কোম্পানি এবং তাদের ক্লাউড প্রদানকারীরা প্রায়ই তাদের সিস্টেম এবং পরিষেবাগুলিতে দুর্বলতাগুলিকে খোলা রেখে দেয়, আক্রমণকারীদের সমালোচনামূলক ডেটাতে অ্যাক্সেস পাওয়ার সহজ পথ দিয়ে দেয়।
প্রধান ক্লাউড পরিষেবাগুলি থেকে সংগৃহীত এবং 13 সেপ্টেম্বর প্রকাশিত তথ্যের Orca সিকিউরিটি বিশ্লেষণ অনুসারে, আক্রমণকারীদের কেবলমাত্র সংবেদনশীল ডেটাতে অ্যাক্সেস পাওয়ার জন্য গড়ে তিনটি পদক্ষেপের প্রয়োজন, তথাকথিত "মুকুট রত্ন", যা প্রায়শই শুরু হয় — 78% ক্ষেত্রে — একটি পরিচিত দুর্বলতার শোষণ সহ।
যদিও বেশিরভাগ নিরাপত্তা আলোচনা কোম্পানিগুলির দ্বারা ক্লাউড সংস্থানগুলির ভুল কনফিগারেশনের উপর দৃষ্টি নিবদ্ধ করেছে, ক্লাউড প্রদানকারীরা প্রায়শই দুর্বলতাগুলি প্লাগ করতে ধীর হয়ে গেছে, অরকা সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা আভি শুয়া বলেছেন।
"মূল কারণগুলি ঠিক করা, যা প্রাথমিক ভেক্টর, এবং আক্রমণকারীকে যে পদক্ষেপ নিতে হবে তার সংখ্যা বৃদ্ধি করা," তিনি বলেছেন। "যথাযথ নিরাপত্তা নিয়ন্ত্রণ নিশ্চিত করতে পারে যে প্রাথমিক আক্রমণের ভেক্টর থাকলেও, আপনি এখনও মুকুটের রত্নগুলিতে পৌঁছাতে সক্ষম নন।"
সার্জারির রিপোর্ট বিশ্লেষণ তথ্য "AWS, Azure, এবং Google ক্লাউডে বিলিয়ন বিলিয়ন ক্লাউড সম্পদ" থেকে ডেটা ব্যবহার করে Orca-এর নিরাপত্তা গবেষণা দল থেকে, যা কোম্পানির গ্রাহকরা নিয়মিত স্ক্যান করে। ডেটাতে ক্লাউড ওয়ার্কলোড এবং কনফিগারেশন ডেটা, পরিবেশ ডেটা এবং 2022 সালের প্রথমার্ধে সংগৃহীত সম্পদের তথ্য অন্তর্ভুক্ত ছিল।
আনপ্যাচড দুর্বলতা সবচেয়ে বেশি ক্লাউড ঝুঁকির কারণ
বিশ্লেষণটি ক্লাউড-নেটিভ আর্কিটেকচারের সাথে কয়েকটি প্রধান সমস্যা চিহ্নিত করেছে। গড়ে, 11% ক্লাউড প্রদানকারী এবং তাদের গ্রাহকদের ক্লাউড সম্পদকে "উপেক্ষিত" বলে বিবেচিত হয়েছে, যা গত 180 দিনে প্যাচ করা হয়নি বলে সংজ্ঞায়িত করা হয়েছে। কনটেইনার এবং ভার্চুয়াল মেশিন, যা এই ধরনের অবকাঠামোর সবচেয়ে সাধারণ উপাদান তৈরি করে, অবহেলিত ক্লাউড সম্পদের 89% এরও বেশি জন্য দায়ী।
"শেয়ারড দায়বদ্ধতার মডেলের উভয় দিকেই উন্নতির জায়গা আছে," শুয়া বলেছেন৷ "সমালোচকরা সর্বদা বাড়ির গ্রাহকের দিকে মনোনিবেশ করেছেন [প্যাচিংয়ের জন্য], কিন্তু বিগত কয়েক বছরে, ক্লাউড-প্রোভাইডার প্রান্তে বেশ কয়েকটি সমস্যা রয়েছে যা সময়মত সংশোধন করা হয়নি।"
প্রকৃতপক্ষে, দুর্বলতাগুলি সংশোধন করা সবচেয়ে জটিল সমস্যা হতে পারে, কারণ গড় ধারক, চিত্র এবং ভার্চুয়াল মেশিনে কমপক্ষে 50টি পরিচিত দুর্বলতা ছিল৷ প্রায় তিন-চতুর্থাংশ — 78% — আক্রমণগুলি একটি পরিচিত দুর্বলতার শোষণের মাধ্যমে শুরু হয়, Orca রিপোর্টে বলেছে। অধিকন্তু, সমস্ত কোম্পানির দশমাংশের অন্তত 10 বছর বয়সী দুর্বলতা সহ সফ্টওয়্যার ব্যবহার করে একটি ক্লাউড সম্পদ রয়েছে৷
তবুও দুর্বলতার কারণে সৃষ্ট নিরাপত্তা ঋণ সব সম্পদে সমানভাবে বিতরণ করা হয় না, রিপোর্টে পাওয়া গেছে। দুই-তৃতীয়াংশেরও বেশি — 68% — Log4j দুর্বলতা ভার্চুয়াল মেশিনে পাওয়া গেছে। যাইহোক, কাজের চাপের মাত্র 5% সম্পদে এখনও অন্তত একটি Log4j দুর্বলতা রয়েছে এবং এর মধ্যে মাত্র 10.5% ইন্টারনেট থেকে লক্ষ্য করা যেতে পারে।
কাস্টমার-সাইড ইস্যু
আরেকটি বড় সমস্যা হল যে এক তৃতীয়াংশ কোম্পানির একটি ক্লাউড প্রদানকারীর সাথে রুট অ্যাকাউন্ট রয়েছে যা মাল্টিফ্যাক্টর অথেনটিকেশন (MFA) দ্বারা সুরক্ষিত নয়। Orca এর তথ্য অনুযায়ী, XNUMX শতাংশ কোম্পানি অন্তত একটি বিশেষ সুবিধাপ্রাপ্ত ব্যবহারকারী অ্যাকাউন্টের জন্য MFA নিষ্ক্রিয় করেছে। MFA-এর অতিরিক্ত নিরাপত্তা প্রদানে ব্যর্থ হলে সিস্টেম এবং পরিষেবাগুলিকে পাশবিক আক্রমণ এবং পাসওয়ার্ড স্প্রে করার জন্য উন্মুক্ত করে দেয়।
রুট অ্যাকাউন্টের জন্য এমএফএ সুরক্ষার অভাবের 33% সংস্থাগুলি ছাড়াও, 12% সংস্থার কমপক্ষে একটি দুর্বল বা ফাঁস পাসওয়ার্ড সহ একটি ইন্টারনেট অ্যাক্সেসযোগ্য কাজের চাপ রয়েছে, Orca তার প্রতিবেদনে বলেছে।
কোম্পানির উচিত তাদের প্রতিষ্ঠান জুড়ে MFA প্রয়োগ করা (বিশেষ করে সুবিধাপ্রাপ্ত অ্যাকাউন্টের জন্য), দুর্বলতাগুলি দ্রুত মূল্যায়ন এবং ঠিক করা এবং আক্রমণকারীদের ধীর করার উপায় খুঁজে বের করা, Shua বলেছেন।
"মূল কারণগুলি ঠিক করা, যা প্রাথমিক ভেক্টর, এবং আক্রমণকারীকে যে পদক্ষেপ নিতে হবে তার সংখ্যা বৃদ্ধি করা," তিনি বলেছেন। "যথাযথ নিরাপত্তা নিয়ন্ত্রণ নিশ্চিত করতে পারে যে আক্রমণকারীর প্রাথমিক আক্রমণ ভেক্টরের সাথে সফলতা থাকলেও, তারা এখনও মুকুটের রত্নগুলিতে পৌঁছাতে সক্ষম নয়।"
সামগ্রিকভাবে, ক্লাউড প্রদানকারী এবং তাদের ব্যবসায়িক ক্লায়েন্ট উভয়েরই নিরাপত্তা সংক্রান্ত সমস্যা রয়েছে যা চিহ্নিত করা এবং প্যাচ করা দরকার এবং উভয়েরই সেই সমস্যাগুলিকে আরও দক্ষতার সাথে বন্ধ করার উপায় খুঁজে বের করতে হবে, তিনি যোগ করেন; ক্লাউড অবকাঠামোর সমস্ত দিক জুড়ে দৃশ্যমানতা এবং ধারাবাহিক নিরাপত্তা নিয়ন্ত্রণ গুরুত্বপূর্ণ।
"এটি নয় যে তাদের দেয়ালগুলি যথেষ্ট উঁচু নয়," শুয়া বলেছেন। "এটি হল যে তারা পুরো দুর্গকে কভার করছে না।"
