信息來源：安全內(nèi)參

 

Orca最新公共云安全報(bào)告指出，大多數(shù)企業(yè)雖將云安全列為自身IT首要工作重點(diǎn)，卻一直忽視了云端數(shù)據(jù)的基本安全措施。報(bào)告揭示，36%的企業(yè)在其云端資產(chǎn)中混有未加密的敏感數(shù)據(jù)，如公司秘密和個(gè)人身份信息等。

全球新冠肺炎疫情加快了邁向云計(jì)算的轉(zhuǎn)變，因?yàn)橥蝗淮笠?guī)模轉(zhuǎn)為遠(yuǎn)程辦公迫使公司保證員工能從任何地點(diǎn)訪問業(yè)務(wù)系統(tǒng)。

Gartner預(yù)測(cè)，今年花在全球公共云計(jì)算服務(wù)上的支出會(huì)增長20.4%，達(dá)到4947億美元，并預(yù)計(jì)2023年將達(dá)到近6000億美元。

在匆忙將IT資源挪到云端的過程中，企業(yè)難以跟上不斷擴(kuò)大的云攻擊面和日漸增加的多云復(fù)雜性。Orca報(bào)告指出，目前網(wǎng)絡(luò)安全熟手短缺的狀況又進(jìn)一步惡化了企業(yè)的這種窘境。

在Orca Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua看來，云端風(fēng)險(xiǎn)并不比本地環(huán)境中的風(fēng)險(xiǎn)大，只不過，這兩種風(fēng)險(xiǎn)不一樣。

“在本地環(huán)境中，企業(yè)可以更好地控制其基礎(chǔ)設(shè)施?！?span>Shua稱，“然而，這未必是好事。相比很多企業(yè)，云服務(wù)提供商用來確保基礎(chǔ)設(shè)施安全的專用資源通常要豐富得多。共享責(zé)任模式下，企業(yè)仍然對(duì)其在云端運(yùn)行的應(yīng)用程序和服務(wù)負(fù)責(zé)，所面臨的風(fēng)險(xiǎn)與本地環(huán)境類似。云安全不同于本地環(huán)境安全的地方在于文化轉(zhuǎn)變：云端任何事務(wù)都比本地快得多，而且存在更多托管服務(wù)，帶來了異于本地環(huán)境的安全威脅。

 

越來越難以修復(fù)所有漏洞

企業(yè)難以跟上每天曝出的諸多漏洞。很多企業(yè)在修復(fù)新發(fā)現(xiàn)漏洞方面都力不從心，而且有些企業(yè)連很早之前發(fā)現(xiàn)的漏洞都還沒修復(fù)。

報(bào)告揭示，許多企業(yè)甚至存在十幾年前就披露了的漏洞；并指出，嚴(yán)重漏洞構(gòu)成了78%的初始攻擊途徑，應(yīng)盡快修復(fù)。

“一些企業(yè)仍然存在此類老漏洞，是因?yàn)槌Ａ粲胁恢С指虏僮飨到y(tǒng)的過時(shí)應(yīng)用程序，無法輕松修復(fù)?！?span>Shua表示。

Shua建議，如果是這種情況，企業(yè)應(yīng)嘗試將這些系統(tǒng)與其他資產(chǎn)隔離開來，防止接觸環(huán)境中其他部分。

“另一個(gè)原因是有時(shí)候團(tuán)隊(duì)職責(zé)不明確，問題分配不當(dāng)，導(dǎo)致漏洞長時(shí)間未得到修復(fù)?！?span>Shua補(bǔ)充道。她表示，修復(fù)所有漏洞幾乎是不可能的，企業(yè)應(yīng)當(dāng)認(rèn)清這一點(diǎn)；團(tuán)隊(duì)必須了解哪些漏洞可對(duì)公司最敏感、最有價(jià)值的信息構(gòu)成最大風(fēng)險(xiǎn)，從而進(jìn)行戰(zhàn)略性修復(fù)。

 

Log4Shell漏洞問題依然存在

2021年12月，Apache Log4j曝出嚴(yán)重零日漏洞。這個(gè)名為“Log4Shell”的漏洞非常便于利用，可致未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行，并且剛披露之時(shí)尚未推出可用的補(bǔ)丁。開源開發(fā)人員匆忙發(fā)布的幾個(gè)補(bǔ)丁反而又引入了新的漏洞，一直到第四個(gè)補(bǔ)丁發(fā)布，問題才終于得到解決。

然而，報(bào)告稱，企業(yè)仍然受到此漏洞的影響。近5%的工作負(fù)載資產(chǎn)仍然存在至少一個(gè)Log4j漏洞，其中10.5%是面向互聯(lián)網(wǎng)的。2021年12月至2022年1月間發(fā)現(xiàn)的Log4j漏洞中，有30%仍未解決，其中6.2%可能會(huì)暴露個(gè)人身份信息。

容器和容器鏡像中也存在相當(dāng)多的Log4j漏洞。報(bào)告指出，鏡像的問題尤其嚴(yán)重，因?yàn)槊看问褂苗R像時(shí)都會(huì)重現(xiàn)這些漏洞。

 

被忽視的資產(chǎn)成了攻擊者的入口

攻擊者常利用被忽視的資產(chǎn)進(jìn)入企業(yè)環(huán)境。其中一種被忽視的資產(chǎn)是使用CentOS 6、32位Linux、Windows Server 2012等不受支持的操作系統(tǒng)，或超過180天仍未修復(fù)的云資產(chǎn)。

報(bào)告稱：“一些企業(yè)仍然存在遭忽視的資產(chǎn)，是因?yàn)樗麄內(nèi)粤粲胁恢С指虏僮飨到y(tǒng)的老舊應(yīng)用程序?！?span>

Orca指出，平均而言，企業(yè)資產(chǎn)中11%處于安全遭忽視的狀態(tài)，且10%的企業(yè)有超過30%的工作負(fù)載處于安全遭忽視的狀態(tài)；19%的已知攻擊路徑將被忽視的資產(chǎn)作為初始訪問攻擊途徑；而所有遭忽視的資產(chǎn)中，絕大多數(shù)是容器，近半數(shù)運(yùn)行的是不受支持的Alpine操作系統(tǒng)版本。

 

漏洞源于密鑰錯(cuò)誤配置

Gartner預(yù)測(cè)，到2025年，超過99%的云數(shù)據(jù)泄露源自可預(yù)防的最終用戶錯(cuò)誤配置或錯(cuò)誤操作。

管理員可以使用AWS Key Management Service（KMS：密鑰管理服務(wù)）創(chuàng)建、刪除和管理用于加密AWS數(shù)據(jù)庫和各種產(chǎn)品中所存數(shù)據(jù)的密鑰。8%的企業(yè)采用公共訪問策略配置KMS密鑰。報(bào)告指出：“這么做尤其危險(xiǎn)，因?yàn)榻o惡意方鋪設(shè)了相當(dāng)便捷的攻擊途徑。”

此外，99%的企業(yè)使用至少一個(gè)默認(rèn)KMS密鑰。

79%的企業(yè)持有至少一個(gè)使用時(shí)長超過90天的密鑰。報(bào)告稱，最佳做法是設(shè)置密鑰只要使用時(shí)長超過90天就必須輪換，從而限制被盜IAM（身份與訪問管理）訪問密鑰提供AWS賬戶訪問權(quán)限的時(shí)長。

大約51%的企業(yè)沒有為其Google Storage存儲(chǔ)桶配置統(tǒng)一的存儲(chǔ)桶級(jí)訪問權(quán)限。報(bào)告指出，“如果沒有統(tǒng)一設(shè)置權(quán)限級(jí)別，攻擊者就可以橫向移動(dòng)并獲得更高的權(quán)限級(jí)別，通過創(chuàng)建或更新其有權(quán)訪問的角色的內(nèi)聯(lián)策略，還可以提升其特權(quán)。”

 

公司需保護(hù)其最有價(jià)值的數(shù)據(jù)資產(chǎn)

公司最有價(jià)值的資產(chǎn)包括個(gè)人身份信息、客戶及潛在客戶數(shù)據(jù)庫、員工和人力資源信息、企業(yè)財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)，以及生產(chǎn)服務(wù)器。公司需采用最高安全標(biāo)準(zhǔn)保護(hù)此類資產(chǎn)，并在決定哪些風(fēng)險(xiǎn)需首先緩解時(shí)將之排在最高優(yōu)先級(jí)。

大約36%的企業(yè)在文件、存儲(chǔ)桶、容器和無服務(wù)器環(huán)境中存放有秘密和個(gè)人身份信息等敏感數(shù)據(jù)。

報(bào)告稱：“加密可大大降低敏感數(shù)據(jù)遭無意暴露的可能性，而且只要不被破解，就能消除數(shù)據(jù)泄露的影響?！?span>

此外，35%的企業(yè)有至少一項(xiàng)面向互聯(lián)網(wǎng)的工作負(fù)載在Git存儲(chǔ)庫中存有敏感信息。Orca報(bào)告中寫道：“網(wǎng)絡(luò)罪犯可以輕易提取這些信息，并使用這些信息來入侵你的系統(tǒng)?！?/div>