Perusahaan dan penyedia cloud mereka sering kali membiarkan kerentanan terbuka di sistem dan layanan mereka, sehingga memberikan jalur yang mudah bagi penyerang untuk mendapatkan akses ke data penting.
Menurut analisis Keamanan Orca terhadap data yang dikumpulkan dari layanan cloud utama dan dirilis pada 13 September, penyerang hanya memerlukan rata-rata tiga langkah untuk mendapatkan akses ke data sensitif, yang disebut โpermata mahkotaโ, yang paling sering dimulai โ di 78% kasus โ dengan eksploitasi kerentanan yang diketahui.
Meskipun sebagian besar diskusi keamanan berfokus pada kesalahan konfigurasi sumber daya cloud yang dilakukan perusahaan, penyedia cloud sering kali lamban dalam mengatasi kerentanan, kata Avi Shua, CEO dan salah satu pendiri Orca Security.
โKuncinya adalah memperbaiki akar permasalahan, yang merupakan vektor awal, dan meningkatkan jumlah langkah yang perlu diambil oleh penyerang,โ katanya. โKontrol keamanan yang tepat dapat memastikan bahwa meskipun terdapat vektor serangan awal, Anda tetap tidak dapat mencapai kunci utama.โ
Grafik laporan menganalisis data dari tim riset keamanan Orca menggunakan data dari โmiliaran aset cloud di AWS, Azure, dan Google Cloud,โ yang dipindai secara rutin oleh pelanggan perusahaan. Data tersebut mencakup data beban kerja dan konfigurasi cloud, data lingkungan, dan informasi aset yang dikumpulkan pada paruh pertama tahun 2022.
Kerentanan yang Belum Ditambal Menyebabkan Sebagian Besar Risiko Cloud
Analisis tersebut mengidentifikasi beberapa masalah utama pada arsitektur cloud-native. Rata-rata, 11% aset cloud penyedia cloud dan pelanggan mereka dianggap โterabaikanโ, yang didefinisikan sebagai belum di-patch dalam 180 hari terakhir. Kontainer dan mesin virtual, yang merupakan komponen paling umum dari infrastruktur tersebut, menyumbang lebih dari 89% aset cloud yang terabaikan.
โAda ruang untuk perbaikan pada kedua sisi model tanggung jawab bersama,โ kata Shua. โKritikus selalu berfokus pada sisi pelanggan [untuk patching], namun dalam beberapa tahun terakhir, ada beberapa masalah pada penyedia cloud yang belum diperbaiki pada waktu yang tepat.โ
Faktanya, memperbaiki kerentanan mungkin merupakan masalah yang paling kritis, karena rata-rata container, image, dan mesin virtual memiliki setidaknya 50 kerentanan yang diketahui. Sekitar tiga perempat โ 78% โ serangan dimulai dengan eksploitasi kerentanan yang diketahui, kata Orca dalam laporannya. Selain itu, sepersepuluh dari seluruh perusahaan memiliki aset cloud yang menggunakan perangkat lunak dengan kerentanan minimal 10 tahun.
Namun utang keamanan yang disebabkan oleh kerentanan tidak didistribusikan secara merata ke seluruh aset, demikian temuan laporan tersebut. Lebih dari dua pertiga โ 68% โ kerentanan Log4j ditemukan di mesin virtual. Namun, hanya 5% aset beban kerja yang masih memiliki setidaknya satu kerentanan Log4j, dan hanya 10.5% di antaranya yang dapat ditargetkan dari Internet.
Masalah Sisi Pelanggan
Masalah besar lainnya adalah sepertiga perusahaan memiliki akun root pada penyedia cloud yang tidak dilindungi oleh autentikasi multifaktor (MFA). Lima puluh delapan persen perusahaan telah menonaktifkan MFA untuk setidaknya satu akun pengguna yang memiliki hak istimewa, menurut data Orca. Kegagalan memberikan keamanan tambahan pada MFA membuat sistem dan layanan terbuka terhadap serangan brute force dan penyemprotan kata sandi.
Selain 33% perusahaan yang tidak memiliki perlindungan MFA untuk akun root, 12% perusahaan memiliki beban kerja yang dapat diakses Internet dengan setidaknya satu kata sandi yang lemah atau bocor, kata Orca dalam laporannya.
Perusahaan harus berupaya menerapkan MFA di seluruh organisasi mereka (terutama untuk akun dengan hak istimewa), menilai dan memperbaiki kerentanan dengan lebih cepat, dan menemukan cara untuk memperlambat penyerang, kata Shua.
โKuncinya adalah memperbaiki akar permasalahan, yang merupakan vektor awal, dan meningkatkan jumlah langkah yang perlu diambil penyerang,โ katanya. โKontrol keamanan yang tepat dapat memastikan bahwa meskipun penyerang berhasil dengan vektor serangan awal, mereka tetap tidak dapat mencapai titik puncaknya.โ
Secara keseluruhan, baik penyedia cloud maupun klien bisnis mereka memiliki masalah keamanan yang perlu diidentifikasi dan diperbaiki, dan keduanya perlu menemukan cara untuk mengatasi masalah tersebut dengan lebih efisien, tambahnya; visibilitas dan kontrol keamanan yang konsisten di seluruh aspek infrastruktur cloud adalah kuncinya.
โBukannya tembok mereka tidak cukup tinggi,โ kata Shua. โItu karena mereka tidak menutupi seluruh kastil.โ