Rapport 2022 sur les menaces Cloud Natives et l'évolution des techniques cyber

En ligne :

Rechercher

Dossiers

Rapport 2022 sur les menaces Cloud Natives et l’évolution des techniques cyber

Publication: Avril 2022

Partagez sur

Les chercheurs Nautilus d’Aqua Security dévoilent l’évolution des techniques cyber criminelles pesant sur les environnements cloud natifs. Si les malware de crypto minage se hissent toujours au premier rang, plus de la moitié des attaques exploitent des backdoors et des worms...

Aqua Security, pure player de la sécurité cloud native, annonce aujourd’hui les résultats de son nouveau rapport de sécurité « 2022 Cloud Native Threat Report : Tracking Software Supply Chain and Kubernetes Attacks and Techniques » conduit par son équipe de recherche Nautilus.

Selon les résultats de cette étude, les cyber assaillants redoublent d’ingéniosité pour cibler spécifiquement les environnements cloud natifs : TTPs (Tactiques, Techniques et Procédures) toujours plus sophistiquées, exploitation de différents composants et focus sur Kubernetes ainsi que sur la chaîne d’approvisionnement logicielle.

Attaques sur les environnements cloud natifs : le minage pirate n’est plus le seul objectif

Si les malwares de cryto minage sont les plus fréquemment observés et en constante augmentation, l’équipe Nautilus souligne l’utilisation de plus en plus développée de backdoors, de rootkits et de vol d’identifiants signe que le minage pirate n’est par leur unique objectif. Permettant l’accès à distance et utilisées à des fins de persistance dans les environnements compromis, les backdoors ont été rencontrées dans 54% des attaques (soit une hausse de 9% par rapport à 2020). De plus, la moitié des images de conteneurs malveillants analysées contenaient des worms, pour permettre aux cyber assaillants d’étendre la portée de leur attaque en limitant leurs efforts (en hausse de 10 % par rapport à 2020).

Les acteurs de la menace ont également élargi leurs cibles pour y inclure les environnements CI/CD et Kubernetes. En 2021, 19% des images de conteneurs malveillantes analysées ciblaient Kubernetes, y compris les kubelets et les serveurs API, une hausse de 9% par rapport à l’année précédente.

« Ces résultats démontrent que les environnements cloud natifs représentent désormais une cible de choix pour les cyber assaillants et que leurs techniques s’affutent constamment », déclare Assaf Morag, responsable de la veille sur les menaces et Data Analyst au sein de l’équipe de recherche Nautilus d’Aqua. « La large surface d’attaque d’un cluster Kubernetes est très attractive pour les pirates, et une fois qu’ils sont dans la place, ils peuvent facilement conduire leurs actions. »

Autres enseignements de ce rapport :

La part et la typologie des cyber attaques observées et ciblant Kubernetes ont augmenté, démontrant une adoption plus large des outils d’interface utilisateur Kubernetes comme vecteur d’attaque.

Les cyber attaques ciblant la supply chain représentent 14,3% de l’échantillon d’images analysées issues de bibliothèques publiques, ce qui démontre leur efficacité continue dans les attaques ciblant les environnements cloud natifs.

La faille zero-day Log4j a été immédiatement exploitée. L’équipe Nautilus a détecté plusieurs techniques malveillantes, comprenant notamment des malware connus, des exécutions sans fichier, des exécutions reverse shell et des fichiers téléchargés et exécutés à partir de la mémoire, l’ensemble soulignant la nécessité de protéger les applications en cours d’exécution.

Les chercheurs Nautilus ont observé des attaques honeypots émises par le groupe de pirates TeamTNT après que ce dernier ait annoncé son retrait de la scène cybercriminelle en décembre 2021. Cependant, comme aucune nouvelle tactique n’a été utilisée, les chercheurs n’ont pas su déterminer avec précision si le groupe était toujours actif ou si les attaques provenaient d’une infrastructure automatisée. Dans le doute, les entreprises devront poursuivre l’application de mesures préventives contre ces menaces.

L’équipe Nautilus d’Aqua a utilisé des honeypots pour analyser les attaques dans la nature et celles ciblant la chaîne d’approvisionnement et les applications cloud natives, examinant des images et des packages provenant de registres et de référentiels publics, tels que DockerHub, NPM et Python Package Index. Les chercheurs se sont appuyés pour cela sur la solution d’analyse dynamique des menaces (DTA) d’Aqua. Aqua DTA est la première solution sandbox de conteneur du marché à analyser de manière dynamique les comportements des images de conteneurs pour déterminer s’ils hébergent ou pas des logiciels malveillants dissimulés. Cela permet aux organisations d’identifier et d’atténuer les attaques que les scans de malware statiques ne peuvent pas détecter.

« Ce qu’il faut retenir de ce rapport, c’est que les cyber assaillants sont très actifs encore plus aujourd’hui et ciblent plus fréquemment les vulnérabilités dans les applications, l’open source et la technologie cloud », conclut Assaf Morag. « Les professionnels de la sécurité, les développeurs et les équipes DevOps doivent rechercher des solutions de sécurité conçues spécifiquement pour le cloud natif. La mise en œuvre de mesures proactives et préventives permettra de mieux protéger les environnements. »

Pour garantir la sécurité des environnements cloud, l’équipe Nautilus d’Aqua recommande d’implémenter des mesures de sécurité au moment de l’exécution applicative, de protéger Kubernetes via une approche sécuritaire multicouches et d’effectuer du scan au cours du développement.

https://www.aquasec.com/

Suivez MtoM Mag sur le Web

Rencontre avec Sébastien Gillet, Directeur de Division des Salons Professionnels Gl Events Exhibitions Industrie

Olivier Bouzereau, Founder & CEO de PulsEdit au salon SOC 2023

Justine Bonnot, Founder & CEO - We Do Low sur le salon SOC 2023

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

MtoM Mag - Le journal de l'MtoM.