74%的企业云端存在地下暴露的存储或性能失误

依据Tenable公司对其云安保客户的遥测数据报举报现,74%的客户存在地下暴露的存储或其余性能失误,给网络立功分子提供了无隙可乘。

依据本周颁布的云安保供应商Tenable的客户遥测钻研显示,往年上半年有38%的企业至少有一个云上班负载处于关键破绽形态,领有高度权限并地下暴露。

报告指出,这种“有毒云三角”构建了一个高危险的攻打门路,使这些上班负载成为不法分子的首选指标。

报告进一步指出,“超越三分之一的企业或者会因此成为未来资讯头条的主角。”

即使上班负载中只存在一两个危险要素,对企业的安保也会带来渺小影响,钻研报告指出。

Info-Tech Research Group的初级钻研总监Jeremy Roberts(该钻研并未与其关系)示意,终端用户企业在此环节中也有责任。

他说:“云和其余工具一样,如何经常使用才是关键。许多云安保破绽并非由供应商惹起,而是由于控制不善形成的,就像2019年Capital One的安保事情。权限应活期查看,零信赖准则应获取运行,并经常使用集中控制(如控制塔)来规范化安保基线。”

破绽疑问

总体而言,钻研报告指出,74%的企业存在地下暴露的存储,其中一些蕴含敏感数据,造成这种暴露的要素通常是不用要或适度的权限。随着企业减速经常使用云原生运行程序,他们存储的敏感数据量(包括客户和员工信息以及商业常识产权)也在参与,黑客正是以这些存储在云中的数据为指标。因此,报告期内许多针对云存储的敲诈软件攻打都集中在那些领有过多访问权限的公共云资源上,这些攻打本可以防止。

暴露存储的遥测数据显示,39%的企业领有地下的存储桶,29%的企业领有权限过高的地下或私有存储桶,6%的企业领有权限过高的地下存储桶。

但是,存储疑问并非惟一的疑问,令人担心的是,84%的企业领有未经常使用或常年存在的访问密钥,且这些密钥具无关键或高度重大的适度权限。钻研指出,这些疑问在许多基于身份的攻打和数据暴露中起到了关键作用。钻研罗列了MGM Resorts数据暴露、微软电子邮件黑客事情以及FBot恶意软件等案例,这些恶意软件经过AWS的IAM(身份和访问控制)用户在AWS中坚持耐久性并流传。

钻研报告称:“IAM危险的外围在于访问密钥及其调配的权限,两者联合,就相当于拿到了存储在云中的数据的‘钥匙’。”

此外,23%的关键云服务供应商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人类和非人类)具无关键或高度重大的适度权限,这无疑是一个劫难的配方。

依据Info-Tech Research Group的首席顾问Scott Young的说法,这种状况局部归因于兽性。

Young示意:“授予人类账户高比例的关键权限反映了人类偏差于选用阻力最小的门路,但是,设置这些阻力是有要素的。”他说,“在经常使用系统时寻求更少的摩擦,会在账户被攻破时带来渺小潜在结果。”

钻研还发现,高达78%的企业领有地下可访问的Kubernetes API主机,其中41%准许入站互联网访问,钻研将此形容为“令人担心的”,此外,58%的企业准许某些用户对Kubernetes环境启动不受限度的控制,44%的企业在特权形式下运转容器,这两种权限性能大大参与了安保危险。

在这些性能失误让系统自身变得软弱的基础上,超越80%的上班负载仍存在未修复的关键CVE(如CVE-2024-21626),这是一个重大的容器逃逸破绽,虽然修补程序曾经可用。

缓解措施

Tenable提出了一系列缓解战略,协助企业降落危险。

建设以高低文为驱动的安保文明:将身份、破绽、性能失误和数据危险信息整合到一个一致的工具中,以取得准确的可视化、高低文和优先级排序。“并非一切危险都相反——识别有毒组合可以清楚降落危险。”

严厉控制Kubernetes/容器访问:遵守Pod安保规范,包括限度特权容器并强迫口头访问控制。限度入站访问,限度对Kubernetes API主机的入站访问,并确保Kubelet性能禁用匿名认证,此外,审查集群控制员角色绑定,确认能否真的有必要,假设没有必要,将用户绑定到权限较低的角色。

凭证和权限控制:活期轮换凭证,防止经常使用常年存在的访问密钥,并实施即时访问机制。活期查看和调整人类及非人类身份的权限,以遵照最小权限准则。

优先处置破绽:将修补等修停上班重点放在高危险破绽上,尤其是那些VPR分数较高的破绽。

缩小暴露:审查任何地下暴露的资产,以确定暴露能否必要,并确保不会危及秘密信息或关键基础设备,及时启动修补。

关于控制、危险和合规(GRC)的探讨

Young指出,防止疑问的关键并不是新概念。

他说:“从上档次来看,黑客攻打的结构并没有扭转,攻打者须要找到你,经过一个入口点进入系统,并横向移动以寻觅有价值的物品。”他补充道:“Tenable的报告显示,全体来看,咱们在确保入口点安保以及包全和控制账户以限度横向移动方面停顿缓慢,而云环境让咱们更容易被发现。假设不清楚优化安保通常的成熟度,完善流程,并启动彻底的审计,同时将智能化和编排联合起来以提高速度和分歧性,这些疑问的数量不会清楚缩小。简而言之,这份报告强有力地支持了一个运转良好的控制、危险和合规(GRC)通常。”

您可能还会对下面的文章感兴趣: