חברות וספקי הענן שלהן משאירים לעתים קרובות נקודות תורפה פתוחות במערכת ובשירותים שלהן, ומעניקים לתוקפים דרך קלה לקבל גישה לנתונים קריטיים.
על פי ניתוח של Orca Security של נתונים שנאספו משירותי ענן גדולים ושוחררו ב-13 בספטמבר, התוקפים צריכים רק, בממוצע, שלושה שלבים כדי לקבל גישה לנתונים רגישים, מה שמכונה "תכשיטי הכתר", החל לרוב - ב- 78% מהמקרים - עם ניצול של פגיעות ידועה.
בעוד שחלק ניכר מהדיון בנושא האבטחה התמקד בתצורות השגויות של משאבי ענן על ידי חברות, ספקי ענן איחרו לעתים קרובות לסתום נקודות תורפה, אומר אבי שועה, מנכ"ל ומייסד שותף של Orca Security.
"המפתח הוא לתקן את גורמי השורש, שהם הווקטור הראשוני, ולהגדיל את מספר הצעדים שהתוקף צריך לנקוט", הוא אומר. "בקרות אבטחה נאותות יכולות לוודא שגם אם יש וקטור התקפה ראשוני, עדיין לא תוכל להגיע ליהלומי הכתר".
השמיים לדווח על נתונים מנותחים מצוות מחקר האבטחה של Orca באמצעות נתונים מ"מיליארדי נכסי ענן ב-AWS, Azure ו-Google Cloud", שלקוחות החברה סורקים באופן קבוע. הנתונים כללו נתוני עומס עבודה ותצורה בענן, נתוני סביבה ומידע על נכסים שנאספו במחצית הראשונה של 2022.
נקודות תורפה ללא תיקון גורמות לרוב הסיכון בענן
הניתוח זיהה כמה בעיות עיקריות בארכיטקטורות מקוריות בענן. בממוצע, 11% מנכסי הענן של ספקי הענן ולקוחותיהם נחשבו "מוזנחים", שהוגדרו ככאלה שלא טופלו ב-180 הימים האחרונים. קונטיינרים ומכונות וירטואליות, המהווים את הרכיבים הנפוצים ביותר של תשתית כזו, היוו יותר מ-89% מנכסי הענן המוזנחים.
"יש מקום לשיפור בשני הצדדים של מודל האחריות המשותפת", אומר שועה. "מבקרים תמיד התמקדו בצד הלקוח של הבית [לתיקון], אבל בשנים האחרונות, היו לא מעט בעיות בקצה ספקי הענן שלא תוקנו בזמן."
למעשה, תיקון נקודות תורפה עשוי להיות הבעיה הקריטית ביותר, מכיוון שלמכולה, תמונה ומכונה וירטואלית הממוצעים היו לפחות 50 נקודות תורפה ידועות. כשלושה רבעים - 78% - מההתקפות מתחילות בניצול של פגיעות ידועה, ציינה אורקה בדו"ח. יתרה מכך, לעשירית מכל החברות יש נכס בענן המשתמש בתוכנה עם פגיעות בת 10 שנים לפחות.
עם זאת, החוב הביטחוני שנגרם על ידי נקודות תורפה אינו מחולק באופן שווה על כל הנכסים, מצא הדו"ח. יותר משני שלישים - 68% - מהפגיעויות של Log4j נמצאו במכונות וירטואליות. עם זאת, רק ל-5% מנכסי עומס העבודה עדיין יש לפחות אחת מהפגיעויות של Log4j, ורק 10.5% מהן יכלו להיות ממוקדות מהאינטרנט.
בעיות צד לקוח
בעיה מרכזית נוספת היא שלשליש מהחברות יש חשבון שורש אצל ספק ענן שאינו מוגן על ידי אימות רב-גורמי (MFA). XNUMX% מהחברות השביתו את MFA עבור חשבון משתמש מיוחס אחד לפחות, על פי הנתונים של Orca. אי מתן האבטחה הנוספת של MFA משאיר מערכות ושירותים פתוחים להתקפות בכוח גס וריסוס סיסמאות.
בנוסף ל-33% מהחברות חסרות הגנת MFA עבור חשבונות שורש, ל-12% מהחברות יש עומס עבודה נגיש לאינטרנט עם לפחות סיסמה אחת חלשה או דלפה, ציינה אורקה בדו"ח שלה.
חברות צריכות לחפש לאכוף MFA בכל הארגון שלהן (במיוחד עבור חשבונות מועדפים), להעריך ולתקן נקודות תורפה מהר יותר ולמצוא דרכים להאט את התוקפים, אומר שועה.
"המפתח הוא לתקן את גורמי השורש, שהם הווקטור הראשוני, ולהגדיל את מספר הצעדים שהתוקף צריך לנקוט", הוא אומר. "בקרות אבטחה נאותות יכולות לוודא שגם אם התוקף יצליח עם וקטור ההתקפה הראשוני, הוא עדיין לא יוכל להגיע ליהלומי הכתר".
בסך הכל, גם לספקי הענן וגם ללקוחות העסקיים שלהם יש בעיות אבטחה שצריך לזהות ולתקן, ושניהם צריכים למצוא דרכים לסגור את הבעיות האלה בצורה יעילה יותר, הוא מוסיף; נראות ובקרות אבטחה עקביות בכל ההיבטים של תשתית הענן הם המפתח.
"זה לא שהקירות שלהם לא מספיק גבוהים", אומר שועה. "זה שהם לא מכסים את כל הטירה."
