Các công ty và nhà cung cấp đám mây của họ thường để ngỏ các lỗ hổng bảo mật trong hệ thống và dịch vụ của họ, tạo điều kiện cho kẻ tấn công một con đường dễ dàng để truy cập vào dữ liệu quan trọng.
Theo phân tích của Orca Security về dữ liệu được thu thập từ các dịch vụ đám mây lớn và được phát hành vào ngày 13 tháng 78, trung bình những kẻ tấn công chỉ cần ba bước để có quyền truy cập vào dữ liệu nhạy cảm, cái gọi là “viên ngọc quý”, bắt đầu thường xuyên nhất - trong XNUMX% trường hợp — khai thác một lỗ hổng đã biết.
Avi Shua, Giám đốc điều hành và đồng sáng lập của Orca Security cho biết, mặc dù phần lớn cuộc thảo luận về bảo mật tập trung vào việc các công ty cấu hình sai tài nguyên đám mây, nhưng các nhà cung cấp đám mây thường chậm khắc phục các lỗ hổng.
Ông nói: “Điều quan trọng là khắc phục các nguyên nhân gốc rễ, đó là vectơ ban đầu và tăng số bước mà kẻ tấn công cần thực hiện”. “Các biện pháp kiểm soát bảo mật thích hợp có thể đảm bảo rằng ngay cả khi có vectơ tấn công ban đầu, bạn vẫn không thể tiếp cận được những viên ngọc quý.”
Sản phẩm báo cáo phân tích dữ liệu từ nhóm nghiên cứu bảo mật của Orca sử dụng dữ liệu từ “hàng tỷ tài sản đám mây trên AWS, Azure và Google Cloud” mà khách hàng của công ty thường xuyên quét. Dữ liệu bao gồm dữ liệu cấu hình và khối lượng công việc trên đám mây, dữ liệu môi trường và thông tin về tài sản được thu thập trong nửa đầu năm 2022.
Các lỗ hổng chưa được vá gây ra hầu hết rủi ro cho đám mây
Phân tích đã xác định một số vấn đề chính với kiến trúc dựa trên nền tảng đám mây. Trung bình, 11% tài sản đám mây của nhà cung cấp đám mây và khách hàng của họ bị coi là “bị bỏ quên”, được định nghĩa là chưa được vá trong 180 ngày qua. Các container và máy ảo, những thành phần phổ biến nhất của cơ sở hạ tầng như vậy, chiếm hơn 89% tài sản đám mây bị bỏ quên.
Shua nói: “Có chỗ để cải thiện ở cả hai phía của mô hình trách nhiệm chung. “Các nhà phê bình luôn tập trung vào phía khách hàng [để vá lỗi], nhưng trong vài năm qua, có khá nhiều vấn đề ở phía nhà cung cấp đám mây chưa được khắc phục kịp thời.”
Trên thực tế, việc sửa các lỗ hổng có thể là vấn đề nghiêm trọng nhất vì vùng chứa, hình ảnh và máy ảo trung bình có ít nhất 50 lỗ hổng đã biết. Khoảng 78/10 - XNUMX% - các cuộc tấn công bắt đầu bằng việc khai thác một lỗ hổng đã biết, Orca cho biết trong báo cáo. Hơn nữa, XNUMX/XNUMX tổng số công ty có tài sản đám mây sử dụng phần mềm có lỗ hổng ít nhất XNUMX năm tuổi.
Tuy nhiên, báo cáo cho thấy khoản nợ bảo mật do các lỗ hổng bảo mật gây ra không được phân bổ đồng đều trên tất cả các tài sản. Hơn hai phần ba - 68% - lỗ hổng Log4j được tìm thấy trong các máy ảo. Tuy nhiên, chỉ 5% tài sản khối lượng công việc vẫn còn ít nhất một trong các lỗ hổng Log4j và chỉ 10.5% trong số đó có thể bị nhắm mục tiêu từ Internet.
Các vấn đề từ phía khách hàng
Một vấn đề lớn khác là 1/3 số công ty có tài khoản root với nhà cung cấp đám mây không được bảo vệ bằng xác thực đa yếu tố (MFA). Theo dữ liệu của Orca, 58% các công ty đã vô hiệu hóa MFA đối với ít nhất một tài khoản người dùng đặc quyền. Việc không cung cấp bảo mật bổ sung cho MFA sẽ khiến các hệ thống và dịch vụ có nguy cơ bị tấn công vũ phu và dò mật khẩu.
Ngoài 33% công ty thiếu biện pháp bảo vệ MFA cho tài khoản root, 12% công ty có khối lượng công việc có thể truy cập Internet với ít nhất một mật khẩu yếu hoặc bị rò rỉ, Orca cho biết trong báo cáo của mình.
Shua cho biết, các công ty nên tìm cách thực thi MFA trên toàn tổ chức của mình (đặc biệt đối với các tài khoản đặc quyền), đánh giá và khắc phục các lỗ hổng nhanh hơn cũng như tìm cách làm chậm những kẻ tấn công.
Ông nói: “Điều quan trọng là khắc phục các nguyên nhân gốc rễ, đó là vectơ ban đầu và tăng số bước mà kẻ tấn công cần thực hiện”. “Các biện pháp kiểm soát bảo mật thích hợp có thể đảm bảo rằng ngay cả khi kẻ tấn công thành công với vectơ tấn công ban đầu, chúng vẫn không thể tiếp cận được những viên ngọc quý.”
Nhìn chung, cả nhà cung cấp đám mây và khách hàng doanh nghiệp của họ đều có các vấn đề bảo mật cần được xác định và vá lỗi, đồng thời cả hai đều cần tìm cách giải quyết các vấn đề đó một cách hiệu quả hơn, ông nói thêm; khả năng hiển thị và kiểm soát bảo mật nhất quán trên tất cả các khía cạnh của cơ sở hạ tầng đám mây là chìa khóa.
Shua nói: “Không phải là tường của họ không đủ cao. “Đó là họ không bao phủ toàn bộ lâu đài.”
