Image: Maksym Yemelyanov/Adobe Stock L’administration du président Joe Biden, dans le cadre de sa libération récente Stratégie nationale de cybersécurité , dit secteurs critiques telles que les télécommunications, l’énergie et les soins de santé dépendent de la cybersécurité et de la résilience des fournisseurs de services cloud.
Pourtant, Rapports récents Selon l’administration, les principaux fournisseurs de services en nuage constituent une menace massive — par laquelle un attaquant pourrait perturber les infrastructures et les services publics et privés.
Cette préoccupation est difficile à faire avec la nature monolithique du secteur. La firme de recherche Gartner, dans son plus récent regard sur la part de marché mondiale en matière d’infrastructures cloud, a mis Amazon en tête, avec un chiffre d’affaires de 35,4 milliards de dollars en 2021, avec le reste de la répartition des parts de marché comme suit:
Amazon: 38,9%
Microsoft: 21,1
Alibaba: 9,5%
Google: 7,1 %
Huawei: 4,6 % The Synergy Group a rapporté que, ensemble, Amazon, Microsoft et Google comptaient les deux tiers des revenus d’infrastructure de cloud dans trois mois se terminant le 30 septembre 2022, avec les huit plus grands fournisseurs contrôlant plus de 80% du marché, traduisant à trois quarts des revenus Web.
Aller à :
Un accent sur les fournisseurs de services cloud?
fournisseurs de cloud déjà assez
Les clients Cloud doivent implémenter la sécurité
Il incombe aux clients de se défendre contre les principales menaces basées sur le cloud
Principales menaces pour vos opérations cloud
Le piratage éthique peut sécuriser les opérations dans le cloud et sur site Un accent sur les fournisseurs de services cloud?
Le rapport de l’administration indiquait que de menace utiliser le cloud, les registres de domaine, les hébergeurs et les fournisseurs d’email, ainsi que d’autres services pour effectuer des exploits, coordonner les opérations et espion. En outre, il a plaidé pour que les règlements encouragent l’adoption de principes de sécurité par conception et que les règlements définiront «des pratiques ou des résultats minimaux de cybersécurité attendus. ”
De plus, il s’agira d’identifier les lacunes des autorités afin d’améliorer les pratiques de cybersécurité dans l’industrie du cloud computing et pour d’autres services tiers essentiels et de travailler avec l’industrie, les congrès et les organismes de réglementation pour les fermer », selon le rapport de l’administration.
Si l’administration s’adresse aux CSP qui contrôlent le trafic à travers de vastes coulées du web mondial avec un oeil pour réglementer leurs pratiques en matière de sécurité, il peut s’agir d’une moustache, car les CSP ont déjà de solides protocoles de sécurité en place, a noté Chris Winckless, analyste principal chez Gartner.
« Les fournisseurs de cloud semblent de toutes les preuves pour être très sûrs dans ce qu’ils font, mais le manque de transparence sur la façon dont ils le font est une préoccupation », a déclaré Winckless.
Voir : La sécurité du nuage, entravée par la prolifération des outils, a un problème de «forest for trees» (TechRepublic)
Cependant, Winckless a également dit qu’il y a des limites à la résilience, et le seau finalement atterrir sur le bureau du client.
« L’utilisation du nuage n’est pas sûre, soit des locataires individuels, qui ne configurent pas bien ou ne conçoivent pas la résilience, soit des acteurs criminels/nations, qui peuvent profiter du dynamisme et payer le modèle de flexibilité », a-t-il ajouté.
fournisseurs de cloud déjà assez
Chris Doman, chef de la technologie de la firme d’intervention en nuage Cado Security, a déclaré que les principaux fournisseurs de services en nuage sont déjà les meilleurs à gérer et à sécuriser l’infrastructure en nuage.
Couverture de sécurité à lire
Les meilleures menaces pour la cybersécurité 2023
Meilleur logiciel de gestion d’actifs IT
Rencontrez le dispositif de cybersécurité portable le plus complet
Comment sécuriser votre email par cryptage, gestion de mot de passe et plus (TechRepublic Premium)
« Pour remettre en question leurs capacités et inférer que le gouvernement américain « connaîtrait mieux » en termes de réglementation et d’orientation en matière de sécurité serait trompeur », a déclaré M. Doman.
Il est peut-être bien intentionné d’imposer des exigences « connaissant votre client » sur les fournisseurs de cloud, mais cela risque de pousser les attaquants à utiliser des services qui sont plus loin de la portée de l’application de la loi.
La plus grande menace pour l’infrastructure nuageuse est une catastrophe physique, pas des défaillances technologiques, a déclaré Doman.
« L’industrie des services financiers est un excellent exemple de la façon dont un secteur diversifie l’activité de plusieurs fournisseurs de cloud pour éviter tout échec », a déclaré Doman. « Les entités d’infrastructures essentielles modernisant le cloud doivent réfléchir aux plans de reprise après sinistre. La plupart des entités d’infrastructure critiques ne sont pas en mesure d’aller complètement multicloud, limitant les points d’exposition. ”
Les clients Cloud doivent implémenter la sécurité
Bien que l’administration de Biden ait déclaré qu’elle travaillerait avec les fournisseurs d’infrastructures cloud et Internet pour identifier « l’utilisation malveillante de l’infrastructure américaine, partager des rapports d’utilisation malveillante avec le gouvernement » et « faciliter aux victimes de signaler l’abus de ces systèmes et … plus difficile pour les acteurs malveillants d’avoir accès à ces ressources en premier lieu », ce qui pourrait poser des défis.
Mike Beckley, fondateur et chef de la technologie de la firme d’automatisation de processus Appian, a déclaré que le gouvernement sonne à juste titre l’alarme sur la vulnérabilité des systèmes gouvernementaux.
« Mais, il a un plus grand problème, et c’est que la plupart de son logiciel n’est pas de nous ou Microsoft ou Salesforce ou Palantir, pour cette question », a déclaré Beckley. « C’est écrit par un soumissionnaire à bas prix dans les contrats personnalisés et, par conséquent, par la plupart des règles et contraintes que nous opérons en tant que fournisseurs commerciaux.
«Ce que le gouvernement pense qu’il achète change chaque jour, en fonction de l’expérience ou du moins qualifié, ou même de l’entrepreneur le plus malveillant qui a les droits et les autorisations de télécharger de nouvelles bibliothèques et codes. Chacun de ces pipelines de code personnalisé doit être construit pour chaque projet et est donc seulement aussi bon que l’équipe qui le fait. ”
Il incombe aux clients de se défendre contre les principales menaces basées sur le cloud
La recherche de malfaiteurs est une grande demande pour les CSP comme Amazon, Google et Microsoft, a déclaré Mike Britton, agent de sécurité d’information en chef à la sécurité anormale.
« En fait, le nuage n’est qu’un autre mot fantaisiste pour les serveurs extérieurs, et que l’espace numérique est maintenant une marchandise — je peux stocker des pétaoctets pour les pennies sur le dollar », a déclaré Britton. « Nous vivons maintenant dans un monde où tout est basé sur l’API et Internet, il n’y a donc pas d’obstacles comme il y avait dans les vieux jours.
SEE: Top 10 des risques opérationnels et de sécurité open-source (TechRepublic)
« Il y a une matrice de responsabilité partagée, où le fournisseur de cloud gère des problèmes comme les correctifs du système d’exploitation matérielle, mais il est de la responsabilité du client de savoir ce qui est public et d’opter dans ou hors. Je pense que ce serait bien s’il y avait l’équivalent d’un «non» dangereux demandant quelque chose comme «Avez-vous voulu faire cela?» quand il s’agit d’actions comme rendre publics les godets de stockage.
“Trouver vos 50 terabytes dans un seau de stockage S3 et le rendre par accident publiquement disponible est potentiellement tirer sur vous dans le pied. Ainsi, les solutions de gestion de la posture de sécurité cloud sont utiles. Et les consommateurs de services cloud doivent avoir de bons processus dans l’ordre. ”
Principales menaces pour vos opérations cloud
Check Point Security 2022 Le rapport Cloud Security énumère les principales menaces à la sécurité du cloud.
Misconfigurations
Une cause importante d’atteintes aux données en nuage, organisations Gestion de la posture de sécurité cloud les stratégies sont insuffisantes pour protéger leur infrastructure cloud contre les erreurs de configuration.
Accès non autorisé
Les déploiements en nuage en dehors du périmètre réseau et directement accessibles depuis l’Internet public facilitent l’accès non autorisé.
Interfaces et API non sécurisées
Les CSP fournissent souvent un certain nombre d’interfaces de programmation d’applications et d’interfaces pour leurs clients, selon Check Point, mais la sécurité dépend de savoir si un client a sécurisé les interfaces pour ses infrastructures cloud.
Comptes détournés
Pas surprise, la sécurité de mot de passe est un lien faible et comprend souvent des mauvaises pratiques comme la réutilisation de mot de passe et l’utilisation de mots de passe pauvres. Ce problème aggrave l’impact des attaques de phishing et des atteintes aux données, car il permet d’utiliser un seul mot de passe volé sur plusieurs comptes différents.
Manque de visibilité
Les ressources en nuage d’une organisation sont situées à l’extérieur du réseau d’entreprise et dépendent de l’infrastructure que la société ne possède pas.
« Par conséquent, de nombreux outils traditionnels pour atteindre la visibilité du réseau ne sont pas efficaces pour les environnements nuageux », a noté Check Point. Et certaines organisations manquent outils de sécurité axés sur le cloud . Cela peut limiter la capacité d’une organisation à surveiller ses ressources en nuage et à les protéger contre les attaques. ”
Échange de données externes
Le cloud facilite le partage des données, qu’il s’agisse d’une invitation par courriel à un collaborateur ou d’un lien partagé. Cette facilité de partage des données pose un risque de sécurité.
Initiateurs maliens
Bien que paradoxal puisque les initiés sont à l’intérieur du périmètre, quelqu’un avec mauvaise intention peut avoir autorisé l’accès au réseau d’une organisation et certaines des ressources sensibles qu’elle contient.
« Sur le nuage, la détection d’un initiateur malveillant est encore plus difficile », a déclaré le rapport de CheckPoint. « Avec les déploiements de nuages, les entreprises ne contrôlent pas leur infrastructure sous-jacente, ce qui rend de nombreuses solutions de sécurité traditionnelles moins efficaces. ”
Les cyberattaques sont des grandes entreprises
Les cibles de cybercriminalité sont principalement fondées sur la rentabilité. L’infrastructure Cloud accessible au public à partir d’Internet peut être mal sécurisée et peut contenir des données sensibles et précieuses.
Attaques de service
Le nuage est essentiel à la capacité de nombreuses organisations à faire des affaires. Ils utilisent le cloud pour stocker des données critiques d’affaires et exécuter d’importantes applications internes et client.
Le piratage éthique peut sécuriser les opérations dans le cloud et sur site
Il est important pour les organisations de sécuriser leurs propres périmètres et de mener une cadence régulière de tests sur les vulnérabilités internes et externes.
Si vous voulez hone vos compétences de piratage éthique pour les tests de stylo web et plus, consultez cette complète TechRepublic Academy stage de piratage éthique .
Lire la suite : Comment minimiser les risques de sécurité: Suivez ces pratiques exemplaires pour le succès (TechRepublic)
### Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui