Ettevõtted ja nende pilveteenuse pakkujad jätavad sageli oma süsteemis ja teenustes haavatavused avatuks, andes ründajatele lihtsa võimaluse kriitilistele andmetele juurde pääseda.
13. septembril avaldatud suurematest pilveteenustest kogutud andmete Orca Security analüüsi kohaselt vajavad ründajad tundlikele andmetele ehk niinimetatud kroonijuveelidele juurdepääsu saamiseks keskmiselt vaid kolme sammu, alustades kõige sagedamini – 78% juhtudest – teadaoleva haavatavuse ärakasutamisega.
Kuigi suur osa turbearuteludest on keskendunud ettevõtete poolt pilveressursside valesti konfigureerimisele, on pilveteenuse pakkujad sageli olnud haavatavuste kõrvaldamisega aeglased, ütleb Orca Security tegevjuht ja kaasasutaja Avi Shua.
"Võti on kõrvaldada algpõhjused, mis on esialgne vektor, ja suurendada nende sammude arvu, mida ründaja peab astuma," ütleb ta. "Korralik turvakontroll võib tagada, et isegi kui on olemas esialgne ründevektor, ei jõua te ikkagi kroonijuveelideni."
. aruanne analüüsitud andmetest Orca turbeuuringute meeskonnalt, kasutades andmeid miljarditest pilvvaradest AWS-is, Azure'is ja Google Cloudis, mida ettevõtte kliendid regulaarselt skannivad. Andmed hõlmasid pilve töökoormuse ja konfiguratsiooni andmeid, keskkonnaandmeid ja teavet varade kohta, mis koguti 2022. aasta esimesel poolel.
Paigaldamata haavatavused põhjustavad suuremat pilveriski
Analüüs tuvastas mõned peamised probleemid pilvepõhiste arhitektuuridega. Keskmiselt 11% pilveteenuse pakkujate ja nende klientide pilvevaradest peeti tähelepanuta jäetuks, mis on määratletud kui neid, mida pole viimase 180 päeva jooksul paigatud. Konteinerid ja virtuaalmasinad, mis moodustavad sellise infrastruktuuri kõige levinumad komponendid, moodustasid enam kui 89% tähelepanuta jäetud pilvvaradest.
"Jagatud vastutuse mudeli mõlemal poolel on arenguruumi," ütleb Shua. "Kriitikud on alati keskendunud maja kliendipoolsele poolele [paigaldamiseks], kuid viimastel aastatel on pilveteenuse pakkuja poolel esinenud üsna palju probleeme, mida pole õigeaegselt lahendatud."
Tegelikult võib turvaaukude parandamine olla kõige kriitilisem probleem, sest keskmisel konteineril, pildil ja virtuaalmasinas oli teadaolevalt vähemalt 50 turvaauku. Umbes kolmveerand – 78% – rünnakutest saavad alguse teadaoleva haavatavuse ärakasutamisest, märkis Orca aruandes. Veelgi enam, kümnendikul ettevõtetest on vähemalt 10 aasta vanuse haavatavusega tarkvara kasutav pilvevara.
Ometi ei ole haavatavustest tingitud tagatisvõlg kõigi varade vahel ühtlaselt jaotunud, leiti aruandes. Rohkem kui kaks kolmandikku – 68% – Log4j haavatavustest leiti virtuaalmasinatest. Siiski on ainult 5% töökoormuse varadest endiselt vähemalt üks Log4j haavatavus ja ainult 10.5% neist võib olla suunatud Internetist.
Kliendipoolsed probleemid
Teine suur probleem on see, et kolmandikul ettevõtetest on juurkonto pilveteenuse pakkuja juures, mis pole kaitstud mitmefaktorilise autentimisega (MFA). Orca andmete kohaselt on XNUMX protsenti ettevõtetest MFA vähemalt ühe privilegeeritud kasutajakonto jaoks keelanud. Kui MFA täiendavat turvalisust ei pakuta, on süsteemid ja teenused avatud jõhkrate jõurünnakute ja paroolide pihustamise jaoks.
Lisaks 33% ettevõtetest, kellel puudub juurkontode jaoks MFA kaitse, on 12% ettevõtetest Interneti-juurdepääsetav töökoormus vähemalt ühe nõrga või lekkinud parooliga, teatas Orca oma aruandes.
Ettevõtted peaksid püüdma jõustada makromajanduslikku finantsabi kogu oma organisatsioonis (eriti privilegeeritud kontode puhul), hindama ja parandama turvaauke kiiremini ning leidma viise ründajate pidurdamiseks, ütleb Shua.
"Võti on kõrvaldada algpõhjused, mis on esialgne vektor, ja suurendada sammude arvu, mida ründaja peab astuma, " ütleb ta. "Korralik turvakontroll võib tagada, et isegi kui ründajal õnnestub algse ründevektoriga toime tulla, ei jõua ta ikkagi kroonijuveelideni."
Üldiselt on nii pilveteenuse pakkujatel kui ka nende äriklientidel turvaprobleeme, mis tuleb tuvastada ja parandada, ning mõlemad peavad leidma viise nende probleemide tõhusamaks lahendamiseks, lisab ta. Nähtavus ja järjepidev turvakontroll pilveinfrastruktuuri kõigis aspektides on võtmetähtsusega.
"Asi pole selles, et nende seinad pole piisavalt kõrged," ütleb Shua. "Asi on selles, et nad ei kata kogu lossi."
