根據Tenable公司對其雲安全客戶的遙測資料報告發現,74%的客戶存在公開暴露的存儲或其他配置錯誤,給網絡犯罪分子提供了可乘之機。
根據本周釋出的雲安全供應商Tenable的客戶遙測研究顯示,今年上半年有38%的企業至少有一個雲工作負載處于關鍵漏洞狀态,擁有高度權限并公開暴露。
報告指出,這種“有毒雲三角”建構了一個高風險的攻擊路徑,使這些工作負載成為不法分子的首選目标。
報告進一步指出,“超過三分之一的企業可能會是以成為未來新聞頭條的主角。”
即使工作負載中隻存在一兩個風險因素,對企業的安全也會帶來巨大影響,研究報告指出。
Info-Tech Research Group的進階研究總監Jeremy Roberts(該研究并未與其相關)表示,終端使用者企業在此過程中也有責任。
他說:“雲和其他工具一樣,如何使用才是關鍵。許多雲安全漏洞并非由供應商引起,而是由于管理不善造成的,就像2019年Capital One的安全事件。權限應定期稽核,零信任原則應得到應用,并使用集中管理(如控制塔)來标準化安全基線。”
漏洞問題
總體而言,研究報告指出,74%的企業存在公開暴露的存儲,其中一些包含敏感資料,導緻這種暴露的原因通常是不必要或過度的權限。随着企業加速使用雲原生應用程式,他們存儲的敏感資料量(包括客戶和員工資訊以及商業知識産權)也在增加,黑客正是以這些存儲在雲中的資料為目标。是以,報告期内許多針對雲存儲的勒索軟體攻擊都集中在那些擁有過多通路權限的公共雲資源上,這些攻擊本可以避免。
暴露存儲的遙測資料顯示,39%的企業擁有公開的存儲桶,29%的企業擁有權限過高的公開或私有存儲桶,6%的企業擁有權限過高的公開存儲桶。
然而,存儲問題并非唯一的問題,令人擔憂的是,84%的企業擁有未使用或長期存在的通路密鑰,且這些密鑰具有關鍵或高度嚴重的過度權限。研究指出,這些問題在許多基于身份的攻擊和資料洩露中起到了重要作用。研究列舉了MGM Resorts資料洩露、微軟電子郵件黑客事件以及FBot惡意軟體等案例,這些惡意軟體通過AWS的IAM(身份和通路管理)使用者在AWS中保持持久性并傳播。
研究報告稱:“IAM風險的核心在于通路密鑰及其配置設定的權限,兩者結合,就相當于拿到了存儲在雲中的資料的‘鑰匙’。”
此外,23%的主要雲服務供應商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的雲身份(包括人類和非人類)具有關鍵或高度嚴重的過度權限,這無疑是一個災難的配方。
根據Info-Tech Research Group的首席顧問Scott Young的說法,這種情況部分歸因于人性。
Young表示:“授予人類賬戶高比例的關鍵權限反映了人類傾向于選擇阻力最小的路徑,然而,設定這些阻力是有原因的。”他說,“在使用系統時尋求更少的摩擦,會在賬戶被攻破時帶來巨大潛在後果。”
研究還發現,高達78%的企業擁有公開可通路的Kubernetes API伺服器,其中41%允許入站網際網路通路,研究将此描述為“令人擔憂的”,此外,58%的企業允許某些使用者對Kubernetes環境進行不受限制的控制,44%的企業在特權模式下運作容器,這兩種權限配置大大增加了安全風險。
在這些配置錯誤讓系統本身變得脆弱的基礎上,超過80%的工作負載仍存在未修複的關鍵CVE(如CVE-2024-21626),這是一個嚴重的容器逃逸漏洞,盡管修補程式已經可用。
緩解措施
Tenable提出了一系列緩解政策,幫助企業降低風險。
建立以上下文為驅動的安全文化:将身份、漏洞、配置錯誤和資料風險資訊整合到一個統一的工具中,以獲得準确的可視化、上下文和優先級排序。“并非所有風險都相同——識别有毒組合可以顯著降低風險。”
嚴格管理Kubernetes/容器通路:遵守Pod安全标準,包括限制特權容器并強制執行通路控制。限制入站通路,限制對Kubernetes API伺服器的入站通路,并確定Kubelet配置禁用匿名認證,此外,審查叢集管理者角色綁定,确認是否真的有必要,如果沒有必要,将使用者綁定到權限較低的角色。
憑證和權限管理:定期輪換憑證,避免使用長期存在的通路密鑰,并實施即時通路機制。定期稽核和調整人類及非人類身份的權限,以遵循最小權限原則。
優先處理漏洞:将修補等修複工作重點放在高風險漏洞上,尤其是那些VPR分數較高的漏洞。
減少暴露:審查任何公開暴露的資産,以确定暴露是否必要,并確定不會危及機密資訊或關鍵基礎設施,及時進行修補。
關于治理、風險和合規(GRC)的讨論
Young指出,防止問題的關鍵并不是新概念。
他說:“從高層次來看,黑客攻擊的結構并沒有改變,攻擊者需要找到你,通過一個入口點進入系統,并橫向移動以尋找有價值的東西。”他補充道:“Tenable的報告顯示,整體來看,我們在確定入口點安全以及保護和控制賬戶以限制橫向移動方面進展緩慢,而雲環境讓我們更容易被發現。如果不顯著提升安全實踐的成熟度,完善流程,并進行徹底的審計,同時将自動化和編排結合起來以提高速度和一緻性,這些問題的數量不會顯著減少。簡而言之,這份報告強有力地支援了一個運作良好的治理、風險和合規(GRC)實踐。”