公有云中最關(guān)鍵的安全漏洞

美國網(wǎng)絡(luò)安全服務(wù)商Orca Security公司日前發(fā)布的《2022年公有云安全狀況報告》報告的一個主要發(fā)現(xiàn)是，平均攻擊路徑距離企業(yè)的關(guān)鍵數(shù)據(jù)資產(chǎn)只有三步之遙，這意味著網(wǎng)絡(luò)攻擊者只需在云計算環(huán)境中找到三個相關(guān)且可利用的弱點，即可竊取數(shù)據(jù)或進行勒索。

該報告由Orca Research Pod編制，包括分析從2022年1月1日至7月1日由Orca云安全平臺掃描的AWS、Azure和谷歌云平臺上的數(shù)十億個云計算資產(chǎn)中捕獲的工作負載和配置數(shù)據(jù)。報告確定仍然存在一些關(guān)鍵安全漏洞，并就企業(yè)可以采取哪些步驟來減少網(wǎng)絡(luò)攻擊面和改善云安全狀況提供了建議。

Orca Security公司首席執(zhí)行官Avi Shua表示：“公有云的安全性不僅取決于提供安全云基礎(chǔ)設(shè)施的云平臺，而且在很大程度上取決于企業(yè)在云中的工作負載、配置和身份狀態(tài)。我們最新的公有云安全狀況報告表明，在這個領(lǐng)域還有很多工作要做，從未修補的漏洞和過度寬松的身份到開放的存儲資產(chǎn)。然而，重要的是要記住，企業(yè)永遠無法消除其環(huán)境中的所有風(fēng)險。他們根本沒有人手來做這件事。這時，企業(yè)應(yīng)該戰(zhàn)略性地開展工作，并確保始終首先消除危及企業(yè)最關(guān)鍵資產(chǎn)的風(fēng)險。”

公有云安全現(xiàn)狀

·企業(yè)關(guān)鍵的數(shù)據(jù)資產(chǎn)觸手可及：平均攻擊路徑只需要三個步驟即可以獲得企業(yè)的數(shù)據(jù)資產(chǎn)，這意味著網(wǎng)絡(luò)攻擊者只需在云計算環(huán)境中找到三個相關(guān)且可利用的弱點，即可竊取數(shù)據(jù)或勒索贖金。

·漏洞是首要的初始攻擊向量：78%的已存在的識別攻擊路徑使用已知漏洞(CVE)作為初始訪問攻擊向量，這凸顯了企業(yè)需要更優(yōu)先地進行漏洞修補。

·存儲資產(chǎn)通常處于不安全狀態(tài)：在大多數(shù)云平臺環(huán)境中都可以找到公開訪問的S3 Bucket和Azure blob存儲資產(chǎn)，這是一種高度可利用的錯誤配置，也是許多數(shù)據(jù)泄露的原因。

·未遵循基本安全實踐：例如多因素身份驗證、加密、強密碼和端口安全性等許多基本安全措施仍未得到一致應(yīng)用。

·云原生服務(wù)被忽視：盡管云原生服務(wù)很容易啟動，但它們?nèi)匀恍枰S護和正確配置：58%的企業(yè)擁有運行時不受支持的無服務(wù)器功能，70%的企業(yè)擁有的Kubernetes API服務(wù)器可公開訪問。