Bedrifter og deres skyleverandører lar ofte sårbarheter være åpne i systemene og tjenestene sine, og gir angripere en enkel vei for å få tilgang til kritiske data.
I følge en Orca Security-analyse av data samlet inn fra store skytjenester og utgitt 13. september, trenger angripere bare i gjennomsnitt tre trinn for å få tilgang til sensitive data, de såkalte «kronjuvelene», som oftest starter – i 78 % av tilfellene — med utnyttelse av en kjent sårbarhet.
Mens mye av sikkerhetsdiskusjonen har fokusert på feilkonfigurasjoner av skyressurser av selskaper, har skyleverandører ofte vært trege med å plugge sårbarheter, sier Avi Shua, administrerende direktør og medgründer av Orca Security.
"Nøkkelen er å fikse grunnårsakene, som er den første vektoren, og å øke antall skritt som angriperen må ta," sier han. "Riktig sikkerhetskontroll kan sørge for at selv om det er en første angrepsvektor, er du fortsatt ikke i stand til å nå kronjuvelene."
De rapportere analyserte data fra Orcas sikkerhetsforskningsteam ved å bruke data fra «milliarder av skyaktiva på AWS, Azure og Google Cloud», som selskapets kunder jevnlig skanner. Dataene inkluderte skyarbeidsbelastning og konfigurasjonsdata, miljødata og informasjon om eiendeler samlet inn i første halvdel av 2022.
Uopprettede sårbarheter forårsaker mest skyrisiko
Analysen identifiserte noen få hovedproblemer med skybaserte arkitekturer. I gjennomsnitt ble 11 % av nettskyleverandørenes og deres kunders skyaktiva ansett som «forsømt», definert som å ikke ha blitt rettet i løpet av de siste 180 dagene. Beholdere og virtuelle maskiner, som utgjør de vanligste komponentene i slik infrastruktur, utgjorde mer enn 89 % av forsømte skyaktiva.
"Det er rom for forbedring på begge sider av delt ansvarsmodellen," sier Shua. "Kritikere har alltid fokusert på kundesiden av huset [for patching], men de siste årene har det vært ganske mange problemer på skyleverandørsiden som ikke har blitt fikset i tide."
Faktisk kan det å fikse sårbarheter være det mest kritiske problemet, fordi den gjennomsnittlige beholderen, bildet og den virtuelle maskinen hadde minst 50 kjente sårbarheter. Omtrent tre fjerdedeler – 78 % – av angrepene starter med utnyttelse av en kjent sårbarhet, uttalte Orca i rapporten. Dessuten har en tidel av alle selskaper et skyaktivum som bruker programvare med en sårbarhet som er minst 10 år gammel.
Men sikkerhetsgjelden forårsaket av sårbarheter er ikke jevnt fordelt på alle eiendeler, fant rapporten. Mer enn to tredjedeler – 68 % – av Log4j-sårbarhetene ble funnet i virtuelle maskiner. Imidlertid har bare 5 % av arbeidsbelastningselementene fortsatt minst én av Log4j-sårbarhetene, og bare 10.5 % av disse kan målrettes fra Internett.
Kundesideproblemer
Et annet stort problem er at en tredjedel av bedriftene har en root-konto hos en skyleverandør som ikke er beskyttet av multifaktorautentisering (MFA). XNUMX prosent av selskapene har deaktivert MFA for minst én privilegert brukerkonto, ifølge Orcas data. Unnlatelse av å gi den ekstra sikkerheten til MFA etterlater systemer og tjenester åpne for brute-force-angrep og passordspraying.
I tillegg til de 33 % av firmaene som mangler MFA-beskyttelse for root-kontoer, har 12 % av selskapene en Internett-tilgjengelig arbeidsmengde med minst ett svakt eller lekket passord, uttalte Orca i sin rapport.
Selskaper bør se etter å håndheve MFA på tvers av organisasjonen (spesielt for privilegerte kontoer), vurdere og fikse sårbarheter raskere og finne måter å bremse angripere på, sier Shua.
"Nøkkelen er å fikse grunnårsakene, som er den første vektoren, og å øke antall skritt som angriperen må ta," sier han. "Riktig sikkerhetskontroll kan sørge for at selv om angriperen har suksess med den første angrepsvektoren, er de fortsatt ikke i stand til å nå kronjuvelene."
Totalt sett har både skyleverandører og deres forretningskunder sikkerhetsproblemer som må identifiseres og lappes, og begge må finne måter å mer effektivt lukke disse problemene, legger han til; synlighet og konsekvente sikkerhetskontroller på tvers av alle aspekter av skyinfrastruktur er nøkkelen.
"Det er ikke det at veggene deres ikke er høye nok," sier Shua. "Det er at de ikke dekker hele slottet."
