Analyse SOC de la pile de menaces : Enquête sur les incidents impliquant des outils d’automatisation

Dans le cadre de leur travail 24h/24 et 7j/7 d'assistance aux clients via le programme Cloud SecOps℠, les analystes de sécurité du Threat Stack Security Operations Center (SOC) enquêtent régulièrement sur les activités suspectes pour le compte de nos clients. Au cours des derniers mois, nos analystes de sécurité ont remarqué une augmentation constante de l’utilisation d’outils d’automatisation qui incluent des fonctionnalités SSH basées sur le Web.

L’utilisation de ces outils est un signe concret que de nombreuses organisations font mûrir leur environnement cloud et deviennent plus sophistiquées dans leur orchestration cloud et leur gestion quotidienne. En utilisant SSH basé sur le Web et d’autres fonctionnalités permettant d’exécuter des scripts personnalisés sur des serveurs distants, les équipes d’exploitation peuvent réduire considérablement les frais généraux et rationaliser le cycle de vie de leurs serveurs et la configuration des services à grande échelle.

Cependant, comme nous l’avons vu par le passé, l’automatisation d’opérations complexes peut entraîner des erreurs ou des risques négligés. Premièrement, il devient encore plus important de s’assurer que vos politiques IAM sont à jour et spécifiques aux fonctionnalités individuelles des services donnés. Outre l’accent mis sur l’IAM, de nombreux outils d’automatisation, y compris ceux dotés de fonctionnalités SSH basées sur le Web, présentent des défis uniques pour les équipes de sécurité lorsqu’elles enquêtent sur des activités suspectes dans leur environnement cloud.

Dans les systèmes Linux, les outils SSH basés sur le Web ne se manifestent pas sous forme de sessions SSH traditionnelles dans les journaux sous-jacents. Cette différence peut entraîner des événements système dans les journaux qui ne sont associés à aucun utilisateur connecté. Normalement, cela ressemble à une activité d’automatisation régulière et fiable, mais pas si un utilisateur peut émettre des commandes arbitraires derrière elle. Les implications ici sont assez évidentes : Si un acteur malveillant, qu’il s’agisse d’un initié ou d’une personne exploitant des informations d’identification compromises de l’extérieur, parvient à accéder à un outil SSH basé sur le Web, l’obfuscation devient triviale.

Les capacités d'observabilité de sécurité de la pile complète et d'analyse comportementale d'outils tels que Threat Stack Cloud Security Platform® sont en mesure d'identifier cette activité suspecte, mais c'est là que la nature automatisée des outils SSH basés sur le Web pose un problème aux analystes de sécurité. Il faut une technique d’investigation différente pour reconnaître et faire pivoter les nuances dans les événements d’automatisation afin de découvrir l’intention sous-jacente d’un utilisateur.

C’est là qu’interviennent les analystes SOC de Threat Stack. En travaillant directement avec certains des environnements cloud les plus progressistes du secteur, ils connaissent parfaitement la manière d’enquêter sur ces types d’incidents. Si vous souhaitez découvrir comment les analystes du programme Threat Stack Cloud SecOps enquêtent sur les actions en aval des outils d'automatisation lors de la réalisation d'analyses médico-légales nécessitant l'attribution des utilisateurs, téléchargez notre dernier rapport Threat Intelligence ou inscrivez-vous à notre démonstration en direct : « Activité automatisée ou menace interne : Pouvez-vous faire la différence ? » — qui se tiendra le 19 mars.