Risques des seaux de stockage cloud mal configurés
Un stockage cloud mal configuré présente des risques de sécurité pour l'exposition des données sensibles.
― 8 min lire
Table des matières
- Croissance du Stockage Cloud
- Défis pour Identifier les Buckets Vulnérables
- Une Nouvelle Approche pour Identifier les Buckets Vulnérables
- Pourquoi les Motifs de Nommage Comptent
- Résultats Clés du Nouveau Système
- Types Communs de Malconfigurations
- L'Impact des Buckets Mal Configurés
- Le Rôle du Scan Actif
- Recommandations pour la Sécurité
- Conclusion
- Source originale
- Liens de référence
Les buckets de stockage cloud mal configurés sont un gros souci de sécurité. Plein d'entreprises ont perdu des infos sensibles comme des dossiers médicaux et des données clients à cause de ces erreurs de config. Ces problèmes se produisent souvent quand les noms de buckets sont faciles à deviner ou quand les paramètres de sécurité ne sont pas bien réglés. Les attaquants peuvent exploiter ces vulnérabilités pour accéder facilement à des Données sensibles. Du coup, c'est super important d'examiner comment ces buckets sont sécurisés et de trouver des moyens d'identifier ceux qui sont Vulnérables.
Croissance du Stockage Cloud
Les services de stockage cloud comme Amazon S3, Google Cloud Storage et Alibaba Cloud ont pris une grosse ampleur ces dernières années. Ils simplifient la gestion des données pour les développeurs, permettant une gestion plus facile sans devoir s'occuper de tâches complexes sur des serveurs. Mais ce confort a aussi ouvert la porte à de nouveaux risques, car les réglages de ces services peuvent être très compliqués, ce qui mène à des erreurs qui mettent en danger la sécurité.
Une part importante des entreprises a rencontré des violations de données liées à des réglages de stockage cloud incorrects. Certaines fuites de données ont été graves, exposant des millions de dossiers personnels, des infos classées et des fichiers privés. Malgré ça, l'environnement de stockage cloud n'a pas eu beaucoup d'attention de la part des chercheurs en sécurité, rendant difficile la détection précoce des problèmes de sécurité.
Défis pour Identifier les Buckets Vulnérables
Contrairement aux serveurs traditionnels qui peuvent être identifiés par une adresse IP, les buckets de stockage ne peuvent être accédés que par leurs noms. Sur Amazon, Google, et Alibaba, les noms de buckets peuvent faire entre 3 et 64 caractères, ce qui signifie qu'il y a un nombre énorme de noms potentiels. Ça rend compliqué pour les chercheurs de savoir quels buckets sont vulnérables.
La plupart des méthodes de scan jusqu'à présent se sont concentrées sur la recherche de noms de buckets simples, sous-estimant ainsi le niveau d'insécurité dans le système de stockage cloud. Des recherches montrent que même si certains outils peuvent trouver des buckets avec des noms faciles, ils manquent beaucoup d'autres noms plus complexes qui sont souvent vulnérables.
Une Nouvelle Approche pour Identifier les Buckets Vulnérables
Pour régler ce problème, un nouveau système a été développé pour étudier comment les gens nomment les buckets. Ce système collecte des données de diverses sources pour prédire les noms de buckets qui pourraient être exposés. En apprenant des noms de buckets existants, le système peut trouver plus de buckets vulnérables que les méthodes précédentes.
La nouvelle approche améliore significativement la capacité d'identifier les buckets mal configurés. Elle se concentre sur les motifs observés dans la création des noms de buckets par les humains. Beaucoup de buckets utilisent des mots, phrases ou combinaisons courantes qui peuvent être prédites au lieu de se fier uniquement à des caractères aléatoires.
Pourquoi les Motifs de Nommage Comptent
Les noms de buckets ressemblent aux mots de passe dans le sens où les gens les créent souvent en utilisant un langage courant. Des études sur la création de mots de passe ont montré que des motifs spécifiques peuvent être identifiés, permettant aux chercheurs de prédire des points faibles potentiels. En appliquant ces principes, le nouveau système peut deviner les noms de buckets qui sont plus susceptibles d'être mal configurés.
Les chercheurs ont trouvé que 60 % des buckets contiennent au moins un mot reconnaissable dans leurs noms. Ça suggère que les noms de buckets sont souvent prévisibles, et en analysant ces motifs, il devient plus facile d'identifier des buckets potentiellement vulnérables.
Résultats Clés du Nouveau Système
Le système montre que beaucoup de buckets sont mal configurés, même si leurs noms peuvent sembler sécurisés au premier abord. Par exemple, il a découvert que 10 % des buckets publics contenaient des données sensibles. Beaucoup de ces buckets ont été créés en utilisant des motifs de noms complexes que les méthodes de scan précédentes n'ont pas pu capter.
La nouvelle approche de scan augmente non seulement le nombre de buckets trouvés, mais améliore aussi la performance de détection des fichiers sensibles. Elle découvre les erreurs de config plus efficacement que les outils existants, montrant que la complexité du nommage des buckets est liée à leur vulnérabilité.
Types Communs de Malconfigurations
De nombreux buckets cloud sont souvent mal configurés. Ça peut inclure des paramètres qui exposent par inadvertance des données sensibles au public. Par exemple, certains buckets permettent à tout le monde d'écrire ou de supprimer des fichiers, ce qui peut entraîner des fuites de données.
Les recherches indiquent que les buckets Amazon S3 présentent les niveaux les plus élevés de malconfiguration. La complexité des paramètres de permission d'Amazon contribue à un risque d'exposition plus élevé. Dans de nombreux cas, les buckets qui ont été mis à jour récemment sont plus susceptibles d'avoir ces faiblesses.
L'Impact des Buckets Mal Configurés
Quand les buckets sont mal configurés, le potentiel de perte de données augmente considérablement. Les buckets mal sécurisés peuvent être exploités avant que les organisations ne se rendent compte qu'il y a un problème. Les nouvelles recherches indiquent que le nombre de fichiers sensibles exposés est beaucoup plus élevé que ce qu'on pensait auparavant.
Par exemple, des centaines de milliers de clés privées et de fichiers de base de données ont été trouvés dans des buckets publics mal configurés. Ces informations peuvent être dommageables si elles tombent entre de mauvaises mains.
Le Rôle du Scan Actif
Le scan actif est crucial pour garder le stockage cloud sécurisé. Ça implique de vérifier régulièrement les buckets pour des vulnérabilités afin de s'assurer que les données sensibles restent protégées. Le nouveau système discuté dans la recherche peut réaliser un scan actif plus efficacement que les méthodes précédentes.
En utilisant des motifs établis dans les noms de buckets, le système peut identifier un plus grand nombre de buckets mal configurés. Cette approche proactive aide les organisations à prendre les mesures nécessaires pour sécuriser leurs données avant qu'elles ne soient exploitées.
Recommandations pour la Sécurité
Pour améliorer la sécurité du stockage cloud, plusieurs recommandations peuvent être faites pour les entreprises utilisant ces services. D'abord, les organisations devraient régulièrement passer en revue leurs configurations de buckets pour éviter que des malconfigurations ne passent inaperçues. Mettre en place des audits de sécurité peut aider à attraper des vulnérabilités potentielles avant qu'elles ne soient exploitées.
Ensuite, former le personnel sur comment configurer le stockage cloud de manière sécurisée peut aussi être bénéfique. Comprendre les risques associés aux buckets mal configurés peut aider à protéger les données sensibles.
Enfin, utiliser des outils qui peuvent scanner activement et rapporter sur la sécurité des buckets peut aider à maintenir un environnement cloud sécurisé.
Conclusion
Les buckets de stockage cloud mal configurés restent un risque important pour les organisations. Cependant, les avancées dans les techniques de scan, particulièrement celles basées sur les motifs de nommage, peuvent grandement améliorer l'identification des buckets vulnérables.
Les recherches montrent que la complexité des noms et la manière dont les humains créent les noms de buckets jouent des rôles cruciaux dans la détermination de quels buckets sont plus susceptibles d'être mal configurés. Les organisations doivent adopter une approche active pour sécuriser leur stockage cloud afin de prévenir les violations de données.
En adoptant de nouveaux systèmes qui comprennent mieux les motifs de nommage des buckets, les entreprises peuvent améliorer la sécurité de leur stockage cloud et protéger les données sensibles contre des menaces croissantes. Mettre en œuvre ces recommandations équipera mieux les organisations pour sécuriser leurs actifs numériques dans le cloud.
Titre: Stratosphere: Finding Vulnerable Cloud Storage Buckets
Résumé: Misconfigured cloud storage buckets have leaked hundreds of millions of medical, voter, and customer records. These breaches are due to a combination of easily-guessable bucket names and error-prone security configurations, which, together, allow attackers to easily guess and access sensitive data. In this work, we investigate the security of buckets, finding that prior studies have largely underestimated cloud insecurity by focusing on simple, easy-to-guess names. By leveraging prior work in the password analysis space, we introduce Stratosphere, a system that learns how buckets are named in practice in order to efficiently guess the names of vulnerable buckets. Using Stratosphere, we find wide-spread exploitation of buckets and vulnerable configurations continuing to increase over the years. We conclude with recommendations for operators, researchers, and cloud providers.
Auteurs: Jack Cable, Drew Gregory, Liz Izhikevich, Zakir Durumeric
Dernière mise à jour: 2023-09-23 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2309.13496
Source PDF: https://arxiv.org/pdf/2309.13496
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.