企業とそのクラウド プロバイダーは、システムやサービスに脆弱性を残したままにしておくことが多く、重要なデータにアクセスするための簡単なパスを攻撃者に与えています。
主要なクラウド サービスから収集され、13 月 78 日にリリースされたデータの Orca Security 分析によると、攻撃者が機密データへのアクセスを取得するために必要な手順は、平均して XNUMX つの手順のみであり、いわゆる「クラウン ジュエル」であり、最も頻繁に開始されるのはケースの XNUMX% — 既知の脆弱性の悪用。
セキュリティに関する議論の多くは、企業によるクラウド リソースの設定ミスに焦点を当てていますが、クラウド プロバイダーは脆弱性のプラグインに時間がかかることが多いと、Orca Security の CEO 兼共同創設者である Avi Shua 氏は述べています。
「重要なのは、最初のベクトルである根本原因を修正し、攻撃者が実行する必要がある手順の数を増やすことです」と彼は言います。 「適切なセキュリティ管理により、最初の攻撃ベクトルがあったとしても、王冠の宝石に到達することはできません.」
分析データを報告する 同社の顧客が定期的にスキャンする「AWS、Azure、および Google Cloud 上の数十億のクラウド資産」からのデータを使用して、Orca のセキュリティ研究チームから。 データには、クラウドのワークロードと構成データ、環境データ、および 2022 年前半に収集された資産に関する情報が含まれていました。
パッチが適用されていない脆弱性がクラウド リスクのほとんどを引き起こす
分析により、クラウドネイティブ アーキテクチャの主な問題がいくつか特定されました。 平均して、クラウド プロバイダーとその顧客のクラウド資産の 11% が、過去 180 日間にパッチが適用されていないと定義される「無視された」と見なされました。 このようなインフラストラクチャの最も一般的なコンポーネントを構成するコンテナと仮想マシンは、無視されたクラウド資産の 89% 以上を占めています。
「責任共有モデルの両側には、改善の余地があります」と Shua 氏は言います。 「批評家は常に、家の顧客側に焦点を当ててきましたが、ここ数年、タイムリーに修正されていないクラウドプロバイダー側にかなりの問題がありました。」
実際、平均的なコンテナー、イメージ、および仮想マシンには少なくとも 50 の既知の脆弱性があるため、脆弱性の修正が最も重要な問題になる可能性があります。 攻撃の約 78 分の 10 (XNUMX%) は、既知の脆弱性の悪用から始まる、と Orca はレポートで述べています。 さらに、全企業の XNUMX 分の XNUMX が、少なくとも XNUMX 年前の脆弱性を持つソフトウェアを使用したクラウド資産を所有しています。
しかし、脆弱性によって引き起こされるセキュリティの負債は、すべての資産に均等に分散されていないことがレポートでわかりました。 Log68j の脆弱性の 4 分の 5 以上 (4%) が仮想マシンで発見されました。 ただし、ワークロード資産の 10.5% のみが LogXNUMXj の脆弱性の少なくとも XNUMX つをまだ持っており、それらの XNUMX% のみがインターネットから標的にされる可能性があります。
お客様側の問題
もう XNUMX つの大きな問題は、企業の XNUMX 分の XNUMX が、多要素認証 (MFA) によって保護されていないクラウド プロバイダーのルート アカウントを持っていることです。 Orca のデータによると、企業の XNUMX% が少なくとも XNUMX つの特権ユーザー アカウントに対して MFA を無効にしています。 MFA の追加のセキュリティを提供できないと、システムやサービスがブルート フォース攻撃やパスワード スプレーにさらされることになります。
企業の 33% が root アカウントの MFA 保護を欠いていることに加えて、企業の 12% が、少なくとも XNUMX つの脆弱なパスワードまたは漏えいしたパスワードを使用してインターネットにアクセス可能なワークロードを持っている、と Orca はレポートで述べています。
企業は、組織全体 (特に特権アカウントの場合) に MFA を適用し、脆弱性をより迅速に評価して修正し、攻撃者を遅らせる方法を見つける必要があります、と Shua 氏は言います。
「重要なのは、最初のベクトルである根本原因を修正し、攻撃者が実行する必要がある手順の数を増やすことです」と彼は言います。 「適切なセキュリティ制御により、攻撃者が最初の攻撃ベクトルで成功したとしても、王冠の宝石に到達することはできません.」
全体として、クラウド プロバイダーとそのビジネス クライアントの両方に、特定してパッチを適用する必要があるセキュリティ上の問題があり、これらの問題をより効率的に解決する方法を見つける必要がある、と彼は付け加えます。 クラウド インフラストラクチャのすべての側面にわたる可視性と一貫したセキュリティ コントロールが重要です。
「壁が十分に高くないということではありません」とシュアは言います。 「城全体をカバーしているわけではないということです」
