ผู้โจมตีสามารถโจมตีข้อมูลบนคลาวด์ส่วนใหญ่ได้ใน 3 ขั้นตอน

บริษัทและผู้ให้บริการคลาวด์มักจะปล่อยให้ช่องโหว่เปิดอยู่ในระบบและบริการของตน มอบเส้นทางที่ง่ายดายแก่ผู้โจมตีในการเข้าถึงข้อมูลที่สำคัญ

จากการวิเคราะห์ของ Orca Security ที่รวบรวมจากบริการคลาวด์หลักๆ และเผยแพร่เมื่อวันที่ 13 กันยายน ผู้โจมตีต้องการเพียงสามขั้นตอนโดยเฉลี่ยเท่านั้นในการเข้าถึงข้อมูลที่ละเอียดอ่อน ที่เรียกว่า “อัญมณีมงกุฎ” โดยเริ่มต้นบ่อยที่สุด — ใน 78% ของกรณี — ด้วยการใช้ประโยชน์จากช่องโหว่ที่ทราบ

ในขณะที่การอภิปรายด้านความปลอดภัยส่วนใหญ่มุ่งเน้นไปที่การกำหนดค่าทรัพยากรระบบคลาวด์อย่างไม่ถูกต้องโดยบริษัทต่างๆ แต่ผู้ให้บริการระบบคลาวด์มักจะอุดช่องโหว่ได้ช้า Avi Shua ซีอีโอและผู้ร่วมก่อตั้ง Orca Security กล่าว

“กุญแจสำคัญคือการแก้ไขสาเหตุที่แท้จริง ซึ่งเป็นเวกเตอร์เริ่มต้น และเพื่อเพิ่มจำนวนขั้นตอนที่ผู้โจมตีต้องดำเนินการ” เขากล่าว “การควบคุมความปลอดภัยที่เหมาะสมสามารถมั่นใจได้ว่าแม้ว่าจะมีการโจมตีครั้งแรก แต่คุณยังคงไม่สามารถเข้าถึงมงกุฎเพชรได้”

พื้นที่ รายงานข้อมูลที่วิเคราะห์แล้ว จากทีมวิจัยด้านความปลอดภัยของ Orca โดยใช้ข้อมูลจาก “สินทรัพย์บนคลาวด์นับพันล้านบน AWS, Azure และ Google Cloud” ซึ่งลูกค้าของบริษัทสแกนเป็นประจำ ข้อมูลดังกล่าวประกอบด้วยข้อมูลปริมาณงานบนคลาวด์และข้อมูลการกำหนดค่า ข้อมูลสภาพแวดล้อม และข้อมูลเกี่ยวกับสินทรัพย์ที่รวบรวมในช่วงครึ่งแรกของปี 2022

ช่องโหว่ที่ไม่ได้รับการติดตั้งทำให้เกิดความเสี่ยงบนคลาวด์ส่วนใหญ่

การวิเคราะห์ระบุปัญหาหลักบางประการเกี่ยวกับสถาปัตยกรรมแบบคลาวด์เนทีฟ โดยเฉลี่ยแล้ว 11% ของผู้ให้บริการคลาวด์และสินทรัพย์คลาวด์ของลูกค้าถูกพิจารณาว่า “ถูกละเลย” ซึ่งหมายถึงว่าไม่มีแพตช์ในช่วง 180 วันที่ผ่านมา คอนเทนเนอร์และเครื่องเสมือนซึ่งประกอบขึ้นเป็นส่วนประกอบทั่วไปของโครงสร้างพื้นฐานดังกล่าว คิดเป็นสัดส่วนมากกว่า 89% ของสินทรัพย์คลาวด์ที่ถูกละเลย

“โมเดลความรับผิดชอบร่วมกันทั้งสองฝ่ายยังมีสิ่งที่ควรปรับปรุง” Shua กล่าว “นักวิจารณ์ต่างมุ่งความสนใจไปที่ฝั่งลูกค้าของทางบริษัทมาโดยตลอด [สำหรับการแพตช์] แต่ในช่วงไม่กี่ปีที่ผ่านมา มีปัญหาเล็กน้อยในส่วนของผู้ให้บริการคลาวด์ที่ไม่ได้รับการแก้ไขอย่างทันท่วงที”

ในความเป็นจริง การแก้ไขช่องโหว่อาจเป็นปัญหาที่สำคัญที่สุด เนื่องจากคอนเทนเนอร์ รูปภาพ และเครื่องเสมือนโดยเฉลี่ยมีช่องโหว่ที่ทราบอย่างน้อย 50 รายการ ประมาณสามในสี่ หรือ 78% ของการโจมตีเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ที่ทราบ Orca ระบุในรายงาน นอกจากนี้ หนึ่งในสิบของบริษัททั้งหมดมีสินทรัพย์บนคลาวด์ที่ใช้ซอฟต์แวร์ที่มีช่องโหว่ที่มีอายุอย่างน้อย 10 ปี

รายงานพบว่าหนี้หลักทรัพย์ที่เกิดจากช่องโหว่ไม่ได้รับการกระจายอย่างเท่าเทียมกันในสินทรัพย์ทั้งหมด พบช่องโหว่ Log68j มากกว่าสองในสาม — 4% ในเครื่องเสมือน อย่างไรก็ตาม มีสินทรัพย์ปริมาณงานเพียง 5% เท่านั้นที่ยังคงมีช่องโหว่ Log4j อย่างน้อยหนึ่งรายการ และมีเพียง 10.5% เท่านั้นที่สามารถกำหนดเป้าหมายจากอินเทอร์เน็ตได้

ปัญหาฝั่งลูกค้า

ปัญหาสำคัญอีกประการหนึ่งคือหนึ่งในสามของบริษัทมีบัญชีรูทกับผู้ให้บริการคลาวด์ที่ไม่ได้รับการปกป้องโดยการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ห้าสิบแปดเปอร์เซ็นต์ของบริษัทได้ปิดการใช้งาน MFA สำหรับบัญชีผู้ใช้ที่มีสิทธิ์อย่างน้อยหนึ่งบัญชี ตามข้อมูลของ Orca ความล้มเหลวในการรักษาความปลอดภัยเพิ่มเติมของ MFA ทำให้ระบบและบริการต่างๆ เปิดรับการโจมตีแบบ brute-force และการพ่นรหัสผ่าน

นอกเหนือจาก 33% ของบริษัทที่ขาดการป้องกัน MFA สำหรับบัญชีรูทแล้ว 12% ของบริษัทยังมีภาระงานที่เข้าถึงอินเทอร์เน็ตได้โดยมีรหัสผ่านที่คาดเดายากหรือรั่วไหลอย่างน้อยหนึ่งรายการ Orca ระบุในรายงาน

บริษัทต่างๆ ควรบังคับใช้ MFA ทั่วทั้งองค์กร (โดยเฉพาะบัญชีที่ได้รับสิทธิพิเศษ) ประเมินและแก้ไขช่องโหว่ได้เร็วขึ้น และค้นหาวิธีในการชะลอผู้โจมตี Shua กล่าว

“กุญแจสำคัญคือการแก้ไขสาเหตุที่แท้จริง ซึ่งเป็นเวกเตอร์เริ่มต้น และเพื่อเพิ่มจำนวนขั้นตอนที่ผู้โจมตีต้องทำ” เขากล่าว “การควบคุมความปลอดภัยที่เหมาะสมสามารถรับประกันได้ว่าแม้ว่าผู้โจมตีจะประสบความสำเร็จในการโจมตีครั้งแรก แต่พวกเขายังคงไม่สามารถเข้าถึงมงกุฎเพชรได้”

โดยรวมแล้ว ทั้งผู้ให้บริการคลาวด์และลูกค้าธุรกิจมีปัญหาด้านความปลอดภัยที่ต้องระบุและแก้ไข และทั้งคู่จำเป็นต้องค้นหาวิธีปิดปัญหาเหล่านั้นได้อย่างมีประสิทธิภาพมากขึ้น เขากล่าวเสริม การมองเห็นและการควบคุมความปลอดภัยที่สม่ำเสมอในทุกด้านของโครงสร้างพื้นฐานคลาวด์ถือเป็นกุญแจสำคัญ

“ไม่ใช่ว่ากำแพงของพวกเขาไม่สูงพอ” Shua กล่าว “คือว่าพวกมันไม่ได้ปกคลุมทั่วทั้งปราสาท”