou MITC, transforment facilement les services cloud les plus communément utilisés en outils d’attaque dévastateurs
Imperva, société spécialisée dans la protection des données critiques des entreprises et des applications sur site et dans le cloud, vient de publier son nouveau rapport d’information sur les hackers portant sur une nouvelle forme d’attaque : « Man in the Cloud Attacks » ou MITC (en anglais).
Avec « Man in the Cloud » (MITC), un hacker peut s’introduire discrètement dans les services de synchronisation de fichiers les plus communément utilisés, tels que Google Drive et Dropbox, pour les transformer en outils d’attaque dévastateurs, que les mesures de sécurité usuelles parviennent difficilement à détecter. Le rapport souligne que cette attaque de dernière génération n’implique pas l’usurpation du compte ou du mot de passe cloud des utilisateurs.
Les principales conclusions de ce rapport sont les suivantes :
- Les services de synchronisation cloud tels que Box, Dropbox, Google Drive et Microsoft OneDrive, peuvent être facilement exploités et transformés en infrastructure visant à compromettre les points d’accès, en offrant un canal pour les communications de commande et contrôle, l’exfiltration des données et l’accès à distance ;
- Des attaques basées sur cette architecture ont déjà été identifiées ;
- Les mesures de sécurité au niveau des points d’accès et du périmètre réseau sont insuffisantes pour la détection et l’atténuation de cette menace, car aucun code malveillant n’est stocké sur le point d’accès et aucun canal de trafic sortant anormal n’apparaît sur le réseau.
- Les organisations doivent faire davantage d’efforts pour surveiller et protéger leurs ressources de données critiques d’entreprise, dans le cloud et sur site ;
- En détectant les comportements d’accès abusif à ces ressources, les entreprises peuvent se protéger contre cette nouvelle génération d’intrusions.
« Notre étude montre simplement à quel point il est facile pour les cybercriminels d’utiliser des comptes de synchronisation cloud et à quel point il est difficile de détecter ce nouveau type d’attaque et d’y résister », indique Amichai Shulman, directeur de la technologie chez Imperva. « Depuis que nous avons identifié l’existence des attaques MITC, nous savons que les organisations qui protègent leurs systèmes contre les infections à l’aide d’outils de détection de code malveillant ou de détection des communications de commande et contrôle font face à de sérieux risques, les attaques MITC utilisant l’infrastructure de partage et de synchronisation des fichiers d’entreprise existante pour les communications de commande et contrôle, et l’exfiltration des données. »
En raison de l’utilisation croissante des appareils mobiles, des tablettes, des VPN, de l’accès à distance et des applications SaaS, les données sont désormais stockées dans le cloud, dans un périmètre qui s’étend au-delà des frontières traditionnellement définies par les entreprises. Ce passage au cloud, qu’il concerne des particuliers ou des entreprises, est bien illustré par le recours aux services de synchronisation de fichiers. L’utilisation de Box, Dropbox, Google Drive et Microsoft OneDrive dans un environnement professionnel souligne l’importance des conclusions de cette étude.
Les entreprises ont la possibilité de se protéger contre les attaques MITC en adoptant une approche en deux temps. D’une part, elles doivent s’appuyer sur une solution de courtage d’accès au service cloud (CASB, Cloud Access Security Broker) qui surveille l’accès et l’utilisation de leurs services cloud d’entreprise. D’autre part, les organisations peuvent déployer des contrôles, tels que des solutions de surveillance de l’activité des données (DAM : Data Activity Monitoring) et de surveillance de l’activité des fichiers (FAM : File Activity Monitoring), au niveau de leurs ressources de données d’entreprise pour identifier l’accès anormal et abusif aux données critiques.