PME - Expliquer les pans de la cybersécurité
15 septembre 2023
Parce que... c'est l'épisode 0x358!
Teknik - Pentest cloud - Accès initial
22 août 2023
Parce que... c'est l'épisode 0x357!
Spécial - Réfléchir en liste ou réfléchir en graph
11 septembre 2023
Parce que... c'est l'épisode 0x356!
Spécial - Les formes d'entreprises (France et Canada) pour accueillir le freelance
16 juin 2023
Parce que... c'est l'épisode 0x355!
Teknik - Retour d'expérience - Google Next '23 (2e partie - les autres annonces)
14 septembre 2023
Parce que... c'est l'épisode 0x354!
Teknik - Kubernetes - Les API et le RBAC
30 mai 2023
Parce que... c'est l'épisode 0x353!
Spécial - Panel spectaculaire sur les voûtes de mot de passe
14 septembre 2023
Parce que... c'est l'épisode 0x352!
Juridik - Les autres obligations de la loi 25 (EFVP, nouveaux droits, nouvelles sanctions)
15 septembre 2023
Parce que... c'est l'épisode 0x351!
Teknik - Analyse d'un malware - Stuxnet
28 juin 2023
Parce que... c'est l'épisode 0x350!
Juridik - Lignes directrices sur le consentement des renseignements personnels (Loi 25)
08 septembre 2023
Parce que... c'est l'épisode 0x349!
Teknik - Retour d'expérience - Google Next '23 (1ère partie - Cloud Firewall Plus)
30 août 2023
Parce que... c'est l'épisode 0x348!
H'umain - Sensibilisation de l'utilisateur
27 juin 2023
Parce que... c'est l'épisode 0x347!
Spécial - Retour d'expérience - Blue Team Con 2023
03 septembre 2023
Parce que... c'est l'épisode 0x346!
Teknik - Regards sur la fuite de la clé MSA
23 août 2023
Parce que... c'est l'épisode 0x345!
Teknik - Les signaux, l'élément atomique d'analyse cybersécurité
21 août 2023
Parce que... c'est l'épisode 0x344!
Teknik - BeyondCorp Enterprise (ZTNA) - Pourquoi chez Google je n'utilise jamais de VPN, je n'installe jamais d'applications et je ne télécharge aucune donnée sur mon laptop
18 mai 2023
Parce que... c'est l'épisode 0x343!
Spécial - Démarche pour devenir un indépendant
02 juin 2023
Parce que... c'est l'épisode 0x342!
Teknik - Introduction aux tests d'intrusions infonuagique
21 juin 2023
Parce que... c'est l'épisode 0x341!
Parce que… c’est l’épisode 0x341!
Shameless plug
- 10 au 13 août 2023 - DEFCON
- 25 au 27 août 2023 - Blue Team Con
- 29 au 31 août 2023 - Google Next ‘23
- 21 au 23 novembre 2023 - European Cyber Week
- février 2024 - SéQCure
- Formation Crise et résilience
Description
Bienvenue dans l’univers de la sécurité offensive avec “belle sécurité”. Le domaine couvre tout ce qui concerne les tests de sécurité et le piratage éthique. Ce secteur, quoique vaste, est essentiel pour comprendre les nuances des tests d’intrusion dans l’informatique nuagique.
La tendance actuelle montre que de nombreuses entreprises migrent leurs ressources vers le cloud, notamment en raison de ses avantages en matière de flexibilité et de coût. Cependant, cette migration se fait souvent sans une connaissance approfondie des défis de sécurité qui y sont associés. En effet, les attaquants s’intéressent de plus en plus aux environnements cloud, y voyant des points d’entrée potentiels vers des réseaux internes ou des données sensibles.
Il est essentiel de comprendre le modèle de sécurité partagée propre au cloud. Ce modèle stipule que, bien que le fournisseur de cloud (comme Azure, AWS ou GCP) soit responsable de certains aspects de la sécurité, la responsabilité finale incombe à l’entreprise utilisatrice. Les différentes offres cloud, comme IaaS, PaaS et SaaS, ont chacune leurs spécificités et risques associés en termes de sécurité.
La gestion des accès est primordiale. Des erreurs comme l’absence de MFA (authentification multi-facteurs) peuvent offrir aux attaquants une porte ouverte. De plus, la gestion des équipements et des identités est essentielle, d’autant plus que les attaques basées sur l’identité sont de plus en plus courantes dans le monde du cloud.
Il est intéressant de noter que même si les environnements cloud sont basés sur des serveurs physiques traditionnels, la méthodologie d’approche est différente. Les tests d’intrusion dans le cloud nécessitent une compréhension approfondie des spécificités de l’environnement cible, car une simple erreur de configuration peut être exploitée par des attaquants.
Les tests d’intrusion, qu’ils soient en mode Black Box, Grey Box ou White Box, varient selon les informations disponibles pour l’attaquant. C’est dans ce contexte que les outils comme Truffaut, qui se concentrent sur la détection d’entropie, peuvent s’avérer utiles pour identifier les secrets ou les tokens d’accès.
Il est également crucial d’être conscient de la persistance des attaques. Par exemple, un refresh token valide pendant 90 jours peut permettre à un attaquant de maintenir un accès non autorisé pendant une longue période. Les attaques sophistiquées, comme le ransomware, exploitent également les fonctionnalités natives des services cloud pour infliger des dommages.
En conclusion, l’informatique nuagique offre d’énormes avantages aux entreprises, mais elle présente également des défis uniques en matière de sécurité. La clé est de comprendre ces défis, de s’équiper des outils et des connaissances appropriés, et de toujours rester un pas en avance sur les attaquants potentiels.
Notes
- À venir
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: aws, azure, gcp, iaas, iam, mfa, onprem, paas, saas
Tweet