Exfiltration de donnees cloud
Qu'est-ce que Exfiltration de donnees cloud ?
Exfiltration de donnees cloudCopie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
L'exfiltration de donnees cloud est l'etape ou des attaquants deplacent les donnees depuis des services cloud compromis vers leur propre infrastructure. Techniques frequentes: S3 GetObject et Sync, partage de snapshots EBS ou RDS vers un compte externe via SharePermission, replication cross-account, exports BigQuery ou Athena, mise en partage public de buckets et URL signees a longue duree. L'egress peut se cacher dans des services legitimes (versionning, outils de backup). Defenses: IAM minimal, regles de deni sur le partage cross-account pour stockage et snapshots, VPC endpoints avec SCP, chiffrement avec cles client, detection de trafic anormal et DLP sur les donnees stockees.
● Exemples
- 01
Un attaquant utilise des credentials IAM voles pour lancer aws s3 sync contre un bucket sensible.
- 02
Partage d'un snapshot RDS vers un compte AWS externe pour exporter des tables clients.
● Questions fréquentes
Qu'est-ce que Exfiltration de donnees cloud ?
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Exfiltration de donnees cloud ?
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
Comment fonctionne Exfiltration de donnees cloud ?
L'exfiltration de donnees cloud est l'etape ou des attaquants deplacent les donnees depuis des services cloud compromis vers leur propre infrastructure. Techniques frequentes: S3 GetObject et Sync, partage de snapshots EBS ou RDS vers un compte externe via SharePermission, replication cross-account, exports BigQuery ou Athena, mise en partage public de buckets et URL signees a longue duree. L'egress peut se cacher dans des services legitimes (versionning, outils de backup). Defenses: IAM minimal, regles de deni sur le partage cross-account pour stockage et snapshots, VPC endpoints avec SCP, chiffrement avec cles client, detection de trafic anormal et DLP sur les donnees stockees.
Comment se défendre contre Exfiltration de donnees cloud ?
Les défenses contre Exfiltration de donnees cloud combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Exfiltration de donnees cloud ?
Noms alternatifs courants : Egress cloud, Exfiltration de buckets cloud.
● Termes liés
- cloud-security№ 190
Vol de tokens cloud
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
- cloud-security№ 186
Fuite de cles cloud
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 187
SSRF sur metadonnees cloud
Attaque SSRF qui exploite une application vulnerable pour interroger le service de metadonnees de l'instance du fournisseur cloud et voler des identifiants temporaires.
● Voir aussi
- № 211Container Escape
- № 079Attaque AWS IMDSv1
- № 598Attaque de cluster Kubernetes
- № 255Finding CSPM