cloud security cloud as lock

Trois étapes pour augmenter la sécurité des données Amazon S3

Lucas Morel

Étapes techniques que votre organisation peut prendre pour se protéger des attaques de ransomware Codefinger et d’autres exploits modernes.

La quantité de données dans les systèmes modernes a monté en flèche au-delà de ce que les outils de sécurité traditionnels peuvent gérer. Alors que les organisations adoptent l’IA pour stimuler la productivité, les équipes de sécurité sont confrontées à une pression de montage pour protéger les informations sensibles à travers les infrastructures et les applications de cloud. La vitesse de la création de données, combinée à des environnements multicloud complexes, rend les approches de sécurité traditionnelles insuffisantes. Les systèmes d’IA introduisent une complexité supplémentaire – ils nécessitent efficacement un large accès aux données à la fonction, mais ce même accès crée de nouveaux vecteurs d’attaque. Les équipes de sécurité doivent désormais sécuriser non seulement les données elle-même, mais aussi comment les systèmes d’IA interagissent et traitent ces données.

L’attaque de Codefinger de plus tôt cette année démontre ce risque. Ce ransomware attaque les utilisateurs ciblés des compartiments Amazon S3, cryptant des fichiers en utilisant les propres capacités de chiffrement côté serveur d’AWS. Les attaquants ont exploité les fonctionnalités intégrées d’AWS, demandant le paiement en échange de clés de décryptage. Cette attaque a mis en évidence une faiblesse critique – les attaquants arminant les fonctionnalités de sécurité natives des plates-formes cloud contre leurs utilisateurs.

L’importance de l’attaque de Codefinger s’étend au-delà de sa sophistication technique. En tirant parti de la propre infrastructure des victimes, les attaquants peuvent exécuter des violations plus efficacement et à moindre coût, ce qui suggère que des attaques similaires deviendront plus fréquentes.

Quelles mesures les organisations peuvent-elles prendre pour se protéger? La sécurité des données et la gouvernance nécessitent une visibilité et un contrôle précis. Les organisations doivent savoir quelles données sensibles elles possèdent et gérer strictement la façon dont elles peuvent être accessibles. Dans le cas de CodeFinger, les entreprises peuvent immédiatement exécuter les trois étapes techniques suivantes.

Audit identité avec les privilèges SSE-C

La première étape consiste à auditer des identités (humaines et non humaines) qui peuvent utiliser SSE-C et comparer cette liste à une liste principale d’utilisateurs autorisés à SSE-C. Commencez par supprimer des identités très privilégiées qui sont inactives depuis plus de trente jours. Éliminez les privilèges SSE-C inutiles des identités qui ne les nécessitent pas. Les autorisations clés requises pour la rançon via SSE-C sont S3: getObject et S3: putObject. Après avoir nettoyé ces autorisations, séparez les privilèges SSE-C et assurez-vous qu’ils n’ont pas accès à désactiver le versioning d’objets, à détruire les sauvegardes, à détruire les journaux existants ou à désactiver la journalisation. Surveiller les autorisations suivantes co-mélanties avec les autorisations SSE-C:

Suppression des journaux

  • S3: DeleteBucket – permet la suppression du bûard contenant du journal
  • S3: DeleteObject – permet la suppression d’objets spécifiques dans un seau

Suppression des sauvegardes

  • S3: DeleteObjectVersion – permet la suppression de versions spécifiques d’objets
  • Sauvegarde: DeteleteCoveryPoint – permet la suppression des points de récupération S3 de sauvegarde AWS

Versioning d’objet

  • S3: PutBucketVersioning – permet d’activer ou de suspendre les versioning

Journalisation et configuration d’audit

  • S3: PutBucketlogging – permet d’activer, de désactiver ou de modifier les configurations de journalisation du seau
  • S3: GetBucketLogging – offre une visibilité dans la configuration de la journalisation actuelle
  • S3: PutBucketPolicy – permet de modifier les politiques de seau, qui pourraient désactiver l’indirectation indirectement ou empêcher l’accès à la journalisation
  • S3: putbucketacl – permet de modifier les listes de contrôle d’accès au seau (ACL), perturbant potentiellement la journalisation de l’accès

Cet audit d’utilisateurs inactifs ou non autorisés qui ont déjà accès à vos données d’abord et déléguer des autorisations spécifiques aux identités laissées est une partie vitale de ce processus d’atténuation des menaces. À ce stade, vous devriez être en mesure de voir toutes les autorisations autorisées qui sont fournies aux identités humaines et non humaines clairement avant d’aller de l’avant avec d’autres étapes.

Log Data Events dans Amazon S3

La deuxième étape consiste à enregistrer les événements de données dans S3, en utilisant des événements de données CloudTrail ou des journaux d’accès au serveur S3. AWS omet S3 et met par défaut, limitant les capacités d’enquête d’attaque. Un moyen de contourner cela consiste à permettre la journalisation des événements de données dans S3 via les événements de données CloudTrail ou S3 servent des journaux d’accès.

Les événements de données CloudTrail offrent des détails plus importants que les journaux d’accès S3. Cependant, ils sont facturés par volume d’événements de données, de sorte que les coûts peuvent augmenter rapidement pour les seaux avec des taux de changement élevés. Les journaux d’accès au serveur S3 ne sont pas facturés pour la génération de journaux, mais uniquement pour le stockage.

Quel que soit le seau de destination de journal que vous choisissez, assurez-vous qu’il est dans un emplacement sécurisé et que vous adoptez le versioning d’objet pour faciliter la récupération des fichiers du dernier bon état connu.

Adopter une approche basée sur les risques pour la sécurité des données

Enfin et surtout, les organisations doivent découvrir et classer chaque élément de données afin de comprendre quels actifs doivent être agités et quand. Prendre une analyse complète et assurer une classification précise de vos données structurées, semi-structurées et non structurées peut aider à identifier le risque qui est imminent par rapport au risque qui peut être désactivé. Au-delà de la protection des ransomwares, la gestion de l’identité et les contrôles d’exposition aux données sont tout aussi importants pour le déploiement responsable de l’IA. Les organisations adoptant rapidement l’IA génératrice négligent souvent la portée de l’accès que ces systèmes ont des données sensibles. S’assurer que les systèmes d’IA ne peuvent que raisonner sur les versions autorisées et correctement sécurisées des données d’entreprise sont primordiales, d’autant plus que le paysage réglementaire continue d’évoluer. Cette approche complète de la sécurité des données traite à la fois des menaces traditionnelles et des risques émergents liés à l’IA.

Les menaces sans précédent nécessitent de nouvelles normes et contrôles de sécurité

La communauté de la sécurité est confrontée à des menaces sans précédent nécessitant une action coordonnée entre l’industrie privée et les agences gouvernementales. Les attaques récentes mettent en évidence de graves lacunes dans les normes de protection des données, en particulier autour des systèmes d’IA. L’IA accélère les opérations commerciales mais présente de nouveaux risques. Les données sensibles peuvent s’échapper dans les modèles d’IA pendant l’entraînement et les modèles sensibles pendant l’inférence; Une fois qu’un modèle est formé, régir ses sorties n’est pas déterministe. Ces défis de sécurité de l’IA sont directement liés à l’identité et aux contrôles de données discutés ci-dessus. Sans la gestion suffisante de l’accès et la classification des données, les organisations ne peuvent pas empêcher les données non autorisées de pénétrer dans les pipelines de formation d’IA et d’être exposées par inférence.

L’environnement réglementaire changeant actuel ajoute de la complexité. Des changements récents apportés aux décrets en cybersécurité ont perturbé les cadres de collaboration établis entre le gouvernement et l’industrie. Ce changement de politique a un impact sur la façon dont les organisations développent des systèmes d’IA sécurisés et abordent les vulnérabilités dans notre infrastructure de sécurité nationale. Une chose est certaine: les menaces auxquelles nous sommes confrontés – des acteurs de l’État-nation à des groupes de cybercriminaux de plus en plus sophistiqués – n’attendront pas un consensus politique. Tout comme pour la protection des ransomwares, les organisations doivent prendre des mesures proactives pour sécuriser leurs systèmes d’IA, quelle que soit l’incertitude réglementaire.

Les entreprises avant-gardistes et les prestataires de technologies doivent désormais agir pour renforcer leurs contrôles de sécurité. Les mécanismes de protection des bâtiments après les systèmes d’IA sont des coûts beaucoup plus élevés et laisseront les organisations exposées. La même approche méthodique de la gouvernance de l’identité et de la classification des données qui protège contre les menaces comme CodeFinger fournit la base d’une implémentation d’IA sécurisée. Les mesures de sécurité mises en œuvre aujourd’hui détermineront dans quelle mesure les organisations peuvent se défendre contre les menaces de demain.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen