Bedrijven en hun cloudproviders laten vaak kwetsbaarheden open in hun systemen en diensten, waardoor aanvallers een gemakkelijk pad krijgen om toegang te krijgen tot kritieke gegevens.
Volgens een Orca Security-analyse van gegevens verzameld van grote clouddiensten en vrijgegeven op 13 september, hebben aanvallers gemiddeld slechts drie stappen nodig om toegang te krijgen tot gevoelige gegevens, de zogenaamde โkroonjuwelenโ, beginnend het vaakst โ in 78% van de gevallen โ met misbruik van een bekende kwetsbaarheid.
Hoewel een groot deel van de beveiligingsdiscussie zich heeft geconcentreerd op de verkeerde configuraties van cloudbronnen door bedrijven, zijn cloudproviders vaak traag geweest met het dichten van kwetsbaarheden, zegt Avi Shua, CEO en medeoprichter van Orca Security.
โDe sleutel is om de hoofdoorzaken, die de initiรซle vector zijn, op te lossen en het aantal stappen dat de aanvaller moet nemen te vergrotenโ, zegt hij. โGoede veiligheidscontroles kunnen ervoor zorgen dat zelfs als er een eerste aanvalsvector is, je nog steeds niet in staat bent de kroonjuwelen te bereiken.โ
De analyseerde gegevens rapporteren van het beveiligingsonderzoeksteam van Orca met behulp van gegevens uit โmiljarden cloudactiva op AWS, Azure en Google Cloudโ, die de klanten van het bedrijf regelmatig scannen. De gegevens omvatten onder meer cloudwerklast- en configuratiegegevens, omgevingsgegevens en informatie over assets die in de eerste helft van 2022 zijn verzameld.
Niet-gepatchte kwetsbaarheden veroorzaken het meeste cloudrisico
Uit de analyse kwamen enkele belangrijke problemen met cloud-native architecturen naar voren. Gemiddeld werd 11% van de cloud-assets van cloudproviders en hun klanten als 'verwaarloosd' beschouwd, wat betekent dat er in de afgelopen 180 dagen geen patches zijn uitgevoerd. Containers en virtuele machines, die de meest voorkomende componenten van een dergelijke infrastructuur vormen, waren goed voor meer dan 89% van de verwaarloosde cloudactiva.
โEr is ruimte voor verbetering aan beide kanten van het gedeelde verantwoordelijkheidsmodelโ, zegt Shua. โCritici hebben zich altijd gericht op de klantkant van het huis [voor patching], maar de afgelopen jaren zijn er nogal wat problemen geweest bij de cloudproviders die niet tijdig zijn opgelost.โ
In feite kan het oplossen van kwetsbaarheden het meest kritieke probleem zijn, omdat de gemiddelde container, image en virtuele machine minstens vijftig bekende kwetsbaarheden kende. Ongeveer driekwart (50%) van de aanvallen begint met de exploitatie van een bekende kwetsbaarheid, aldus Orca in het rapport. Bovendien heeft een tiende van alle bedrijven een cloud asset waarin software wordt gebruikt met een kwetsbaarheid van minimaal 78 jaar oud.
Toch is de door kwetsbaarheden veroorzaakte veiligheidsschuld niet gelijkmatig verdeeld over alle activa, zo blijkt uit het rapport. Ruim tweederde (68%) van de Log4j-kwetsbaarheden werd gevonden in virtuele machines. Slechts 5% van de workload-assets bevat echter nog steeds ten minste รฉรฉn van de Log4j-kwetsbaarheden, en slechts 10.5% daarvan kan via internet worden getarget.
Problemen aan de klantzijde
Een ander groot probleem is dat een derde van de bedrijven een rootaccount heeft bij een cloudprovider die niet beschermd is door multifactorauthenticatie (MFA). Volgens de gegevens van Orca heeft XNUMX procent van de bedrijven MFA uitgeschakeld voor ten minste รฉรฉn bevoorrechte gebruikersaccount. Als de extra beveiliging van MFA niet wordt geboden, blijven systemen en services blootstaan โโaan brute-force-aanvallen en het verspreiden van wachtwoorden.
Naast de 33% van de bedrijven die geen MFA-bescherming voor root-accounts hebben, heeft 12% van de bedrijven een via internet toegankelijke werklast met minstens รฉรฉn zwak of gelekt wachtwoord, aldus Orca in haar rapport.
Bedrijven moeten proberen MFA in hun hele organisatie af te dwingen (vooral voor geprivilegieerde accounts), kwetsbaarheden sneller te beoordelen en op te lossen, en manieren te vinden om aanvallers af te remmen, zegt Shua.
โDe sleutel is om de hoofdoorzaken, die de initiรซle vector zijn, op te lossen en het aantal stappen dat de aanvaller moet nemen te vergrotenโ, zegt hij. โGoede beveiligingscontroles kunnen ervoor zorgen dat zelfs als de aanvaller succes heeft met de initiรซle aanvalsvector, hij of zij nog steeds niet in staat is de kroonjuwelen te bereiken.โ
Over het geheel genomen hebben zowel cloudproviders als hun zakelijke klanten beveiligingsproblemen die moeten worden geรฏdentificeerd en gepatcht, en beide moeten manieren vinden om deze problemen efficiรซnter op te lossen, voegt hij eraan toe; Zichtbaarheid en consistente beveiligingscontroles voor alle aspecten van de cloudinfrastructuur zijn van cruciaal belang.
โHet is niet zo dat hun muren niet hoog genoeg zijnโ, zegt Shua. โHet is dat ze niet het hele kasteel bestrijken.โ