信息來(lái)源:安全內(nèi)參
Shadowserver Foundation的研究人員發(fā)現(xiàn),超過(guò)38萬(wàn)臺(tái)開(kāi)放Kubernetes API服務(wù)器暴露在互聯(lián)網(wǎng)上,占全球可觀測(cè)在線Kubernetes API實(shí)例的84%。
研究是通過(guò)HTTP GET請(qǐng)求在IPv4基礎(chǔ)設(shè)施上進(jìn)行的。研究人員沒(méi)有進(jìn)行任何侵入性檢查來(lái)精確衡量這些服務(wù)器所呈現(xiàn)的暴露程度,但研究結(jié)果表明,Kubernetes API服務(wù)器領(lǐng)域可能存在普遍性問(wèn)題。
“雖然并不意味著這些實(shí)例完全開(kāi)放或容易受到攻擊,但這種訪問(wèn)級(jí)別很可能并非有意設(shè)置,這些實(shí)例是不必要暴露的攻擊面。”Shadowserver在報(bào)告中稱,“甚至還暴露了版本和構(gòu)建信息。”
最密集的暴露API服務(wù)器集群位于美國(guó),大約存在20.1萬(wàn)個(gè)開(kāi)放API實(shí)例,占全部所發(fā)現(xiàn)開(kāi)放服務(wù)器的53%。
圍繞API安全問(wèn)題的研究越來(lái)越多,這份報(bào)告提供了又一證據(jù),表明很多組織都沒(méi)有準(zhǔn)備好防范、響應(yīng)潛在API攻擊,甚至都不了解此類攻擊。
API安全事件所致數(shù)據(jù)泄露
根據(jù)Salt Security最近發(fā)布的《2022年API安全狀態(tài)》報(bào)告,大約34%的組織完全沒(méi)有API安全策略,另有27%的組織表示只制定了基本策略,僅包括最低限度的API 安全狀態(tài)掃描和人工審查,毫無(wú)控制或管理措施。Noname Security委托451 Research開(kāi)展的另一項(xiàng)研究發(fā)現(xiàn),41%的組織在過(guò)去12個(gè)月內(nèi)經(jīng)歷過(guò)API安全事件。其中,63%涉及數(shù)據(jù)泄露或遺失。
現(xiàn)代應(yīng)用程序和云基礎(chǔ)設(shè)施中,潛在API攻擊面的范圍十分巨大。根據(jù)451 Research的研究,大型企業(yè)平均有超過(guò)2.5萬(wàn)個(gè)API連接其基礎(chǔ)設(shè)施,或在其基礎(chǔ)設(shè)施中運(yùn)行。而且這個(gè)數(shù)字注定還會(huì)繼續(xù)增長(zhǎng)。Gartner最近發(fā)布的2022年預(yù)測(cè)文檔中,分析師表示,“由于API的爆炸性增長(zhǎng)超過(guò)了API管理工具的管控能力”,三年后能夠得到合理管控的企業(yè)API數(shù)量將不足50%。
Shadowserver發(fā)現(xiàn)的Kubernetes服務(wù)器暴露情況,反映出當(dāng)今云安全領(lǐng)域中存在一個(gè)特別嚴(yán)重的問(wèn)題。API往往是云基礎(chǔ)設(shè)施管理中最弱的一環(huán),因?yàn)樗鼈兺挥诳刂破矫婧诵奈恢?,而控制平面?fù)責(zé)處理云基礎(chǔ)設(shè)施和應(yīng)用程序的配置。
“所有云數(shù)據(jù)泄露都遵循相同的模式:控制平面損壞??刂破矫媸桥渲煤瓦\(yùn)營(yíng)云的API界面。API是云計(jì)算的主要驅(qū)動(dòng)力,可將其視為‘軟件中間人’,可供不同應(yīng)用程序相互交互?!盨nyk首席架構(gòu)師兼Fugue(最近被Snyk收購(gòu))創(chuàng)始人Josh Stella解釋道,“API控制平面是用于配置和操作云的API集合。但很遺憾,安全行業(yè)仍然落后于黑客,許多供應(yīng)商解決方案并不能保護(hù)他們的客戶免受針對(duì)云控制平面的攻擊。”
在預(yù)測(cè)報(bào)告中,Gartner分析師認(rèn)為,新興的云和應(yīng)用程序架構(gòu)是現(xiàn)代應(yīng)用程序開(kāi)發(fā)持續(xù)交付模式的核心,而不斷涌現(xiàn)的新建API是這一新興架構(gòu)不可或缺的一部分。
“這種情況類似早期的基礎(chǔ)設(shè)施即服務(wù)(IaaS)部署,因?yàn)椴皇鼙O(jiān)管的API使用一路飆升。隨著架構(gòu)和運(yùn)營(yíng)技術(shù)的不斷成熟,安全控制試圖在新問(wèn)題上應(yīng)用舊范式?!盙artner表示,“這些控制措施可以作為臨時(shí)解決方案,但安全控制和實(shí)踐需要很長(zhǎng)時(shí)間才能趕上新的架構(gòu)范式?!?
Shadowserver報(bào)告《38萬(wàn)臺(tái)開(kāi)放Kubernetes API服務(wù)器》:
https://www.shadowserver.org/news/over-380-000-open-kubernetes-api-servers/