Företag och deras molnleverantörer lämnar ofta sårbarheter öppna i sina system och tjänster, vilket ger angripare en enkel väg att få tillgång till kritisk data.
Enligt en Orca Security analys av data som samlats in från stora molntjänster och släpptes den 13 september, behöver angripare i genomsnitt bara tre steg för att få tillgång till känslig data, de så kallade "kronjuvelerna", som oftast börjar – i 78 % av fallen — med utnyttjande av en känd sårbarhet.
Medan mycket av säkerhetsdiskussionen har fokuserat på felkonfigurationer av molnresurser av företag, har molnleverantörer ofta varit långsamma med att täppa till sårbarheter, säger Avi Shua, VD och medgrundare av Orca Security.
"Nyckeln är att åtgärda grundorsakerna, som är den initiala vektorn, och att öka antalet steg som angriparen behöver ta", säger han. "Rätta säkerhetskontroller kan se till att även om det finns en initial attackvektor så kan du fortfarande inte nå kronjuvelerna."
Smakämnen rapportera analyserad data från Orcas säkerhetsforskningsteam med hjälp av data från "miljarder molntillgångar på AWS, Azure och Google Cloud", som företagets kunder regelbundet skannar. Uppgifterna inkluderade moln arbetsbelastning och konfigurationsdata, miljödata och information om tillgångar som samlades in under första halvåret 2022.
Opatchade sårbarheter orsakar mest molnrisk
Analysen identifierade några huvudproblem med molnbaserade arkitekturer. I genomsnitt ansågs 11 % av molnleverantörernas och deras kunders molntillgångar vara "försummade", definierade som att de inte har korrigerats under de senaste 180 dagarna. Behållare och virtuella maskiner, som utgör de vanligaste komponenterna i sådan infrastruktur, stod för mer än 89 % av försummade molntillgångar.
"Det finns utrymme för förbättringar på båda sidor av modellen för delat ansvar", säger Shua. "Kritiker har alltid fokuserat på kundsidan av huset [för patchning], men under de senaste åren har det varit en hel del problem hos molnleverantören som inte har åtgärdats i tid."
Faktum är att åtgärda sårbarheter kan vara det mest kritiska problemet, eftersom den genomsnittliga behållaren, bilden och den virtuella maskinen hade minst 50 kända sårbarheter. Ungefär tre fjärdedelar – 78 % – av attackerna börjar med utnyttjande av en känd sårbarhet, uppger Orca i rapporten. Dessutom har en tiondel av alla företag en molntillgång som använder programvara med en sårbarhet som är minst 10 år gammal.
Ändå är säkerhetsskulden som orsakas av sårbarheter inte jämnt fördelad över alla tillgångar, fann rapporten. Mer än två tredjedelar – 68 % – av Log4j-sårbarheter hittades i virtuella maskiner. Men bara 5 % av arbetsbelastningstillgångarna har fortfarande åtminstone en av Log4j-sårbarheterna, och endast 10.5 % av dessa kunde riktas mot Internet.
Kundproblem
Ett annat stort problem är att en tredjedel av företagen har ett root-konto hos en molnleverantör som inte är skyddad av multifaktorautentisering (MFA). XNUMX procent av företagen har inaktiverat MFA för minst ett privilegierat användarkonto, enligt Orcas data. Att misslyckas med att tillhandahålla den extra säkerheten för MFA lämnar system och tjänster öppna för brute force-attacker och lösenordssprayning.
Utöver de 33 % av företagen som saknar MFA-skydd för root-konton, har 12 % av företagen en internettillgänglig arbetsbelastning med minst ett svagt eller läckt lösenord, uppger Orca i sin rapport.
Företag bör se till att upprätthålla MFA i hela sin organisation (särskilt för privilegierade konton), bedöma och åtgärda sårbarheter snabbare och hitta sätt att bromsa angripare, säger Shua.
"Nyckeln är att åtgärda grundorsakerna, som är den initiala vektorn, och att öka antalet steg som angriparen behöver ta", säger han. "Rätta säkerhetskontroller kan säkerställa att även om angriparen har framgång med den initiala attackvektorn, kan de fortfarande inte nå kronjuvelerna."
Sammantaget har både molnleverantörer och deras företagskunder säkerhetsproblem som måste identifieras och korrigeras, och båda måste hitta sätt att mer effektivt stänga dessa problem, tillägger han; synlighet och konsekventa säkerhetskontroller över alla aspekter av molninfrastruktur är nyckeln.
"Det är inte så att deras väggar inte är tillräckligt höga", säger Shua. "Det är att de inte täcker hela slottet."
