Denis Demontes

Le Cloud et la sécurité orientée événements (Event Driven Security)

D’après le Rapport Mandiant 2018, un attaquant passe en moyenne 175 jours à l’intérieur des réseaux de sa victime (en zone EMEA) avant qu’une première évidence de l’attaque soit trouvée, chiffre en augmentation par rapport à 2016 où la moyenne était de 106 jours. 56% de ces attaques ont été détectées en interne et 44% en externe.

Les Etats-Unis, eux, se portent mieux avec une diminution du temps moyen qui est passé de 106 jours à 99 jours entre 2016 et 2017.

Ces statistiques montrent que le périmètre de défense traditionnel (firewalls, antivirus, etc.), bien qu’indispensable, ne semble plus être suffisant pour protéger complètement les ressources (informations, données personnelles, etc.) des entreprises.

La prévention se révèle donc indispensable, mais une réaction rapide aux événements est également critique : en effet, il devient indispensable de réduire ce nombre de 175 jours à quelques heures, voire minutes.

Comment atteindre cet objectif ?

Les fournisseurs Cloud offrent un ensemble de services qui permettent de mettre en place de manière automatisée une surveillance réactive du périmètre Cloud, en complément de la défense traditionnelle.

Ainsi, la Sécurité Orientée Événements (Event Driven Security) consiste à réagir aussi rapidement que possible aux événements dans l’infrastructure cloud liés à la sécurité.

Ceci est possible en accédant en temps réel (ou quasi temps réel) à des données fiables, relatives à l’activité du réseau et infrastructure cloud, pour y réagir de manière automatisée.

La plupart des fournisseurs Cloud mettent à disposition dans leurs services les informations et les mécanismes (APIs, interfaces) qui permettent de déclencher ces actions automatisées de surveillances de l’infrastructure.

Les principes de la sécurité Orientée Événements

Les services s’exécutent dans la couche de gestion du Cloud (Management Plane): ils sont au-delà de la portée d’une intrusion ou d’un élément du réseau compromis par une attaque. Si un serveur est compromis, feriez-vous confiance à l’antivirus qui y est installé ?

Quand un événement arrive dans l’infrastructure Cloud que l’on souhaite surveiller, le service associé déclenche du code spécifiquement écrit pour cet événement (language python parmi d’autres) en lui passant les informations associées, lambda functionschez AWS et Background functions chez Google pour ne nommer que deux fournisseurs. Ces functions sont automatiquement authentifiées dans les services, et les droits d’accès sont configurés en fonction du périmètre d’action du code.

Typiquement, le code est associé à des événements enregistrés dans le système des logs (AWS CloudWatchCloudWatch Logs and CloudWatch EventsGoogle Logs), la messagerie (AWS SNSAWS SQSGoogle Messaging), les informations de télémétrie (AWS CloudTrail et Google StackDriver Logging) telles que utilisation CPU, RAM, etc.

Il est aussi possible de s’assurer de la conformité de l’implémentation de certaines règles, présentes dans les procédures de sécurité, en comparant les configurations réelles et en surveillant les changements avec ce qui a été défini dans le système de sécurité.
Par exemple, une surveillance peut être mise sur les droits d’accès pour les utilisateurs d’un groupe qu’uniquement des superutilisateurs autorisés peuvent modifier. Dès qu’un nouvel utilisateur est créé, on déclenche du code qui va vérifier que la personne qui l’a créé appartient bien au groupe autorisé (AWS Config et AWS Config Rules).

Conclusion

A l’aide de ces services et en particulier avec l’utilisation du code Serverless et son grand pouvoir de configuration, les implémentations cloud pourront mettre en place des actions automatiques en réponse à des événements dans leur infrastructure avec pour objectifs la détection d’incidents de sécurité, le renforcement des directives de sécurité, la conformité et l’audit, et finalement la diminution de la probabilité d’une attaque et/ou de son temps de détection.

Articles associés

IoT : et la sécurité ?

10 novembre 2020
L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises. On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc. Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux […]

Sécurité des clés de chiffrement dans le Cloud

22 juillet 2019
La protection des données, et en particulier celles dans le cloud, est capitale aujourd'hui, d'une part à cause des attaques récurrentes sur lesdites données (cf. l'affaire EquiFax) et d'autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles.
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]