根據(jù)Tenable公司對其云安全客戶的遙測數(shù)據(jù)報告發(fā)現(xiàn)，74%的客戶存在公開暴露的存儲或其他配置錯誤，給網(wǎng)絡(luò)犯罪分子提供了可乘之機(jī)。

　　根據(jù)本周發(fā)布的云安全供應(yīng)商Tenable的客戶遙測研究顯示，今年上半年有38%的企業(yè)至少有一個云工作負(fù)載處于關(guān)鍵漏洞狀態(tài)，擁有高度權(quán)限并公開暴露。

　　報告指出，這種“有毒云三角”構(gòu)建了一個高風(fēng)險的攻擊路徑，使這些工作負(fù)載成為不法分子的首選目標(biāo)。

　　報告進(jìn)一步指出，“超過三分之一的企業(yè)可能會因此成為未來新聞頭條的主角。”

　　即使工作負(fù)載中只存在一兩個風(fēng)險因素，對企業(yè)的安全也會帶來巨大影響，研究報告指出。

　　Info-Tech Research Group的高級研究總監(jiān)Jeremy Roberts(該研究并未與其相關(guān))表示，終端用戶企業(yè)在此過程中也有責(zé)任。

　　他說：“云和其他工具一樣，如何使用才是關(guān)鍵。許多云安全漏洞并非由供應(yīng)商引起，而是由于管理不善造成的，就像2019年Capital One的安全事件。權(quán)限應(yīng)定期審核，零信任原則應(yīng)得到應(yīng)用，并使用集中管理(如控制塔)來標(biāo)準(zhǔn)化安全基線。”

　　漏洞問題

　　總體而言，研究報告指出，74%的企業(yè)存在公開暴露的存儲，其中一些包含敏感數(shù)據(jù)，導(dǎo)致這種暴露的原因通常是不必要或過度的權(quán)限。隨著企業(yè)加速使用云原生應(yīng)用程序，他們存儲的敏感數(shù)據(jù)量(包括客戶和員工信息以及商業(yè)知識產(chǎn)權(quán))也在增加，黑客正是以這些存儲在云中的數(shù)據(jù)為目標(biāo)。因此，報告期內(nèi)許多針對云存儲的勒索軟件攻擊都集中在那些擁有過多訪問權(quán)限的公共云資源上，這些攻擊本可以避免。

　　暴露存儲的遙測數(shù)據(jù)顯示，39%的企業(yè)擁有公開的存儲桶，29%的企業(yè)擁有權(quán)限過高的公開或私有存儲桶，6%的企業(yè)擁有權(quán)限過高的公開存儲桶。

　　然而，存儲問題并非唯一的問題，令人擔(dān)憂的是，84%的企業(yè)擁有未使用或長期存在的訪問密鑰，且這些密鑰具有關(guān)鍵或高度嚴(yán)重的過度權(quán)限。研究指出，這些問題在許多基于身份的攻擊和數(shù)據(jù)泄露中起到了重要作用。研究列舉了MGM Resorts數(shù)據(jù)泄露、微軟電子郵件黑客事件以及FBot惡意軟件等案例，這些惡意軟件通過AWS的IAM(身份和訪問管理)用戶在AWS中保持持久性并傳播。

　　研究報告稱：“IAM風(fēng)險的核心在于訪問密鑰及其分配的權(quán)限，兩者結(jié)合，就相當(dāng)于拿到了存儲在云中的數(shù)據(jù)的‘鑰匙’。”

　　此外，23%的主要云服務(wù)供應(yīng)商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人類和非人類)具有關(guān)鍵或高度嚴(yán)重的過度權(quán)限，這無疑是一個災(zāi)難的配方。

　　根據(jù)Info-Tech Research Group的首席顧問Scott Young的說法，這種情況部分歸因于人性。

　　Young表示：“授予人類賬戶高比例的關(guān)鍵權(quán)限反映了人類傾向于選擇阻力最小的路徑，然而，設(shè)置這些阻力是有原因的。”他說，“在使用系統(tǒng)時尋求更少的摩擦，會在賬戶被攻破時帶來巨大潛在后果。”

　　研究還發(fā)現(xiàn)，高達(dá)78%的企業(yè)擁有公開可訪問的Kubernetes API服務(wù)器，其中41%允許入站互聯(lián)網(wǎng)訪問，研究將此描述為“令人擔(dān)憂的”，此外，58%的企業(yè)允許某些用戶對Kubernetes環(huán)境進(jìn)行不受限制的控制，44%的企業(yè)在特權(quán)模式下運(yùn)行容器，這兩種權(quán)限配置大大增加了安全風(fēng)險。

　　在這些配置錯誤讓系統(tǒng)本身變得脆弱的基礎(chǔ)上，超過80%的工作負(fù)載仍存在未修復(fù)的關(guān)鍵CVE(如CVE-2024-21626)，這是一個嚴(yán)重的容器逃逸漏洞，盡管修補(bǔ)程序已經(jīng)可用。

　　緩解措施

　　Tenable提出了一系列緩解策略，幫助企業(yè)降低風(fēng)險。

　　建立以上下文為驅(qū)動的安全文化：將身份、漏洞、配置錯誤和數(shù)據(jù)風(fēng)險信息整合到一個統(tǒng)一的工具中，以獲得準(zhǔn)確的可視化、上下文和優(yōu)先級排序。“并非所有風(fēng)險都相同——識別有毒組合可以顯著降低風(fēng)險。”

　　嚴(yán)格管理Kubernetes/容器訪問：遵守Pod安全標(biāo)準(zhǔn)，包括限制特權(quán)容器并強(qiáng)制執(zhí)行訪問控制。限制入站訪問，限制對Kubernetes API服務(wù)器的入站訪問，并確保Kubelet配置禁用匿名認(rèn)證，此外，審查集群管理員角色綁定，確認(rèn)是否真的有必要，如果沒有必要，將用戶綁定到權(quán)限較低的角色。

　　憑證和權(quán)限管理：定期輪換憑證，避免使用長期存在的訪問密鑰，并實施即時訪問機(jī)制。定期審核和調(diào)整人類及非人類身份的權(quán)限，以遵循最小權(quán)限原則。

　　優(yōu)先處理漏洞：將修補(bǔ)等修復(fù)工作重點(diǎn)放在高風(fēng)險漏洞上，尤其是那些VPR分?jǐn)?shù)較高的漏洞。

　　減少暴露：審查任何公開暴露的資產(chǎn)，以確定暴露是否必要，并確保不會危及機(jī)密信息或關(guān)鍵基礎(chǔ)設(shè)施，及時進(jìn)行修補(bǔ)。

　　關(guān)于治理、風(fēng)險和合規(guī)(GRC)的討論

　　Young指出，防止問題的關(guān)鍵并不是新概念。

　　他說：“從高層次來看，黑客攻擊的結(jié)構(gòu)并沒有改變，攻擊者需要找到你，通過一個入口點(diǎn)進(jìn)入系統(tǒng)，并橫向移動以尋找有價值的東西。”他補(bǔ)充道：“Tenable的報告顯示，整體來看，我們在確保入口點(diǎn)安全以及保護(hù)和控制賬戶以限制橫向移動方面進(jìn)展緩慢，而云環(huán)境讓我們更容易被發(fā)現(xiàn)。如果不顯著提升安全實踐的成熟度，完善流程，并進(jìn)行徹底的審計，同時將自動化和編排結(jié)合起來以提高速度和一致性，這些問題的數(shù)量不會顯著減少。簡而言之，這份報告強(qiáng)有力地支持了一個運(yùn)行良好的治理、風(fēng)險和合規(guī)(GRC)實踐。”