信息来源:安全内参
Orca最新公共云安全报告指出,大多数企业虽将云安全列为自身IT首要工作重点,却一直忽视了云端数据的基本安全措施。报告揭示,36%的企业在其云端资产中混有未加密的敏感数据,如公司秘密和个人身份信息等。
全球新冠肺炎疫情加快了迈向云计算的转变,因为突然大规模转为远程办公迫使公司保证员工能从任何地点访问业务系统。
Gartner预测,今年花在全球公共云计算服务上的支出会增长20.4%,达到4947亿美元,并预计2023年将达到近6000亿美元。
在匆忙将IT资源挪到云端的过程中,企业难以跟上不断扩大的云攻击面和日渐增加的多云复杂性。Orca报告指出,目前网络安全熟手短缺的状况又进一步恶化了企业的这种窘境。
在Orca Security的联合创始人兼首席执行官Avi Shua看来,云端风险并不比本地环境中的风险大,只不过,这两种风险不一样。
“在本地环境中,企业可以更好地控制其基础设施。”Shua称,“然而,这未必是好事。相比很多企业,云服务提供商用来确保基础设施安全的专用资源通常要丰富得多。共享责任模式下,企业仍然对其在云端运行的应用程序和服务负责,所面临的风险与本地环境类似。云安全不同于本地环境安全的地方在于文化转变:云端任何事务都比本地快得多,而且存在更多托管服务,带来了异于本地环境的安全威胁。
越来越难以修复所有漏洞
企业难以跟上每天曝出的诸多漏洞。很多企业在修复新发现漏洞方面都力不从心,而且有些企业连很早之前发现的漏洞都还没修复。
报告揭示,许多企业甚至存在十几年前就披露了的漏洞;并指出,严重漏洞构成了78%的初始攻击途径,应尽快修复。
“一些企业仍然存在此类老漏洞,是因为常留有不支持更新操作系统的过时应用程序,无法轻松修复。”Shua表示。
Shua建议,如果是这种情况,企业应尝试将这些系统与其他资产隔离开来,防止接触环境中其他部分。
“另一个原因是有时候团队职责不明确,问题分配不当,导致漏洞长时间未得到修复。”Shua补充道。她表示,修复所有漏洞几乎是不可能的,企业应当认清这一点;团队必须了解哪些漏洞可对公司最敏感、最有价值的信息构成最大风险,从而进行战略性修复。
Log4Shell漏洞问题依然存在
2021年12月,Apache Log4j曝出严重零日漏洞。这个名为“Log4Shell”的漏洞非常便于利用,可致未经身份验证的远程代码执行,并且刚披露之时尚未推出可用的补丁。开源开发人员匆忙发布的几个补丁反而又引入了新的漏洞,一直到第四个补丁发布,问题才终于得到解决。
然而,报告称,企业仍然受到此漏洞的影响。近5%的工作负载资产仍然存在至少一个Log4j漏洞,其中10.5%是面向互联网的。2021年12月至2022年1月间发现的Log4j漏洞中,有30%仍未解决,其中6.2%可能会暴露个人身份信息。
容器和容器镜像中也存在相当多的Log4j漏洞。报告指出,镜像的问题尤其严重,因为每次使用镜像时都会重现这些漏洞。
被忽视的资产成了攻击者的入口
攻击者常利用被忽视的资产进入企业环境。其中一种被忽视的资产是使用CentOS 6、32位Linux、Windows
Server 2012等不受支持的操作系统,或超过180天仍未修复的云资产。
报告称:“一些企业仍然存在遭忽视的资产,是因为他们仍留有不支持更新操作系统的老旧应用程序。”
Orca指出,平均而言,企业资产中11%处于安全遭忽视的状态,且10%的企业有超过30%的工作负载处于安全遭忽视的状态;19%的已知攻击路径将被忽视的资产作为初始访问攻击途径;而所有遭忽视的资产中,绝大多数是容器,近半数运行的是不受支持的Alpine操作系统版本。
漏洞源于密钥错误配置
Gartner预测,到2025年,超过99%的云数据泄露源自可预防的最终用户错误配置或错误操作。
管理员可以使用AWS Key Management Service(KMS:密钥管理服务)创建、删除和管理用于加密AWS数据库和各种产品中所存数据的密钥。8%的企业采用公共访问策略配置KMS密钥。报告指出:“这么做尤其危险,因为给恶意方铺设了相当便捷的攻击途径。”
此外,99%的企业使用至少一个默认KMS密钥。
79%的企业持有至少一个使用时长超过90天的密钥。报告称,最佳做法是设置密钥只要使用时长超过90天就必须轮换,从而限制被盗IAM(身份与访问管理)访问密钥提供AWS账户访问权限的时长。
大约51%的企业没有为其Google
Storage存储桶配置统一的存储桶级访问权限。报告指出,“如果没有统一设置权限级别,攻击者就可以横向移动并获得更高的权限级别,通过创建或更新其有权访问的角色的内联策略,还可以提升其特权。”
公司需保护其最有价值的数据资产
公司最有价值的资产包括个人身份信息、客户及潜在客户数据库、员工和人力资源信息、企业财务信息、知识产权,以及生产服务器。公司需采用最高安全标准保护此类资产,并在决定哪些风险需首先缓解时将之排在最高优先级。
大约36%的企业在文件、存储桶、容器和无服务器环境中存放有秘密和个人身份信息等敏感数据。
报告称:“加密可大大降低敏感数据遭无意暴露的可能性,而且只要不被破解,就能消除数据泄露的影响。”
此外,
35%的企业有至少一项面向互联网的工作负载在
Git存储库中存有敏感信息。
Orca报告中写道:
“网络罪犯可以轻易提取这些信息,并使用这些信息来入侵你的系统。”