Phishing dans le cloud : nous aurons besoin d'un plus gros bateau

L'hameçonnage est depuis longtemps l'un des meilleurs moyens d'accéder à une organisation cible. Ce n'était pas comme ça avant. Au début de la sécurité informatique, l'exploit de code à distance (RCE) était la méthode préférée d'accès, car il ne nécessitait aucune interaction de l'utilisateur. En fait, si quelque chose nécessitait une interaction de l'utilisateur, cela n'était pas considéré comme une menace sérieuse. De meilleures pratiques de sécurité ont commencé à s'imposer et la méthode d'accès RCE est devenue beaucoup plus difficile. Et il s'est avéré que faire interagir les utilisateurs était plus facile que jamais imaginé.

Le même cycle a commencé à se répéter avec des cibles sur site. Les organisations ont commencé à faire des progrès dans la sécurisation de leurs réseaux internes contre l'utilisation de la détection et de la réponse aux terminaux (EDR), et d'autres technologies sont mieux équipées pour détecter les logiciels malveillants et les mouvements latéraux. Bien que les attaques deviennent de plus en plus difficiles, ce n'est en aucun cas une stratégie inefficace pour un attaquant. Le déploiement de rançongiciels et d'autres formes de logiciels malveillants est toujours un résultat courant.

Pourquoi votre infrastructure cloud est une cible de choix pour les attaques de phishing

Le cloud a donné aux hameçonneurs une toute nouvelle frontière à attaquer, et il s'avère qu'il peut être très dangereux. Les environnements SaaS sont des cibles idéales pour les attaques de phishing et peuvent donner à l'attaquant bien plus que l'accès à certains e-mails. Les outils de sécurité continuent de mûrir dans cet environnement, qui offre aux attaquants une fenêtre d'opportunité où des méthodes telles que les attaques de phishing peuvent être très efficaces.

Attaques de phishing ciblant les développeurs et la chaîne d'approvisionnement des logiciels

Comme nous l'avons vu récemment, Dropbox a eu un incident en raison d'une attaque de phishing contre ses développeurs. Ils ont été piégés dans donnant leurs identifiants Github à un attaquant par un e-mail de phishing et un faux site Web, malgré authentification multifactorielle (MFA). Ce qui rend cela effrayant, c'est qu'il ne s'agissait pas simplement d'un utilisateur aléatoire des ventes ou d'une autre fonction commerciale, il s'agissait de développeurs ayant accès à de nombreuses données Dropbox. Heureusement, l'étendue de l'incident ne semble pas affecter les données les plus critiques de Dropbox.

GitHub et d'autres plates-formes de l'espace d'intégration/déploiement continu (CI/CD) sont les nouveaux « joyaux de la couronne » pour de nombreuses entreprises. Avec le bon accès, les attaquants peuvent voler la propriété intellectuelle, divulguer le code source et d'autres données, ou conduire attaques de la chaîne d'approvisionnement. Cela va encore plus loin, car GitHub s'intègre souvent à d'autres plates-formes, que l'attaquant peut être en mesure de faire pivoter. Tout cela peut se produire sans jamais toucher au réseau sur site de la victime, ou à de nombreux autres outils de sécurité que les organisations ont acquis, car il s'agit de logiciels en tant que service (SaaS) à SaaS.

La sécurité dans ce scénario peut être un défi. Chaque fournisseur SaaS le fait différemment. La visibilité d'un client sur ce qui se passe sur ces plateformes est souvent limitée. GitHub, par exemple, ne donne accès à son API Audit Log que dans le cadre de son plan Enterprise. Obtenir de la visibilité n'est que le premier obstacle à surmonter, le suivant serait de créer un contenu de détection utile autour d'elle. Les fournisseurs SaaS peuvent être très différents dans ce qu'ils font et les données qu'ils fournissent. Une compréhension contextuelle de leur fonctionnement sera nécessaire pour effectuer et maintenir les détections. Votre organisation peut utiliser de nombreuses plates-formes SaaS de ce type.

Comment atténuer les risques associés au phishing dans le cloud ?

Les plates-formes d'identité, telles qu'Okta, peuvent aider à atténuer le risque, mais pas complètement. Identifier les connexions non autorisées est certainement l'un des meilleurs moyens de découvrir les attaques de phishing et d'y répondre. C'est plus facile à dire qu'à faire, car les attaquants ont compris les moyens courants de détecter leur présence. Les serveurs proxy ou les VPN sont facilement utilisés pour au moins sembler provenir de la même zone générale que l'utilisateur afin de vaincre les détections de pays ou de voyages impossibles. Des modèles d'apprentissage automatique plus avancés peuvent être appliqués, mais ils ne sont pas encore largement adoptés ou éprouvés.

La détection traditionnelle des menaces commence également à s'adapter au monde SaaS. Falco, un outil de détection des menaces populaire pour les conteneurs et le cloud, dispose d'un système de plug-in qui peut prendre en charge presque toutes les plates-formes. L'équipe Falco a déjà publié des plug-ins et des règles pour Okta et GitHub, entre autres. Par exemple, le plugin GitHub a une règle qui se déclenche si des commits montrent des signes d'un crypto-mineur. Tirer parti de ces détections spécialement conçues est un bon moyen de commencer à intégrer ces plates-formes dans votre programme global de détection des menaces.

L'hameçonnage est là pour rester

Le phishing, et l'ingénierie sociale en général, ne seront jamais en reste. C'est une méthode d'attaque efficace depuis des années et le sera aussi longtemps que les gens communiqueront. Il est essentiel de comprendre que ces attaques ne se limitent pas à l'infrastructure que vous possédez ou gérez directement. Le SaaS est particulièrement menacé en raison du manque de visibilité de la plupart des organisations sur ce qui se passe réellement sur ces plateformes. Leur sécurité ne peut pas être considérée comme le problème de quelqu'un d'autre, car un simple e-mail et un faux site Web suffisent pour accéder à ces ressources.

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
La source: https://www.darkreading.com/endpoint/phishing-in-the-cloud-we-re-gonna-need-a-bigger-boat

Intelligence de données générative

Hameçonnage dans le cloud : nous allons avoir besoin d'un plus gros bateau

Pourquoi votre infrastructure cloud est une cible de choix pour les attaques de phishing

Attaques de phishing ciblant les développeurs et la chaîne d'approvisionnement des logiciels

Comment atténuer les risques associés au phishing dans le cloud ?

L'hameçonnage est là pour rester

Honda lance 3 nouvelles voitures électriques… en Chine, pour la Chine – CleanTechnica

L'US Air Force affirme que le F-16 contrôlé par l'IA a combattu les humains

Dernières informations

Artificiellement : apprenez à utiliser l'intelligence artificielle, présentation d'un projet d'opportunité de financement participatif par Indiegogo

Lightning Kayaks AIR 9 : présentation d'un projet de financement participatif pour un pédalier gonflable par Indiegogo

Les prix des accessoires Quest 2 ont été réduits de plus de 50 %

Les États-Unis entraînent le Mexique dans ses politiques anti-chinoises en matière de véhicules électriques – CleanTechnica

Des scientifiques chinois revendiquent une percée dans la détection des avions furtifs F-22 : la furtivité du F-22 est-elle menacée ? – Startups technologiques

Netflix, Apple, Shell et Delta se joignent au boom du crédit carbone au Kenya

Discutez avec nous