信息來源:安全內(nèi)參
Orca最新公共云安全報告指出,大多數(shù)企業(yè)雖將云安全列為自身IT首要工作重點,卻一直忽視了云端數(shù)據(jù)的基本安全措施。報告揭示,36%的企業(yè)在其云端資產(chǎn)中混有未加密的敏感數(shù)據(jù),如公司秘密和個人身份信息等。
全球新冠肺炎疫情加快了邁向云計算的轉(zhuǎn)變,因為突然大規(guī)模轉(zhuǎn)為遠程辦公迫使公司保證員工能從任何地點訪問業(yè)務(wù)系統(tǒng)。
Gartner預(yù)測,今年花在全球公共云計算服務(wù)上的支出會增長20.4%,達到4947億美元,并預(yù)計2023年將達到近6000億美元。
在匆忙將IT資源挪到云端的過程中,企業(yè)難以跟上不斷擴大的云攻擊面和日漸增加的多云復(fù)雜性。Orca報告指出,目前網(wǎng)絡(luò)安全熟手短缺的狀況又進一步惡化了企業(yè)的這種窘境。
在Orca Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua看來,云端風(fēng)險并不比本地環(huán)境中的風(fēng)險大,只不過,這兩種風(fēng)險不一樣。
“在本地環(huán)境中,企業(yè)可以更好地控制其基礎(chǔ)設(shè)施?!?span>Shua稱,“然而,這未必是好事。相比很多企業(yè),云服務(wù)提供商用來確?;A(chǔ)設(shè)施安全的專用資源通常要豐富得多。共享責(zé)任模式下,企業(yè)仍然對其在云端運行的應(yīng)用程序和服務(wù)負責(zé),所面臨的風(fēng)險與本地環(huán)境類似。云安全不同于本地環(huán)境安全的地方在于文化轉(zhuǎn)變:云端任何事務(wù)都比本地快得多,而且存在更多托管服務(wù),帶來了異于本地環(huán)境的安全威脅。
越來越難以修復(fù)所有漏洞
企業(yè)難以跟上每天曝出的諸多漏洞。很多企業(yè)在修復(fù)新發(fā)現(xiàn)漏洞方面都力不從心,而且有些企業(yè)連很早之前發(fā)現(xiàn)的漏洞都還沒修復(fù)。
報告揭示,許多企業(yè)甚至存在十幾年前就披露了的漏洞;并指出,嚴重漏洞構(gòu)成了78%的初始攻擊途徑,應(yīng)盡快修復(fù)。
“一些企業(yè)仍然存在此類老漏洞,是因為常留有不支持更新操作系統(tǒng)的過時應(yīng)用程序,無法輕松修復(fù)?!?span>Shua表示。
Shua建議,如果是這種情況,企業(yè)應(yīng)嘗試將這些系統(tǒng)與其他資產(chǎn)隔離開來,防止接觸環(huán)境中其他部分。
“另一個原因是有時候團隊職責(zé)不明確,問題分配不當(dāng),導(dǎo)致漏洞長時間未得到修復(fù)?!?span>Shua補充道。她表示,修復(fù)所有漏洞幾乎是不可能的,企業(yè)應(yīng)當(dāng)認清這一點;團隊必須了解哪些漏洞可對公司最敏感、最有價值的信息構(gòu)成最大風(fēng)險,從而進行戰(zhàn)略性修復(fù)。
Log4Shell漏洞問題依然存在
2021年12月,Apache Log4j曝出嚴重零日漏洞。這個名為“Log4Shell”的漏洞非常便于利用,可致未經(jīng)身份驗證的遠程代碼執(zhí)行,并且剛披露之時尚未推出可用的補丁。開源開發(fā)人員匆忙發(fā)布的幾個補丁反而又引入了新的漏洞,一直到第四個補丁發(fā)布,問題才終于得到解決。
然而,報告稱,企業(yè)仍然受到此漏洞的影響。近5%的工作負載資產(chǎn)仍然存在至少一個Log4j漏洞,其中10.5%是面向互聯(lián)網(wǎng)的。2021年12月至2022年1月間發(fā)現(xiàn)的Log4j漏洞中,有30%仍未解決,其中6.2%可能會暴露個人身份信息。
容器和容器鏡像中也存在相當(dāng)多的Log4j漏洞。報告指出,鏡像的問題尤其嚴重,因為每次使用鏡像時都會重現(xiàn)這些漏洞。
被忽視的資產(chǎn)成了攻擊者的入口
攻擊者常利用被忽視的資產(chǎn)進入企業(yè)環(huán)境。其中一種被忽視的資產(chǎn)是使用CentOS 6、32位Linux、Windows
Server 2012等不受支持的操作系統(tǒng),或超過180天仍未修復(fù)的云資產(chǎn)。
報告稱:“一些企業(yè)仍然存在遭忽視的資產(chǎn),是因為他們?nèi)粤粲胁恢С指虏僮飨到y(tǒng)的老舊應(yīng)用程序?!?span>
Orca指出,平均而言,企業(yè)資產(chǎn)中11%處于安全遭忽視的狀態(tài),且10%的企業(yè)有超過30%的工作負載處于安全遭忽視的狀態(tài);19%的已知攻擊路徑將被忽視的資產(chǎn)作為初始訪問攻擊途徑;而所有遭忽視的資產(chǎn)中,絕大多數(shù)是容器,近半數(shù)運行的是不受支持的Alpine操作系統(tǒng)版本。
漏洞源于密鑰錯誤配置
Gartner預(yù)測,到2025年,超過99%的云數(shù)據(jù)泄露源自可預(yù)防的最終用戶錯誤配置或錯誤操作。
管理員可以使用AWS Key Management Service(KMS:密鑰管理服務(wù))創(chuàng)建、刪除和管理用于加密AWS數(shù)據(jù)庫和各種產(chǎn)品中所存數(shù)據(jù)的密鑰。8%的企業(yè)采用公共訪問策略配置KMS密鑰。報告指出:“這么做尤其危險,因為給惡意方鋪設(shè)了相當(dāng)便捷的攻擊途徑。”
此外,99%的企業(yè)使用至少一個默認KMS密鑰。
79%的企業(yè)持有至少一個使用時長超過90天的密鑰。報告稱,最佳做法是設(shè)置密鑰只要使用時長超過90天就必須輪換,從而限制被盜IAM(身份與訪問管理)訪問密鑰提供AWS賬戶訪問權(quán)限的時長。
大約51%的企業(yè)沒有為其Google
Storage存儲桶配置統(tǒng)一的存儲桶級訪問權(quán)限。報告指出,“如果沒有統(tǒng)一設(shè)置權(quán)限級別,攻擊者就可以橫向移動并獲得更高的權(quán)限級別,通過創(chuàng)建或更新其有權(quán)訪問的角色的內(nèi)聯(lián)策略,還可以提升其特權(quán)。”
公司需保護其最有價值的數(shù)據(jù)資產(chǎn)
公司最有價值的資產(chǎn)包括個人身份信息、客戶及潛在客戶數(shù)據(jù)庫、員工和人力資源信息、企業(yè)財務(wù)信息、知識產(chǎn)權(quán),以及生產(chǎn)服務(wù)器。公司需采用最高安全標準保護此類資產(chǎn),并在決定哪些風(fēng)險需首先緩解時將之排在最高優(yōu)先級。
大約36%的企業(yè)在文件、存儲桶、容器和無服務(wù)器環(huán)境中存放有秘密和個人身份信息等敏感數(shù)據(jù)。
報告稱:“加密可大大降低敏感數(shù)據(jù)遭無意暴露的可能性,而且只要不被破解,就能消除數(shù)據(jù)泄露的影響?!?span>
此外,
35%的企業(yè)有至少一項面向互聯(lián)網(wǎng)的工作負載在
Git存儲庫中存有敏感信息。
Orca報告中寫道:
“網(wǎng)絡(luò)罪犯可以輕易提取這些信息,并使用這些信息來入侵你的系統(tǒng)?!?/div>