‹ Retour vers l’espace Cybersecurity 101

Cybermenaces courantes liées au cloud :
Exploitation d'images conteneurs mal configurées
  • Rapport sur les menaces ciblant le cloud

    • David Puzas - septembre 6, 2023

    Les organisations utilisent des conteneurs pour atteindre de nouveaux niveaux d’efficacité et d’évolutivité dans le cloud. Toutefois, cela a augmenté la complexité de la surface d’attaque qu’elles doivent protéger et a placé les conteneurs dans le viseur des adversaires.

    La sécurité des conteneurs commence par l’image du conteneur. Les développeurs utilisent parfois des images de base provenant d’un registre externe pour générer leurs images. Malheureusement, ces images peuvent contenir des logiciels malveillants ou des bibliothèques vulnérables. Il est donc crucial pour les organisations de mettre l’accent sur l’évaluation de leur image dans le cadre de leur stratégie de sécurité du cloud.

    Types courants d’erreurs de configuration d’images conteneurs

    Voici quelques problèmes de sécurité courants liés aux images conteneurs :

    Utilisation d’un compte d’utilisateur root dans les conteneurs

    Lorsqu’un conteneur est exécuté avec des privilèges root, le risque que des cyberattaquants compromettent la machine hôte augmente.

    Utilisation d’images obsolètes, vulnérables et contenant des portes dérobées

    Les cyberattaquants profiteront des images vulnérables ou compromises. L’analyse des images constitue donc une défense vitale.

    Utilisateurs indésirables faisant partie d’un groupe Docker

    Si un utilisateur fait partie d’un groupe Docker, il est possible d’augmenter ses privilèges pour qu’il bénéficie d’un accès root. Ceci représente une position stratégique pour un cybercriminel.

    Utilisation d’un indicateur de privilèges

    L’utilisation d’un conteneur avec un indicateur de privilèges permet aux utilisateurs d’accéder aux ressources de l’hôte, ce qui peut être exploité par un cyberattaquant en cas de compromission du conteneur.

    Montage de fichiers ou de répertoires sensibles sur le conteneur

    Docker permet aux utilisateurs de monter les fichiers et répertoires de la machine hôte sur les conteneurs, ce qui peut augmenter la surface d’attaque si les fichiers sont sensibles.

    Ces erreurs de configuration et d’autres impliquant Docker ou Kubernetes représentent un risque important pour les organisations, et les identifier constitue un élément essentiel de votre stratégie de sécurité du cloud.

    EN SAVOIR PLUS

    Une stratégie complète de sécurité du cloud doit permettre d’atténuer les risques, de se défendre contre les cybermenaces et de surmonter les difficultés pour que votre entreprise utilise le cloud pour se développer en toute sécurité. 9 défis, risques et cybermenaces liés à la sécurité du cloud

    Comment les cybercriminels ciblent les conteneurs

    Pour minimiser les risques, il est impératif d’identifier les dangers auxquels votre organisation est exposée. Vous devez donc comprendre comment les conteneurs sont ciblés dans les environnements cloud.

    Les cybercriminels exploitent régulièrement les conteneurs Docker mal configurés. Les images Docker sont des modèles servant à créer des conteneurs. Ces images peuvent être utilisées soit de façon autonome, pour que les utilisateurs puissent interagir directement avec un outil ou service, soit en tant que parent d’une autre application. Compte tenu de cette structure hiérarchique, si une image est modifiée pour contenir des outils malveillants, tous les conteneurs dérivés de celle-ci seront également infectés.

    En 2021, l’équipe CrowdStrike Intelligence a produit un rapport sur la famille de logiciels malveillants Doki, qui utilise les conteneurs à la fois comme vecteur d’infection initial et pour des activités de suivi parallèles. Une fois les cybercriminels dans la place, ils peuvent exploiter ces privilèges étendus pour se déplacer latéralement puis se propager dans tout le réseau. CrowdStrike Intelligence a également continué à suivre les opérations des cyberadversaires impliquant l’accès et la modification des composants des clusters Kubernetes.

    Kubernetes est un système d’orchestration de conteneurs open source qui automatise le déploiement, la montée en charge et la gestion des applications et des ressources partagées qui leur sont associées. L’équipe de Threat Hunting de CrowdStrike Falcon OverWatch™ a observé un intérêt croissant de la part des cyberadversaires pour les clusters Kubernetes exécutés au sein des environnements d’entreprise. Le cadre Kubernetes est un système complexe comprenant toute une série de composants, ce qui multiplie les probabilités d’erreurs de configuration susceptibles de fournir au cyberadversaire un accès initial à l’un des composants et des opportunités ultérieures de déplacement latéral pour accéder aux ressources voulues.

    Comment protéger vos conteneurs

    Réduisez les surfaces d’attaque dans les images conteneurs (p. ex., supprimez les outils de débogage)

    Afin de diminuer la surface d’attaque, les entreprises doivent se focaliser sur la détection des vulnérabilités, des logiciels malveillants, des infractions à la conformité et autres, depuis la phase de compilation jusqu’à l’exécution.

    Procédez à une évaluation des vulnérabilités lors de la création et des tests des conteneurs avant de les enregistrer dans le registre des conteneurs.

    L’évaluation des vulnérabilités permet aux entreprises de détecter les problèmes de sécurité avant qu’ils ne puissent être exploités par des cyberattaquants.

    Évitez d’utiliser des images conteneurs partagées publiquement

    Les images utilisées peuvent être obsolètes ou vulnérables, ce qui peut entraîner un risque supplémentaire dans votre environnement cloud.

    Limitez les privilèges des conteneurs

    Suivez le principe du moindre privilège pour vous assurer que les conteneurs n’ont pas des autorisations excessives.

    Assurer la sécurité de l’infrastructure cloud requiert une protection de sécurité tout au long du pipeline CI/CD. En adoptant une approche Shift Left pour la sécurité et en procédant à une évaluation proactive des conteneurs, CrowdStrike Cloud Security peut réduire les risques au sein de votre organisation en détectant les vulnérabilités, les logiciels malveillants intégrés, les informations sensibles stockées ou tout autre problème de sécurité avant tout déploiement.

    Rapport 2023 sur les risques liés au cloud

    Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu’en 2024.

    Télécharger

    À PROPOS DE L'AUTEUR

    David Puzas est un dirigeant d’entreprise et un expert en marketing dans les domaines de la cybersécurité, du cloud et des services IT avec plus de vingt ans d’expérience à son actif. Chargé de renforcer la valeur client et les résultats des innovations pour des entreprises telles que CrowdStrike, Dell SecureWorks et IBM au niveau mondial, il met l’accent sur l’optimisation des innovations informatiques, des tendances et de leurs implications commerciales en matière de croissance et d’expansion des marchés. David Puzas est responsable de la mise sur le marché du portefeuille de solutions de sécurité du cloud de CrowdStrike à l’échelle mondiale ainsi que de la fidélisation des clients.

    Featured Articles

    Featured Image
    Cybermenaces courantes liées au cloud :
    Vol d'identifiants
  • Demande : Évaluation de la sécurité du cloud
    • Featured Image
    Cybermenaces courantes liées au cloud :
    Exploitation des vulnérabilités du cloud
  • Demande : Évaluation de la sécurité du cloud
    • Featured Image
    Cybermenaces courantes liées au cloud :
    Hébergement de logiciels malveillants
  • Demande : Évaluation de la sécurité du cloud