Şirketler ve bulut sağlayıcıları genellikle sistemlerinde ve hizmetlerinde güvenlik açıklarını açık bırakarak saldırganlara kritik verilere erişmeleri için kolay bir yol sunar.
Orca Security'nin büyük bulut hizmetlerinden toplanan ve 13 Eylül'de açıklanan veriler üzerinde yaptığı analize göre, saldırganların hassas verilere erişim sağlamak için ortalama olarak yalnızca üç adıma ihtiyacı var; bunlar en sık olarak 78 Eylül'de başlayarak "taç mücevherleri" olarak adlandırılıyor. Vakaların %XNUMX'i bilinen bir güvenlik açığından yararlanılıyor.
Orca Security'nin CEO'su ve kurucu ortağı Avi Shua, güvenlik tartışmalarının büyük bir kısmının bulut kaynaklarının şirketler tarafından yanlış yapılandırılmasına odaklanmış olmasına rağmen, bulut sağlayıcılarının güvenlik açıklarını kapatmakta genellikle yavaş davrandığını söylüyor.
"Önemli olan, başlangıç vektörü olan temel nedenleri düzeltmek ve saldırganın atması gereken adım sayısını artırmaktır" diyor. "Uygun güvenlik kontrolleri, başlangıçta bir saldırı vektörü olsa bile kraliyet mücevherlerine hala ulaşamayacağınızı garanti edebilir."
The analiz edilen verileri raporla Orca'nın güvenlik araştırma ekibi, şirketin müşterilerinin düzenli olarak taradığı "AWS, Azure ve Google Cloud'daki milyarlarca bulut varlığından" gelen verileri kullanıyor. Veriler, bulut iş yükü ve yapılandırma verilerini, ortam verilerini ve 2022'nin ilk yarısında toplanan varlıklara ilişkin bilgileri içeriyordu.
Yamalanmamış Güvenlik Açıkları Bulut Riskinin Çoğuna Neden Olur
Analiz, bulutta yerel mimarilerle ilgili birkaç ana sorunu belirledi. Bulut sağlayıcılarının ve müşterilerinin bulut varlıklarının ortalama %11'i, son 180 gün içinde yama uygulanmamış olarak tanımlanan "ihmal edilmiş" olarak değerlendirildi. Bu altyapının en yaygın bileşenlerini oluşturan konteynerler ve sanal makineler, ihmal edilen bulut varlıklarının %89'undan fazlasını oluşturuyor.
Shua, "Paylaşılan sorumluluk modelinin her iki tarafında da iyileştirmeye yer var" diyor. "Eleştirmenler her zaman yamalama konusunda işin müşteri tarafına odaklandı, ancak son birkaç yılda bulut sağlayıcı tarafında zamanında çözülmeyen pek çok sorun yaşandı."
Aslında güvenlik açıklarını düzeltmek en kritik sorun olabilir çünkü ortalama bir konteyner, görüntü ve sanal makinede bilinen en az 50 güvenlik açığı vardı. Raporda Orca, saldırıların yaklaşık dörtte üçünün (%78) bilinen bir güvenlik açığından yararlanılmasıyla başladığını belirtti. Üstelik tüm şirketlerin onda biri, en az 10 yıllık bir güvenlik açığına sahip yazılım kullanan bir bulut varlığına sahip.
Ancak raporda, güvenlik açıklarından kaynaklanan güvenlik borcunun tüm varlıklara eşit şekilde dağıtılmadığı ortaya çıktı. Log68j güvenlik açıklarının üçte ikisinden fazlası (%4) sanal makinelerde bulundu. Ancak iş yükü varlıklarının yalnızca %5'i hâlâ Log4j güvenlik açıklarından en az birine sahip ve bunların yalnızca %10.5'i İnternet'ten hedeflenebiliyor.
Müşteri Tarafı Sorunları
Bir diğer önemli sorun ise şirketlerin üçte birinin bir bulut sağlayıcısında çok faktörlü kimlik doğrulama (MFA) tarafından korunmayan bir kök hesaba sahip olmasıdır. Orca'nın verilerine göre şirketlerin yüzde elli sekizi en az bir ayrıcalıklı kullanıcı hesabı için MFA'yı devre dışı bıraktı. MFA'nın ek güvenliğinin sağlanamaması, sistemleri ve hizmetleri kaba kuvvet saldırılarına ve parola püskürtmeye açık bırakır.
Orca, raporunda, kök hesaplar için MFA korumasına sahip olmayan firmaların %33'üne ek olarak, şirketlerin %12'sinin en az bir zayıf veya sızdırılmış parolaya sahip, İnternet'ten erişilebilen bir iş yüküne sahip olduğunu belirtti.
Shua, şirketlerin MFA'yı kendi kuruluşları genelinde (özellikle ayrıcalıklı hesaplar için) zorunlu kılmaya çalışması, güvenlik açıklarını daha hızlı değerlendirip düzeltmesi ve saldırganları yavaşlatmanın yollarını bulması gerektiğini söylüyor.
"Önemli olan, başlangıç vektörü olan temel nedenleri düzeltmek ve saldırganın atması gereken adım sayısını artırmaktır" diyor. "Uygun güvenlik kontrolleri, saldırganın ilk saldırı vektöründe başarılı olmasına rağmen yine de kraliyet mücevherlerine ulaşamamasını sağlayabilir."
Genel olarak, hem bulut sağlayıcılarının hem de ticari müşterilerinin tanımlanması ve yamalanması gereken güvenlik sorunları var ve her ikisinin de bu sorunları daha verimli bir şekilde kapatmanın yollarını bulması gerekiyor, diye ekliyor; Bulut altyapısının her alanında görünürlük ve tutarlı güvenlik kontrolleri çok önemlidir.
Shua, "Duvarların yeterince yüksek olmaması söz konusu değil" diyor. "Şatonun tamamını kaplamıyorlar."
