À la lumière des cyberattaques réussies visant les services cloud des organisations, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié une série de recommandations sur la manière dont les entreprises peuvent améliorer leur sécurité cloud.

Les attaques observées par CISA exploitent de mauvaises pratiques de cyber-hygiène dans les configurations de services cloud, et l’agence affirme que l’activité n’est pas liée à un acteur de la menace spécifique ou à la récente attaque SolarWinds. Ainsi, les mesures d’atténuation recommandées s’appliquent à toutes les organisations qui cherchent à garantir une meilleure protection de leurs services cloud contre les cyberattaques.

CISA note que les recommandations sont basées sur les engagements de réponse aux incidents CISA et que les attaques observées impliquaient fréquemment du télétravail qui exploitait un mélange d’ordinateurs portables d’entreprise et d’appareils personnels pour accéder aux services cloud.

«Malgré l’utilisation d’outils de sécurité, les organisations touchées avaient généralement de faibles pratiques de cyber-hygiène qui permettaient aux acteurs menaçants de mener des attaques réussies», note CISA.

Pour exploiter les faiblesses des services cloud de l’organisation victime, les acteurs de la menace ont utilisé des techniques telles que le phishing et les tentatives de force brute. Un incident, cependant, impliquait peut-être une attaque «pass-the-cookie» (dans laquelle un cookie de session volé est utilisé pour accéder à des ressources autrement restreintes).

Les e-mails de phishing ont été utilisés pour inciter les victimes à partager leurs identifiants de connexion, puis à en abuser pour accéder aux comptes de service cloud et à hameçonner des informations d’identification supplémentaires. Les tentatives de force brutale ont ciblé un serveur de terminaux dans une organisation qui a ouvert le port 80 pour un accès à distance plutôt que d’utiliser un VPN.

Les règles de transfert d’e-mails ont également été utilisées de manière abusive pour la collecte d’informations sensibles, ainsi que des règles modifiées pour rechercher des mots-clés liés aux finances dans les e-mails des victimes. Dans un cas, bien que le compte compromis ait une authentification multifacteur (MFA) activée, les attaquants ont apparemment utilisé un …