Bien que les applications sur site aient traditionnellement été invisibles aux attaquants externes grâce aux pare-feu périmètriques, l'adoption de logiciels en tant que service (par ex. Microsoft 365, Salesforce), d'infrastructure en tant que service (par ex. AWS, GCP) et d'autres technologies basées sur le cloud ne sont pas intrinsèquement verrouillées de cette manière.
Dans de nombreux cas, ces applications sont accessibles de n'importe où, l'accès aux données étant contrôlé uniquement par une forme d'authentification.
L'authentification multi-facteurs (AMF) a considérablement réduit les attaques par usurpation d'identifiants au cours desquelles un attaquant parvient à se connecter comme s'il s'agissait d'un utilisateur légitime. Cependant, l'AMF ne permet pas de se protéger contre les attaques de vol d'identifiants plus ciblées.
Cela laisse l'accessibilité des données et des ressources stockées dans le cloud (privé) entièrement dépendante de l'efficacité des mécanismes d'authentification des utilisateurs, indépendamment de l'appareil ou du réseau sous-jacent.
Masquage des ressources sur Internet ouvert
Le meilleur moyen de prévenir une attaque sur ces ressources de données est d'éliminer leur détectabilité et leur accessibilité depuis Internet ouvert autant que possible.
Cela signifie qu'un attaquant – équipé d'identifiants AMF valides d'employé et ayant même connaissance des systèmes qu'il souhaite exploiter – ne pourra simplement pas accéder à ces systèmes à partir de son appareil non autorisé.
Pour les applications SaaS, un attaquant ne pourra pas se connecter à l'application qu'il tente d'atteindre.
Pour IaaS et le cloud privé, un attaquant n'atteindra même pas l'écran de connexion ni même un seul paquet jusqu'au service cible, et encore moins obtiendra une réponse.
Ceci est réalisé en activant l'accès pour les appareils de confiance, suivi de la restriction de l'accès pour les appareils anonymes.
L'effet net est simple : seuls les appareils autorisés peuvent « voir » les applications sensibles – pour tous les autres, l'application est complètement invisible.
Avantages du masquage
- Empêche les attaquants de découvrir des applications ou une infrastructure qui pourraient inciter à d'autres tentatives d'escalade d'attaque et d'exploitation.
- Empêche les attaquants qui ont exécuté avec succès une attaque par vol d'identifiants de pouvoir accéder aux applications et aux données en tant qu'utilisateur compromis.
- Permet une visibilité complète, une génération de rapports et une exportation (par exemple, via SIEM) de l'activité d'accès aux applications cloud pour toute application SaaS ou IaaS.
- Atténue les attaques DDoS qui pourraient affecter la disponibilité de l'application.