Les erreurs de configuration du système ont contribué à la grande majorité des violations de données de grande envergure des principaux fournisseurs de cloud, car les failles de sécurité s'ajoutent à plusieurs points d'accès potentiels pour les pirates.
L'exposition accidentelle continue d'affliger les organisations qui commencent à introduire de nouveaux services cloud pour fournir un stockage partagé, des conteneurs, des services de base de données et des fonctions sans serveur.
De la même manière, plus de 250 millions d'enregistrements de service et de support client, couvrant une période de 14 ans, ont été révélés par Microsoft en raison d'une mauvaise configuration du serveur en décembre 2019, d'une fuite massive de données Xbox en mai de cette année et de 500 Go de données provenant de données privées de Microsoft. Des dépôts GitHub ont été divulgués cette année.
La cause de toutes les violations de données est principalement due à une erreur humaine lorsque des erreurs de configuration ont conduit à exposer les données à un public plus large, ce qui signifie que toute personne ayant accès au serveur S3 peut afficher, accéder ou télécharger le contenu.
Selon l'étude de Sophos sur l'état de la sécurité dans le cloud 2020, les failles de sécurité dans les erreurs de configuration ont été exploitées dans 66% des attaques, tandis que 33% des attaques ont utilisé des informations d'identification volées pour accéder aux comptes des fournisseurs de cloud.
John Shier, conseiller principal en sécurité chez Sophos, a déclaré TechRadar Pro Middle East que les erreurs de configuration du système contribuent à la grande majorité des violations de données.
Il a déclaré qu'aucun fournisseur de cloud n'assumerait la responsabilité de la sécurisation des actifs d'un client, car il y a toujours un risque de mauvaise configuration.
"AWS a un" modèle de responsabilité partagée "qui stipule que la sécurité du cloud [network, hardware and pieces] est la responsabilité d'AWS et le client est responsable de la sécurité des données [apps, services] dans le nuage. AWS est responsable de l'intégrité de son infrastructure globale et le client gère les configurations nécessaires.
«Il est de la responsabilité des clients d’effectuer les correctifs et les mises à niveau pour apporter de la visibilité à l’utilisateur. Les fournisseurs de plates-formes donnent la possibilité de configurer tout, mais les clients doivent faire la configuration », a-t-il déclaré.
Sommaire
Les pirates surveillent de près
Laissant le point d'accès aux clés publiques et API ou aux clés de chiffrement qui sont découvrables par les attaquants, même si les données sont chiffrées, Shier a déclaré que les pirates informatiques volent les données chiffrées et commencent à chercher les clés de chiffrement pour déchiffrer les données.
Roy Illsley, analyste en chef de l'informatique d'entreprise chez la société de recherche britannique Omdia, anciennement Ovum, a déclaré que la configuration des systèmes est très importante et c'est pourquoi tous les fournisseurs de cloud ont repris cela.
«Une mauvaise configuration, dans une certaine mesure, est un problème client et c'est un défi majeur que les gens ne réalisent pas. Le cloud est une responsabilité partagée et, bien que les fournisseurs de cloud en assument une partie, les clients ne parviennent pas à reconnaître où s'arrête la ligne.
«Certains clients estiment que les données étant stockées dans le cloud, elles n'ont pas besoin de les sauvegarder. La sauvegarde des données est la responsabilité du client et ne garantit pas que les fournisseurs de cloud le sauvegarderont pour vous. Les clients doivent savoir clairement quelles sont les responsabilités partagées », a-t-il déclaré.
Maintenant que les charges de travail de base se déplacent vers le cloud, il a déclaré que les fournisseurs de cloud veillaient à ce que leur cloud soit beaucoup plus sécurisé et sans risque, et fournissent des outils aux clients pour surmonter les défis, comme ce n'était pas le cas auparavant.
Dans le même temps, il a déclaré qu’il existe des prestataires de services gérés qui s’occupent de tout et de toutes les responsabilités des clients.
AWS, à un moment donné, a-t-il déclaré avait un "accès public" par défaut dans le compartiment S3.
«Maintenant, ils l'ont supprimé et en ont fait une option sélectionnable. Mais vous pouvez toujours mal configurer cela très facilement aujourd'hui. Il est protégé par défaut aujourd'hui par rapport au passé », a-t-il déclaré.
«AWS, étant le plus grand fournisseur de cloud, est la plus grande cible pour les pirates et c'est pourquoi Oracle a repensé leur architecture cloud – Cloud Gen 2 – pour faire de la sécurité des données au cœur du cloud qu'AWS et Microsoft. Google Cloud n'a pas encore eu beaucoup de piratages de données de haut niveau », a déclaré Illsley.
Les principales différences entre le cloud de génération 1 et de génération 2 d'Oracle sont que le cloud de génération 1 place le code utilisateur et les données sur le même ordinateur que le code de contrôle du cloud avec un processeur, une mémoire et un stockage partagés, de sorte que les fournisseurs de cloud peuvent voir les données de l'utilisateur pendant la génération. 2 cloud place le code client, les données et les ressources sur un ordinateur nu, tandis que le code de contrôle du cloud vit sur un ordinateur séparé avec une architecture différente.
Si vous êtes une entreprise et que vous recherchez la meilleure sécurité du cloud, Illsley a déclaré qu'Oracle est l'un des principaux et qu'il est bien respecté en tant que Google.
"Google a de très bonnes informations d'identification. Microsoft est largement utilisé pour un ensemble de charges de travail frontalières, mais ils ont obtenu une réponse de sécurité plus faible car ils ont un large éventail de clients et c'est pourquoi, certaines de leurs données sont piratables », a-t-il déclaré.
Il est difficile de déterminer qui a le meilleur; dit-il, mais en regardant les charges de travail qui sont exécutées et les attaques exécutées avec succès contre eux, sur une base générale, Google et Oracle sont «meilleurs» que AWS et Microsoft.
Amazon et Microsoft n'ont pas répondu aux demandes de commentaires sur cette histoire.
Il est essentiel de s'assurer que les configurations sont correctes et de surveiller les configurations, a déclaré M. Illsley, que le stockage des données soit dans le cloud ou sur site.
«Oracle devient de plus en plus un fournisseur de cloud d'entreprise influent en raison de sa fiabilité, de ses hautes performances et de sa sécurité», a-t-il déclaré.
Lydia Leong, analyste VP distinguée chez Gartner, prédit que le cloud dédié d'Oracle chez le client, offrant tous les services de cloud public et les mêmes SLA que dans le cloud public, au centre de données d'une entreprise, rehaussera le profil d'Oracle en tant qu'alternative aux grands hyperscalers, parmi les clients d'entreprise et même parmi les clients natifs du numérique.
Manish Ranjan, responsable de programme pour les logiciels et le cloud chez IDC Moyen-Orient, Turquie et Afrique, a déclaré qu'Oracle Cloud at Customer apporte toutes ses offres de services de cloud public (SaaS, PaaS et IaaS) dans le centre de données du client pour répondre à la résidence des données et aux données exigences de souveraineté.
Après sa première annonce en 2017, il a déclaré qu'Oracle avait fait plusieurs avancées dans Cloud at Customer.
«Avec l'annonce récente de Dedicated Region Cloud chez Customer, les organisations hautement réglementées telles que le gouvernement, les banques et les assurances, peuvent bénéficier exactement des mêmes services qui sont disponibles dans les régions publiques d'Oracle Cloud Infrastructure (OCI). Cela peut changer la donne pour Oracle, en particulier dans la région du Golfe où Oracle ne dispose pas de centres de données dans le pays, comme dans des pays comme le Qatar, Oman, le Koweït et Bahreïn », a-t-il déclaré.
Une surveillance proactive est nécessaire
«Il existe des outils de qualité qui vous permettent d'identifier diverses configurations et d'appliquer l'automatisation pour apporter la conformité. Tous les différents paramètres tels que les niveaux de correctifs de sécurité, les niveaux de micrologiciel doivent être à jour et vous pouvez surveiller cela », a déclaré Illsley.
Le décalage d'environ 150 jours, pour patcher un serveur, a-t-il dit, donne une fenêtre d'opportunité pour les pirates.
«Avoir un moyen autonome d'automatiser aide, mais vous devez faire confiance au logiciel et aux correctifs. Si je le fais, cela a-t-il un impact sur mes applications et c'est l'équilibre que les entreprises doivent faire », a-t-il déclaré.
À l'avenir, il a déclaré qu'une approche autonome sera nécessaire pour effectuer les correctifs et les mises à jour du serveur.
«Lorsque nous passons dans le monde Kubernetes, en utilisant des conteneurs et toutes les dernières technologies, les gérer tous manuellement est une tâche difficile et il faut avoir une solution autonome. La force d'Oracle réside dans sa technologie de base de données autonome », a-t-il déclaré.
Il existe toute une gamme de fournisseurs de cloud proposant des techniques autonomes, mais en termes de base de données, il a déclaré qu’Oracle avait été le premier à le commercialiser et qu’il s’agissait de la «norme de référence».
«Il existe des outils dans l'espace IA et ML, qui peuvent appliquer l'automatisation aux serveurs et aux bases de données, mais ce sont des tiers appliquant des solutions propriétaires. AWS RedShift le copie mais ils sont toujours derrière la base de données Oracle. Quand AWS a lancé Outposts, il s'agissait de relever le défi de la protection des données sur site, tandis que Azure Stack de Microsoft était disponible pour être utilisé pour les clients sur site, mais il n'offre pas tout Azure », a-t-il déclaré. .
Parmi les fournisseurs de cloud, Illsley a déclaré qu'Oracle est plus mature que les autres alors que sa base de données autonome est l'une des meilleures et le leader de l'industrie.
Rien n'est sûr à 100%, a déclaré Shier.
Cependant, il a déclaré que la surveillance proactive des configurations par une équipe de sécurité peut réduire considérablement la probabilité de violations.
«Les cybercriminels utilisent un large éventail de techniques pour contourner les défenses. Quand l'un est bloqué, ils passent au suivant jusqu'à ce qu'ils trouvent quelque chose d'une faiblesse qui peut être exploitée. Assurez-vous de vous défendre contre tous les vecteurs d'attaque possibles », a-t-il déclaré.