信息來源:安全內(nèi)參
Orca最新公共云安全報(bào)告指出,大多數(shù)企業(yè)雖將云安全列為自身IT首要工作重點(diǎn),卻一直忽視了云端數(shù)據(jù)的基本安全措施。報(bào)告揭示,36%的企業(yè)在其云端資產(chǎn)中混有未加密的敏感數(shù)據(jù),如公司秘密和個(gè)人身份信息等。
全球新冠肺炎疫情加快了邁向云計(jì)算的轉(zhuǎn)變,因?yàn)橥蝗淮笠?guī)模轉(zhuǎn)為遠(yuǎn)程辦公迫使公司保證員工能從任何地點(diǎn)訪問業(yè)務(wù)系統(tǒng)。
Gartner預(yù)測(cè),今年花在全球公共云計(jì)算服務(wù)上的支出會(huì)增長(zhǎng)20.4%,達(dá)到4947億美元,并預(yù)計(jì)2023年將達(dá)到近6000億美元。
在匆忙將IT資源挪到云端的過程中,企業(yè)難以跟上不斷擴(kuò)大的云攻擊面和日漸增加的多云復(fù)雜性。Orca報(bào)告指出,目前網(wǎng)絡(luò)安全熟手短缺的狀況又進(jìn)一步惡化了企業(yè)的這種窘境。
在Orca Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua看來,云端風(fēng)險(xiǎn)并不比本地環(huán)境中的風(fēng)險(xiǎn)大,只不過,這兩種風(fēng)險(xiǎn)不一樣。
“在本地環(huán)境中,企業(yè)可以更好地控制其基礎(chǔ)設(shè)施?!?span>Shua稱,“然而,這未必是好事。相比很多企業(yè),云服務(wù)提供商用來確?;A(chǔ)設(shè)施安全的專用資源通常要豐富得多。共享責(zé)任模式下,企業(yè)仍然對(duì)其在云端運(yùn)行的應(yīng)用程序和服務(wù)負(fù)責(zé),所面臨的風(fēng)險(xiǎn)與本地環(huán)境類似。云安全不同于本地環(huán)境安全的地方在于文化轉(zhuǎn)變:云端任何事務(wù)都比本地快得多,而且存在更多托管服務(wù),帶來了異于本地環(huán)境的安全威脅。
越來越難以修復(fù)所有漏洞
企業(yè)難以跟上每天曝出的諸多漏洞。很多企業(yè)在修復(fù)新發(fā)現(xiàn)漏洞方面都力不從心,而且有些企業(yè)連很早之前發(fā)現(xiàn)的漏洞都還沒修復(fù)。
報(bào)告揭示,許多企業(yè)甚至存在十幾年前就披露了的漏洞;并指出,嚴(yán)重漏洞構(gòu)成了78%的初始攻擊途徑,應(yīng)盡快修復(fù)。
“一些企業(yè)仍然存在此類老漏洞,是因?yàn)槌A粲胁恢С指虏僮飨到y(tǒng)的過時(shí)應(yīng)用程序,無法輕松修復(fù)?!?span>Shua表示。
Shua建議,如果是這種情況,企業(yè)應(yīng)嘗試將這些系統(tǒng)與其他資產(chǎn)隔離開來,防止接觸環(huán)境中其他部分。
“另一個(gè)原因是有時(shí)候團(tuán)隊(duì)職責(zé)不明確,問題分配不當(dāng),導(dǎo)致漏洞長(zhǎng)時(shí)間未得到修復(fù)?!?span>Shua補(bǔ)充道。她表示,修復(fù)所有漏洞幾乎是不可能的,企業(yè)應(yīng)當(dāng)認(rèn)清這一點(diǎn);團(tuán)隊(duì)必須了解哪些漏洞可對(duì)公司最敏感、最有價(jià)值的信息構(gòu)成最大風(fēng)險(xiǎn),從而進(jìn)行戰(zhàn)略性修復(fù)。
Log4Shell漏洞問題依然存在
2021年12月,Apache Log4j曝出嚴(yán)重零日漏洞。這個(gè)名為“Log4Shell”的漏洞非常便于利用,可致未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行,并且剛披露之時(shí)尚未推出可用的補(bǔ)丁。開源開發(fā)人員匆忙發(fā)布的幾個(gè)補(bǔ)丁反而又引入了新的漏洞,一直到第四個(gè)補(bǔ)丁發(fā)布,問題才終于得到解決。
然而,報(bào)告稱,企業(yè)仍然受到此漏洞的影響。近5%的工作負(fù)載資產(chǎn)仍然存在至少一個(gè)Log4j漏洞,其中10.5%是面向互聯(lián)網(wǎng)的。2021年12月至2022年1月間發(fā)現(xiàn)的Log4j漏洞中,有30%仍未解決,其中6.2%可能會(huì)暴露個(gè)人身份信息。
容器和容器鏡像中也存在相當(dāng)多的Log4j漏洞。報(bào)告指出,鏡像的問題尤其嚴(yán)重,因?yàn)槊看问褂苗R像時(shí)都會(huì)重現(xiàn)這些漏洞。
被忽視的資產(chǎn)成了攻擊者的入口
攻擊者常利用被忽視的資產(chǎn)進(jìn)入企業(yè)環(huán)境。其中一種被忽視的資產(chǎn)是使用CentOS 6、32位Linux、Windows
Server 2012等不受支持的操作系統(tǒng),或超過180天仍未修復(fù)的云資產(chǎn)。
報(bào)告稱:“一些企業(yè)仍然存在遭忽視的資產(chǎn),是因?yàn)樗麄內(nèi)粤粲胁恢С指虏僮飨到y(tǒng)的老舊應(yīng)用程序?!?span>
Orca指出,平均而言,企業(yè)資產(chǎn)中11%處于安全遭忽視的狀態(tài),且10%的企業(yè)有超過30%的工作負(fù)載處于安全遭忽視的狀態(tài);19%的已知攻擊路徑將被忽視的資產(chǎn)作為初始訪問攻擊途徑;而所有遭忽視的資產(chǎn)中,絕大多數(shù)是容器,近半數(shù)運(yùn)行的是不受支持的Alpine操作系統(tǒng)版本。
漏洞源于密鑰錯(cuò)誤配置
Gartner預(yù)測(cè),到2025年,超過99%的云數(shù)據(jù)泄露源自可預(yù)防的最終用戶錯(cuò)誤配置或錯(cuò)誤操作。
管理員可以使用AWS Key Management Service(KMS:密鑰管理服務(wù))創(chuàng)建、刪除和管理用于加密AWS數(shù)據(jù)庫和各種產(chǎn)品中所存數(shù)據(jù)的密鑰。8%的企業(yè)采用公共訪問策略配置KMS密鑰。報(bào)告指出:“這么做尤其危險(xiǎn),因?yàn)榻o惡意方鋪設(shè)了相當(dāng)便捷的攻擊途徑。”
此外,99%的企業(yè)使用至少一個(gè)默認(rèn)KMS密鑰。
79%的企業(yè)持有至少一個(gè)使用時(shí)長(zhǎng)超過90天的密鑰。報(bào)告稱,最佳做法是設(shè)置密鑰只要使用時(shí)長(zhǎng)超過90天就必須輪換,從而限制被盜IAM(身份與訪問管理)訪問密鑰提供AWS賬戶訪問權(quán)限的時(shí)長(zhǎng)。
大約51%的企業(yè)沒有為其Google
Storage存儲(chǔ)桶配置統(tǒng)一的存儲(chǔ)桶級(jí)訪問權(quán)限。報(bào)告指出,“如果沒有統(tǒng)一設(shè)置權(quán)限級(jí)別,攻擊者就可以橫向移動(dòng)并獲得更高的權(quán)限級(jí)別,通過創(chuàng)建或更新其有權(quán)訪問的角色的內(nèi)聯(lián)策略,還可以提升其特權(quán)。”
公司需保護(hù)其最有價(jià)值的數(shù)據(jù)資產(chǎn)
公司最有價(jià)值的資產(chǎn)包括個(gè)人身份信息、客戶及潛在客戶數(shù)據(jù)庫、員工和人力資源信息、企業(yè)財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán),以及生產(chǎn)服務(wù)器。公司需采用最高安全標(biāo)準(zhǔn)保護(hù)此類資產(chǎn),并在決定哪些風(fēng)險(xiǎn)需首先緩解時(shí)將之排在最高優(yōu)先級(jí)。
大約36%的企業(yè)在文件、存儲(chǔ)桶、容器和無服務(wù)器環(huán)境中存放有秘密和個(gè)人身份信息等敏感數(shù)據(jù)。
報(bào)告稱:“加密可大大降低敏感數(shù)據(jù)遭無意暴露的可能性,而且只要不被破解,就能消除數(shù)據(jù)泄露的影響。”
此外,
35%的企業(yè)有至少一項(xiàng)面向互聯(lián)網(wǎng)的工作負(fù)載在
Git存儲(chǔ)庫中存有敏感信息。
Orca報(bào)告中寫道:
“網(wǎng)絡(luò)罪犯可以輕易提取這些信息,并使用這些信息來入侵你的系統(tǒng)?!?/div>