28 octobre 2022
Par Thyaga Vasudevan - Vice-président de la gestion des produits, Skyhigh Security
Baptisée "BlueBleed", une récente violation de Microsoft découverte par le fournisseur de renseignements sur les menaces SOCRadar met en lumière les risques liés à une mauvaise configuration des baquets de stockage en nuage et démontre que les entreprises ne peuvent pas s'en remettre totalement aux fournisseurs de services en nuage (CSP) pour assurer la sécurité et en assumer la responsabilité. Les erreurs de configuration continuent d'être l'une des principales causes de violations, selon le rapport Verizon 2022 Data Breach Investigations Report, qui montre qu'elles ont été à l'origine de 13 % des violations survenues l'année dernière. Les erreurs de configuration étant le résultat d'une erreur humaine, il faut partir du principe qu'aucun CSP n'est entièrement sûr.
Ce qui s'est passé
Dans sa réponse du 19 octobre, le Microsoft Security Response Center (MSRC) a déclaré qu'il s'agissait d'une "mauvaise configuration involontaire" qui a conduit à un "accès potentiel non authentifié" aux données des clients, qui, selon l'organisation, contenaient "des noms, des adresses électroniques, le contenu des courriels, des noms d'entreprise et des numéros de téléphone, ainsi que des fichiers joints relatifs aux relations commerciales entre un client et Microsoft ou un partenaire autorisé de Microsoft". Le CSEM n'a pas fourni d'autres détails concernant le nombre d'entreprises touchées et a apparemment minimisé l'incident.
Selon SOCRadar, dans un suivi du lendemain de l'article original, la brèche concernait six grands ensembles de données dans le nuage contenant des données sensibles appartenant à 150 000 entreprises dans 123 pays. Le plus grand de ces ensembles mal configurés contenait 2,4 To de données appartenant à 65 000 entités dans 111 pays.
Le 20 octobre, le célèbre chercheur en cybersécurité Kevin Beaumont a signalé que le seau de Microsoft était publiquement indexé et lisible depuis des mois par des services tels que Grayhat Warfare. Il a affirmé que la déclaration officielle du CSEM montre qu'il n'a "aucune idée de la façon dont fonctionne la cybersécurité dans le monde réel" et que son incapacité apparente à informer les autorités de réglementation et son refus de dire aux clients quelles données ont été dérobées présentent les "caractéristiques d'une réponse bâclée majeure".
Un article publié le 21 octobre par The Hacker News rapporte que "rien ne prouve que des acteurs menaçants aient eu accès à ces informations avant leur divulgation" : "Il n'y a aucune preuve que les informations aient été consultées de manière inappropriée par des acteurs menaçants avant la divulgation", mais il ajoute que de telles fuites pourraient être exploitées à des fins malveillantes.
Pourquoi c'est important
Les données divulguées pourraient inclure des informations sensibles sur l'infrastructure et la configuration du réseau des clients et des clients potentiels de Microsoft. Les pirates informatiques à la recherche de vulnérabilités dans les infrastructures des organisations concernées pourraient trouver ces données précieuses et les utiliser pour exploiter leurs réseaux.
Ce que vous pouvez faire
Commencez par reconnaître que les FSC ont le potentiel d'augmenter la surface d'attaque de votre organisation. Vous devez examiner attentivement votre accord de niveau de service (SLA) avec votre CSP pour comprendre qui est responsable de quoi et pour clarifier les responsabilités de chaque partie. Ces responsabilités sont généralement définies dans un modèle de responsabilité partagée, un cadre de sécurité et de conformité qui répartit les responsabilités en matière de sécurité pour chaque aspect de l'environnement en nuage. Cela comprend le matériel, l'infrastructure, les terminaux, les données, les configurations, les paramètres, le système d'exploitation, les contrôles du réseau et les droits d'accès. Dans la pratique, le FSC et le client jouent tous deux un rôle dans la garantie de la sécurité, mais il existe certains actifs sur lesquels une partie exerce un contrôle direct et une responsabilité totale, car l'autre partie n'aurait aucune visibilité sur ces actifs. Ce modèle de sécurité partagée est complexe mais offre les avantages de l'efficacité, d'une protection renforcée et de l'expertise.
Les tâches et les fonctions de sécurité varient en fonction du modèle de fourniture de services en nuage : Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) ou Infrastructure-as-a-Service (IaaS). Si les environnements IaaS et PaaS offrent aux clients un plus grand choix et une plus grande flexibilité, ils présentent également des risques de sécurité plus importants s'ils ne sont pas correctement configurés.
Selon Cloud-Native : The Infrastructure-as-a-Service Adoption and Risk Report, 99 % des mauvaises configurations IaaS passent inaperçues. Security Service Edge (L'ESS aide les professionnels de la sécurité à repérer les configurations à risque avant qu'elles ne deviennent une menace pour la production. En mettant en évidence les problèmes de sécurité avant qu'ils ne deviennent des incidents, l'ESS peut également contribuer à améliorer la conformité avec les cadres réglementaires et à réduire la probabilité de perte de données, d'abus ou d'amendes associées à des contrôles de sécurité inadéquats.
L'avenir nous dira ce qu'il adviendra de la fuite BlueBleed. Si vous ne voulez pas risquer d'être affecté par de telles brèches, la technologie de Skyhigh peut vous aider. Security Service Edge de Skyhigh peut vous aider. Ses capacités uniques de CSPM conscient des données permettent aux clients de détecter les mauvaises configurations et de mettre en évidence les zones critiques de l'infrastructure de Cloud public contenant des données sensibles qui sont les plus vulnérables aux fuites de données.
Retour à Blogs