Virksomheder og deres cloud-udbydere efterlader ofte sårbarheder åbne i deres system og tjenester, hvilket giver angribere en nem vej til at få adgang til kritiske data.
Ifølge en Orca Security-analyse af data indsamlet fra store cloud-tjenester og udgivet den 13. september, behøver angribere i gennemsnit kun tre trin for at få adgang til følsomme data, de såkaldte "kronjuveler", som oftest starter - i 78 % af tilfældene — med udnyttelse af en kendt sårbarhed.
Mens meget af sikkerhedsdiskussionen har fokuseret på fejlkonfigurationer af cloud-ressourcer af virksomheder, har cloud-udbydere ofte været langsomme til at lukke sårbarheder, siger Avi Shua, CEO og medstifter af Orca Security.
"Nøglen er at rette op på de grundlæggende årsager, som er den indledende vektor, og at øge antallet af trin, som angriberen skal tage," siger han. "Korrekt sikkerhedskontrol kan sikre, at selvom der er en indledende angrebsvektor, er du stadig ikke i stand til at nå kronjuvelerne."
rapportere analyserede data fra Orcas sikkerhedsforskningsteam ved hjælp af data fra "milliarder af cloud-aktiver på AWS, Azure og Google Cloud", som virksomhedens kunder jævnligt scanner. Dataene omfattede cloud arbejdsbelastning og konfigurationsdata, miljødata og oplysninger om aktiver indsamlet i første halvdel af 2022.
Uoprettede sårbarheder forårsager mest skyrisiko
Analysen identificerede nogle få hovedproblemer med cloud-native arkitekturer. I gennemsnit blev 11 % af cloud-udbydernes og deres kunders cloud-aktiver betragtet som "forsømte", defineret som ikke at være blevet rettet i de sidste 180 dage. Containere og virtuelle maskiner, som udgør de mest almindelige komponenter i en sådan infrastruktur, tegnede sig for mere end 89 % af forsømte cloud-aktiver.
"Der er plads til forbedringer på begge sider af modellen med delt ansvar," siger Shua. "Kritikere har altid fokuseret på kundesiden af huset [til patching], men i de sidste par år har der været en del problemer hos cloud-udbyderen, som ikke er blevet rettet rettidigt."
Faktisk kan udbedring af sårbarheder være det mest kritiske problem, fordi den gennemsnitlige container, billede og virtuelle maskine havde mindst 50 kendte sårbarheder. Omkring tre fjerdedele - 78% - af angrebene starter med udnyttelse af en kendt sårbarhed, udtalte Orca i rapporten. Desuden har en tiendedel af alle virksomheder et cloudaktiv ved hjælp af software med en sårbarhed på mindst 10 år.
Alligevel er sikkerhedsgælden forårsaget af sårbarheder ikke ligeligt fordelt på alle aktiver, fandt rapporten. Mere end to tredjedele - 68% - af Log4j-sårbarhederne blev fundet i virtuelle maskiner. Imidlertid har kun 5 % af arbejdsbelastningsaktiverne stadig mindst én af Log4j-sårbarhederne, og kun 10.5 % af dem kunne målrettes fra internettet.
Kundesideproblemer
Et andet stort problem er, at en tredjedel af virksomhederne har en root-konto hos en cloud-udbyder, der ikke er beskyttet af multifaktorautentificering (MFA). XNUMX procent af virksomhederne har deaktiveret MFA for mindst én privilegeret brugerkonto, ifølge Orcas data. Manglende levering af den ekstra sikkerhed ved MFA efterlader systemer og tjenester åbne for brute-force-angreb og adgangskodespray.
Ud over de 33 % af virksomhederne, der mangler MFA-beskyttelse for root-konti, har 12 % af virksomhederne en internettilgængelig arbejdsbyrde med mindst én svag eller lækket adgangskode, udtalte Orca i sin rapport.
Virksomheder bør søge at håndhæve MFA på tværs af deres organisation (især for privilegerede konti), vurdere og rette sårbarheder hurtigere og finde måder at bremse angriberne på, siger Shua.
"Nøglen er at rette op på de grundlæggende årsager, som er den indledende vektor, og at øge antallet af trin, som angriberen skal tage," siger han. "Korrekt sikkerhedskontrol kan sikre, at selvom angriberen har succes med den indledende angrebsvektor, er de stadig ikke i stand til at nå kronjuvelerne."
Overordnet set har både cloud-udbydere og deres virksomhedskunder sikkerhedsproblemer, der skal identificeres og lappes, og begge skal finde måder til mere effektivt at lukke disse problemer, tilføjer han; synlighed og ensartet sikkerhedskontrol på tværs af alle aspekter af cloud-infrastruktur er nøglen.
"Det er ikke fordi deres vægge ikke er høje nok," siger Shua. "Det er, at de ikke dækker hele slottet."
