Анализ облачных сервисов показывает, что известные уязвимости, как правило, открывают злоумышленникам двери, а незащищенные облачные архитектуры позволяют им получить доступ к ценным данным.
Компании и их облачные провайдеры часто оставляют открытыми уязвимости в своих системах и сервисах, предоставляя злоумышленникам легкий путь для получения доступа к важным данным.
Согласно анализу данных, собранных компанией Orca Security в крупнейших облачных сервисах и опубликованных 13 сентября, злоумышленникам требуется в среднем всего три шага для получения доступа к конфиденциальным данным, так называемым «сокровищам короны», причем чаще всего - в 78% случаев - они начинают с эксплуатации известной уязвимости.
В то время как большая часть обсуждения вопросов безопасности сосредоточена на неправильной конфигурации облачных ресурсов компаниями, поставщики облачных сервисов часто не спешат устранять уязвимости, сообщает Ави Шуа, генеральный директор и соучредитель компании Orca Security.
«Главное - устранить первопричины, то есть начальный вектор, и увеличить количество операций, которые должен сделать злоумышленник для успешного взлома» - заявляет он. 2Надлежащий контроль безопасности может гарантировать, что даже если существует начальный вектор атаки, вы все равно не сможете добраться до конфиденциальных данных».
В отчете проанализированы данные исследовательской группы по безопасности Orca, использующей данные «миллиардов облачных активов на AWS, Azure и Google Cloud», которые клиенты компании регулярно сканируют. Данные включали данные о рабочих нагрузках и конфигурациях облачных сред, данные об окружении, а также информацию об активах, собранную в первой половине 2022 года.
Неисправленные уязвимости вызывают наибольший риск для облачных вычислений
Анализ выявил несколько основных проблем с облачными нативными архитектурами. В среднем 11% облачных активов облачных провайдеров и их клиентов считались «запущенными», то есть не обновлялись в течение последних 180 дней. На долю контейнеров и виртуальных машин, которые являются наиболее распространенными компонентами такой инфраструктуры, пришлось более 89% «запущенных» облачных активов.
«Есть возможности для улучшения с обеих сторон модели совместной ответственности» - говорит Шуа. «Критики в отношении установки патчей всегда фокусировались на стороне клиента, но за последние несколько лет было довольно много проблем со стороны провайдеров, которые не были своевременно устранены».
На самом деле, устранение уязвимостей может быть наиболее важной проблемой, поскольку средний контейнер, образ и виртуальная машина имеют не менее 50 известных уязвимостей. Около трех четвертей - 78% - атак начинаются с эксплуатации известной уязвимости, сообщается в отчете Orca. Более того, десятая часть всех компаний имеет облачные активы, использующие программное обеспечение с уязвимостью, которой не менее 10 лет.
Тем не менее, проблемы безопасности, вызванные уязвимостями, неравномерно распределены по всем активам. Более двух третей - 68% - уязвимостей Log4j были обнаружены в виртуальных машинах. Однако только 5% рабочих ресурсов все еще имеют хотя бы одну из уязвимостей Log4j, и только 10,5% из них могут быть атакованы из Интернета.
Проблемы клиента.
Еще одна серьезная проблема заключается в том, что треть компаний имеет корневую учетную запись у облачного провайдера, которая не защищена многофакторной аутентификацией. Согласно данным Orca, 58% компаний отключили MFA хотя бы для одной учетной записи привилегированного пользователя. Отсутствие дополнительной защиты делает системы и сервисы открытыми для атак методом перебора паролей.
В дополнение к 33% компаний, не имеющих MFA-защиты для корневых учетных записей, 12% компаний имеют доступную через Интернет рабочую нагрузку с хотя бы одним слабым или скомпрометированным паролем.
По словам Шуа, компаниям следует внедрить MFA по всей организации (особенно для привилегированных учетных записей), быстрее оценивать и устранять уязвимости, а также искать способы замедлить атакующих.
«Главное - устранить первопричины, то есть начальный вектор, и увеличить количество шагов, которые должен сделать злоумышленник» - заявляет он. «Надлежащие средства контроля безопасности могут гарантировать, что даже если злоумышленнику удастся добиться успеха на начальном векторе атаки, он все равно не сможет добраться до «сокровищницы».
В целом, как у поставщиков облачных сервисов, так и у их бизнес-клиентов есть проблемы с безопасностью, которые необходимо выявить и устранить, и обоим необходимо найти способы более эффективного решения этих проблем, добавляет он; прозрачность и последовательный контроль безопасности во всех аспектах облачной инфраструктуры является ключевым фактором.
«Дело не в том, что стены недостаточно высоки» - заявляет Шуа. «Дело в том, что они не покрывают весь «замок».
Источник: https://www.darkreading.com