La cybersécurité moderne doit s’adapter à l’évolution rapide des environnements IT, marquée par une adoption d’infrastructures distribuées. Dans ce contexte, la gestion des identités et la protection des charges de travail dans des environnements hybrides deviennent cruciales. Près de 40 % des fuites liées à une cyberattaque dans le cloud surviennent à la suite de l’exploitation d’informations d’identification, ce qui en fait le point d’entrée le plus courant pour les attaquants. Les services de défense du Cloud sont toutefois confrontés à un net manque de connaissance des identités, de leur comportement et de leur relation avec d’autres activités liées au Cloud. C’est pourquoi les solutions de cybersécurité et d’authentification doivent aujourd’hui non seulement protéger les périmètres traditionnels, mais également assurer une surveillance continue des identités et des ressources dans le cloud.
Il surveille les identités, les charges de travail et les ressources
L’une des tendances dominantes dans ce domaine est l’extension des capacités de détection et de réponse (XDR) dans le cloud. Les fournisseurs de solutions de cybersécurité élargissent leurs offres pour inclure des capacités qui permettent une visibilité complète des environnements cloud, intégrant la surveillance des identités, des charges de travail et des ressources. Ces capacités permettent de détecter les comportements anormaux ou suspects en temps réel, de corréler ces données avec les activités des utilisateurs et des systèmes, et de répondre aux menaces identifiées.
Sysdig Cloud Identity Insights est un agent de nouvelle génération très peu consommateur en ressources. Selon Sysdig, il ne consomme que 50 % de ressources nécessaires en temps normal. Il repose à la fois sur une sonde eBPF (extended Berkeley Packet Filter) de deuxième génération ainsi que sur le logiciel open source Falco. Pour rappel, une sonde eBPF est un petit programme utilisé dans les systèmes Linux pour effectuer la surveillance, l’analyse et la traçabilité des activités au niveau du noyau et des applications. Ceci, sans nécessiter de modifications du code source des applications ou du noyau lui-même.
« L’identité constitue la charnière entre la détection et la prévention. La mise en quarantaine des identités compromises est essentielle pour contenir les attaques en cours et les bloquer. Cependant, compte tenu de l’augmentation de 240 % du nombre d’identités humaines et de machines au cours de l’année écoulée, la détermination des identités compromises présente à elle seule un défi. La compromission d’identité conditionne toutes les opérations, qu’il s’agisse d’une réponse immédiate et ciblée aux menaces ou d’une stratégie globale et efficace de vérification systématique du Cloud. C’est précisément dans ce cadre que nous aidons les équipes de sécurité grâce à Cloud Identity Insights », souligne Shantanu Gattani, vice-président de la gestion des produits chez Sysdig.
Détecter et contenir les identités compromises :
Les informations relatives à l’identité sont souvent dissociées des charges de travail, ce qui génère des angles morts permettant aux attaquants de se dissimuler en évoluant discrètement dans le cloud. Cloud Identity Insights détecte les activités suspectes et alerte les utilisateurs en cas d’actions de reconnaissance et de création d’utilisateurs privilégiés, qui sont souvent des indicateurs précoces d’une compromission.
Une fois un compte compromis détecté, les équipes peuvent devancer les attaquants en établissant rapidement des priorités et en répondant par des actions de confinement recommandées, telles que la réinitialisation forcée des mots de passe ou la désactivation ou la suppression de l’utilisateur, selon la gravité de la situation.
Chaque remédiation relative à l’identité offre aux analystes en sécurité la possibilité de prévenir de futures compromissions d’identité grâce à des éléments de contexte. Cloud Identity Insights recommande automatiquement une optimisation intelligente des politiques en analysant les autorisations exploitées par un compte compromis au cours de l’incident, et met en évidence les rôles et les utilisateurs les plus exposés aux risques au sein de l’environnement.
