Alors que les employés, les sous-traitants et les flux de travail automatisés envoient en permanence des fichiers vers le stockage cloud de l'entreprise, rares sont ceux qui font l'objet de contrôles de sécurité en temps réel.
Il existe peut-être des politiques de scan programmées, mais cela signifie que des fichiers malveillants peuvent rester dans un compartiment S3 ou une bibliothèque SharePoint pendant des jours, voire des semaines, avant d'être détectés. Pendant ce temps, ils peuvent déjà avoir été consultés, partagés ou traités par des systèmes en aval.
Outre le risque potentiel qu'elles représentent, les analyses programmées traditionnelles peuvent entraîner des violations de conformité, car les cadres mondiaux de sécurité de l'information, tels que la norme PCI DSS v4.0, exigent des organisations qu'elles établissent une fréquence d'analyse fondée sur une analyse ciblée des risques (TRA), laquelle est réexaminée et mise à jour en cas de changements importants ou à une fréquence périodique définie.
Pour de nombreuses équipes de sécurité, cela se traduit par une analyse complète et récurrente de l'ensemble des données : chaque fichier, chaque dossier, tous les 60 jours. C'est épuisant, coûteux et de plus en plus difficile à gérer à l'échelle du pétaoctet.
Il y a une meilleure solution.
L'analyse basée sur les événements, l'analyse des identités et les workflows d'analyse flexiblesMetaDefender permettent aux entreprises de maintenir une protection en temps réel, de réduire les analyses redondantes et de générer le type de piste d'audit par utilisateur que les auditeurs souhaitent voir.
Pourquoi Cloud nécessite plus que de simples analyses programmées
Les analyses complètes planifiées des compartiments ont été conçues pour une époque où le stockage dans le cloud servait de destination de sauvegarde, et non de plateforme de collaboration principale. Cette époque est révolue.
Aujourd'hui, un établissement financier peut avoir 50 millions de fichiers dans un seul compartiment S3. Une structure de santé peut utiliser SharePoint Online comme référentiel de documents pour des milliers de professionnels de santé.
Une analyse complète à la recherche de logiciels malveillants sur l'ensemble du parc informatique tous les 30 ou 60 jours mobilise un temps de calcul considérable, génère API énorme et s'achève souvent après que la menace s'est déjà propagée latéralement.
De plus, il y a un problème structurel :une analyse périodique n'est qu'un instantané, et non un diagnostic complet. Si elle permet de voir ce qui était sain à un moment donné, elle ne donne aucune indication sur les fichiers qui ont été téléchargés après la fin de la dernière analyse. Et le temps que vous lanciez la prochaine analyse, il sera peut-être déjà trop tard.
Concrètement, si les analyses programmées mobilisent trop de ressources informatiques, ne fournissent qu’une vision partielle de la situation et risquent d’entraîner un manquement à la conformité, la solution logique qui s’impose est la protection en temps réel des données stockées dans le cloud. L’association d’un déclenchement basé sur les événements et d’une analyse tenant compte des identités transforme radicalement la manière dont la conformité se traduit dans la pratique.
Protection des nouveaux fichiers grâce à l'analyse basée sur les événements via MetaDefender Storage Security
MetaDefender Storage Security des analyses basées sur les événements, faisant ainsi évoluer le modèle de détection d'une approche consistant à « tout vérifier selon un calendrier prédéfini » vers une approche consistant à « analyser immédiatement dès qu'un changement survient ». Plutôt que d'interroger un compartiment à intervalles fixes,safonctionnalitéRTP (Real Time Processing)détecte les événements liés aux fichiers directement depuis la plateforme cloud et traite les fichiers nouveaux ou modifiés dès leur arrivée.
Pour Amazon S3, l'analyse basée sur les événements est mise en œuvre viaAWS EventBridge. Lorsqu'un fichier est téléchargé dans un compartiment surveillé, EventBridge envoie une notification au webhookStorage Security, ce qui déclenche immédiatement l'analyse, sans la latence d'une boucle d'interrogation. Ce modèle basé sur les notifications push génère moins API que l'interrogation, ce qui réduit à la fois le temps de réponse et les coûts d'exploitation à grande échelle.
Pour Azure Blob Storage,Storage Security Security a introduit la détection automatique des conteneurs; lorsque vous connectez un compte de stockage, la plateforme détecte automatiquement tous les conteneurs et applique une politique RTP cohérente sans configuration manuelle. Une gestion similaire, basée sur les événements, est disponible pour l'ensemble de la bibliothèque de connecteurs de stockage pris en charge, notamment SharePoint Online, Microsoft Teams, NetApp, Box et bien d'autres.
Enpratique :
- Un fichier téléchargé par un utilisateur dont le compte a été piraté à 2 h 47 est analysé et, s'il s'avère malveillant, mis en quarantaine avant que quiconque puisse y accéder ou le partager
- Les nouveaux fichiers téléchargés par des partenaires externes arrivent dans un état vierge avant d'être traités par un quelconque processus interne
- Le délai entre la réception d'un fichier et la décision de sécurité se mesure en secondes, et non en heures ou en jours
Du point de vue de la conformité, l'analyse basée sur les événements génère un historiquecontinu et horodaté de chaque fichier évalué en temps réel. Cet historique est disponible dans les rapports d'analyse, peut être filtré par unité de stockage et par plage de dates, et facilite directement les demandes d'audit.
Analyse des identités : analyse des fichiers en fonction de l'activité de l'utilisateur, du niveau de risque et de la priorité
L'une des fonctionnalités les plus importantes sur le plan opérationnelStorage Security l'analyse des identités, c'est-à-dire la possibilité d'associer les résultats d'analyse à l'identitéspécifique de l'utilisateur qui a téléchargé ou modifié unfichier.
Cela fait passer le débat sur la conformité de « nous avons analysé le répertoire » à « nous savons quel utilisateur a téléchargé chaque fichier ayant déclenché une alerte, quand cela s'est produit et quelle mesure a été prise ».
Comment la reconnaissance d'identité permet de réduire les scans superflus
Prenons l'approche traditionnelle : planifier une analyse complète du répertoire, analyser chaque fichier sans tenir compte de la date de la dernière analyse ni de l'utilisateur qui l'a téléchargé, puis générer un rapport indiquant que tout a été vérifié. Cette méthode est gourmande en ressources, lente et ne fait pas la distinction entre un fichier qui est sain et n'a pas été modifié depuis 18 mois et un fichier téléchargé hier par un compte qui a été piraté la semaine dernière.
La numérisation des documents d'identité permet une approche plus intelligente:
- Les fichiers provenant d'utilisateurs ou de comptes de service connus et fiables qui ont été analysés lors du cycle précédent peuvent être traités avec davantage de confiance.
- Les nouveaux fichiers ou ceux modifiés par des identités à haut risque, telles que des comptes externes, des identifiants de sous-traitants, des utilisateurs récemment signalés, etc., peuvent être traités en priorité ou analysés à nouveau immédiatement
- Les rapports d'audit permettent de voir, pour chaque identifiant utilisateur, quels fichiers ont été analysés, à quel moment et avec quel résultat ; un format qui correspond exactement à ce que recherchent les auditeurs PCI DSS et les évaluateurs ISO 27001.
Il en résulte une stratégie de conformité à la fois plus solide et plus efficace. Au lieu d'analyser sans cesse les mêmes fichiers statiques, vous réagissez à des événements contextuels : ce qui a été modifié, et par qui.
Flux de travail à la demande, planifiés et RTP : choisir la bonne approche pour chaque scénario
Storage Security trois modes d'analyse, et les programmes de conformité efficaces les utilisent généralement tous les trois en combinaison.
Le traitement en temps réel assure une protection continue du stockage actif
Le traitement en temps réel estle principal mécanisme permettant de détecter les menaces dès leur apparition. Il s'agit d'un système piloté par les événements, fonctionnant en permanence pour les unités de stockage surveillées, et conçu pour gérer le volume et la vitesse des flux de fichiers modernes dans le cloud.
Depuis la mise à jourStorage Security .4.Storage Security MetaDefender Storage Security , les administrateurs peuvent utiliser le nouveau sélecteur de date « Choisir les fichiers modifiés depuis » dans le modèle d'analyse RTP afin d'inclure les fichiers antérieurs à la configuration RTP actuelle. Cela améliore la couverture de conformité pour les fichiers précédemment téléchargés, tels que les fichiers OneDrive qui conservent leur date de dernière modification d'origine au lieu de l'horodatage du téléchargement.
Pour les cycles de conformité de 60 jours, cela signifie que vous pouvez cibler explicitement les fichiers modifiés au cours des 60 derniers jours, sans déclencher une analyse complète du compartiment depuis le début de l'historique de stockage.
Analyses planifiées adaptées à votre calendrier d'audit
Pour répondre aux exigences de conformité périodiques (PCI DSS, HIPAA, SOC 2, cycles d'audit interne),Storage Security une planification flexible des analyses, configurable à la minute près depuisla version 4.3.0. Cela permet aux équipes de sécurité de définir des plages horaires de scan précises qui correspondent aux périodes d'audit, de les exécuter en dehors des heures de bureau afin de minimiser l'impact, et de générer des rapports horodatés qui correspondent directement à la période de conformité examinée.
Les analyses planifiées peuvent être configurées de manière efficace. Plutôt que de réanalyser l'intégralité d'un parc de stockage de l'ordre du pétaoctet, l'analyse peut être ciblée sur des compartiments, des conteneurs, des bibliothèques de documents ou des dossiers spécifiques, et, lorsque l'analyse des identités est activée, sur les fichiers associés à des utilisateurs ou à des rôles spécifiques.
Analyse à la demande pour la correction ciblée et la gestion des incidents
L'analyse à la demande est utilisée dans des cas précis : un incident de sécurité a été détecté et l'équipe doit évaluer immédiatement une unité de stockage spécifique ; un audit de conformité est imminent et un compartiment particulier n'a pas été pris en compte lors de la dernière analyse planifiée ; ou une nouvelle intégration de stockage vient d'être connectée et nécessite une évaluation complète initiale.
Storage Security a ajouté la fonctionnalité « Reprocess Failed Files », qui permet aux administrateurs de créer de nouvelles analyses ne portant que sur les fichiers ayant échoué précédemment, évitant ainsi la charge liée à une nouvelle analyse complète tout en comblant des lacunes spécifiques dans la couverture. Il est également possible d'interrompre les analyses en cours directement depuis l'onglet « Rapport », sans avoir à naviguer ailleurs dans l'interface.
Détection automatique et intégration des rôles IAM pour éliminer les lacunes liées à la configuration manuelle
L'un des risques de non-conformité les plus courants dans les environnements de stockage dans le cloud est le stockage non surveillé. On peut citer, par exemple, un compartiment ou un conteneur qui n'a jamais été connecté à un outil de sécurité, une nouvelle unité de stockage mise en place en dehors des processus informatiques habituels, ou encore un conteneur généré automatiquement à la suite d'une intégration tierce.
Storage Security ce problème grâce à une détection automatique couvrant plusieurs fournisseurs de services cloud :
- Azure Blob Storage: Connectez un compte de stockage et tous les conteneurs sont détectés et ajoutés automatiquement à la stratégie d'analyse ; aucune intervention manuelle n'est requise
- SharePoint Online: connectez-vous à votre tenant et tous les sites seront détectés automatiquement dès la connexion
- Alibaba Cloud avec l'authentification par rôle RAM (Resource Access Management) et AWS S3 avec le rôle IAM (Identity and Access Management),Storage Security s'authentifier à l'aide d'identifiants à durée de vie limitée et aux privilèges minimaux plutôt qu'à l'aide de clés d'accès statiques, ce qui réduit le risque d'exposition des identifiants et simplifie leur rotation
Pour les organisations soumises à l'exigence 12.3.1 de la norme PCI DSS (fréquence de l'analyse des contrôles de sécurité basée sur les risques) ou aux contrôles de l'annexe A de la norme ISO 27001 pour les environnements cloud, la détection automatique réduit directement le risque de lacunes dans la couverture qui, sans cela, ne seraient détectées qu'au moment d'un audit ou d'un incident.
Grâce à la génération automatique de scripts Terraformpour la configuration d'AWS EventBridge, disponible depuis l'interfaceStorage Security , même la configuration initiale de la gestion basée sur les événements ne nécessite que des autorisations minimales et n'implique aucune création de scripts personnalisés de la part de l'équipe de sécurité.
Storage Security: une solution spécialement conçue pour la protection Cloud
Storage Security la solution OPSWAT destinée à détecter et à prévenir les menaces liées aux fichiers dans les environnements de stockage sur site, dans le cloud et hybrides. Elle applique successivement plusieurs technologies de prévention à chaque fichier qu'elle traite :
- La technologie Metascan™ Multiscanningutilisesimultanément des dizaines de moteurs anti-malware, ce qui améliore les taux de détection des menaces connues et inconnues sans dépendre des signatures d'un seul fournisseur
- Technologie Deep CDR™ reconstruit les fichiers en une version sûre et fonctionnellement équivalente en supprimant tout contenu actif potentiellement malveillant — efficace contre les menaces qui échappent à la détection basée sur les signatures
- Proactive DLP™ inspecte et masque les données sensibles contenues dans les fichiers (numéros de cartes de paiement, informations personnelles identifiables, dossiers médicaux) avant leur stockage, garantissant ainsi à la fois la sécurité des données et le respect des obligations de conformité
- File-Based Vulnerability Assessment identifie les vulnérabilités connues dans les fichiers tels que les programmes d'installation et les paquets avant qu'ils n'entrent dans l'environnement
- Adaptive Sandbox fournit une analyse comportementale des fichiers suspects qui nécessitent un examen plus approfondi
Tout cela s'appuie sur une vaste bibliothèque de connecteurs qui comprend Amazon S3, Azure Blob Storage, SharePoint Online, Microsoft Teams, OneDrive, Google Cloud , NetApp, Dell EMC Isilon, Box, Scality RING et bien d'autres, et de nouvelles intégrations sont ajoutées à chaque nouvelle version.
Pour les équipes chargées de la conformité,Storage Security des rapports d'analyse centralisés, l'attribution des identités par utilisateur, des journaux d'audit horodatés et des actions de correction configurables (autoriser, bloquer, supprimer, déplacer, nettoyer) ; toutes ces fonctionnalités répondant aux exigences de documentation des normes PCI DSS v4.0.1, HIPAA, ISO 27001 et SOC 2.
La plateforme est disponible sous forme de déploiement sur site ou sous forme de MetaDefender Storage Security Cloud. Cette dernière version a ajouté la prise en charge de la mutualisation pour les organisations gérant plusieurs unités commerciales ou environnements clients au sein d’un même déploiement.
De la détection réactive àStorage Security proactiveStorage Security Cloud
Les exigences en matière de conformité se sont durcies, car les auditeurs ne se contentent plus de la simple preuve que vous avez effectué une analyse. Ils veulent constater une couverture continue, l'attribution des identités et une politique claire régissant la manière dont les nouveaux fichiers sont traités dès leur arrivée dans votre environnement.
- L'analyse basée sur les événements apporte une réponse aux questions de cadence et de synchronisation.
- La vérification d'identité permet de garantir la responsabilité.
- Des flux de travail flexibles, programmés ou à la demande, permettent de répondre aux besoins en matière de documentation de conformité périodique. La détection automatique permet d'assurer une couverture complète.
Storage Security ces fonctionnalités au sein d'une plateforme spécialement conçue pour répondre aux exigences en matière d'échelle, de complexité et de conformité des environnements de stockage cloud d'entreprise.
Que votre priorité soit de détecter une menace en temps réel, de respecter un délai d'audit de 60 jours ou de prouver que chaque fichier d'un compartiment réglementé a été analysé par un utilisateur spécifique, la plateforme vous permet de le faire.
