根據(jù)Tenable公司對其云安全客戶的遙測數(shù)據(jù)報告發(fā)現(xiàn)，74%的客戶存在公開暴露的存儲或其他配置錯誤，給網(wǎng)絡(luò)犯罪分子提供了可乘之機。

　　根據(jù)本周發(fā)布的云安全供應(yīng)商Tenable的客戶遙測研究顯示，今年上半年有38%的企業(yè)至少有一個云工作負載處于關(guān)鍵漏洞狀態(tài)，擁有高度權(quán)限并公開暴露。

　　報告指出，這種“有毒云三角”構(gòu)建了一個高風險的攻擊路徑，使這些工作負載成為不法分子的首選目標。

　　報告進一步指出，“超過三分之一的企業(yè)可能會因此成為未來新聞頭條的主角。”

　　即使工作負載中只存在一兩個風險因素，對企業(yè)的安全也會帶來巨大影響，研究報告指出。

　　Info-Tech Research Group的高級研究總監(jiān)Jeremy Roberts(該研究并未與其相關(guān))表示，終端用戶企業(yè)在此過程中也有責任。

　　他說：“云和其他工具一樣，如何使用才是關(guān)鍵。許多云安全漏洞并非由供應(yīng)商引起，而是由于管理不善造成的，就像2019年Capital One的安全事件。權(quán)限應(yīng)定期審核，零信任原則應(yīng)得到應(yīng)用，并使用集中管理(如控制塔)來標準化安全基線。”

　　漏洞問題

　　總體而言，研究報告指出，74%的企業(yè)存在公開暴露的存儲，其中一些包含敏感數(shù)據(jù)，導致這種暴露的原因通常是不必要或過度的權(quán)限。隨著企業(yè)加速使用云原生應(yīng)用程序，他們存儲的敏感數(shù)據(jù)量(包括客戶和員工信息以及商業(yè)知識產(chǎn)權(quán))也在增加，黑客正是以這些存儲在云中的數(shù)據(jù)為目標。因此，報告期內(nèi)許多針對云存儲的勒索軟件攻擊都集中在那些擁有過多訪問權(quán)限的公共云資源上，這些攻擊本可以避免。

　　暴露存儲的遙測數(shù)據(jù)顯示，39%的企業(yè)擁有公開的存儲桶，29%的企業(yè)擁有權(quán)限過高的公開或私有存儲桶，6%的企業(yè)擁有權(quán)限過高的公開存儲桶。

　　然而，存儲問題并非唯一的問題，令人擔憂的是，84%的企業(yè)擁有未使用或長期存在的訪問密鑰，且這些密鑰具有關(guān)鍵或高度嚴重的過度權(quán)限。研究指出，這些問題在許多基于身份的攻擊和數(shù)據(jù)泄露中起到了重要作用。研究列舉了MGM Resorts數(shù)據(jù)泄露、微軟電子郵件黑客事件以及FBot惡意軟件等案例，這些惡意軟件通過AWS的IAM(身份和訪問管理)用戶在AWS中保持持久性并傳播。

　　研究報告稱：“IAM風險的核心在于訪問密鑰及其分配的權(quán)限，兩者結(jié)合，就相當于拿到了存儲在云中的數(shù)據(jù)的‘鑰匙’。”

　　此外，23%的主要云服務(wù)供應(yīng)商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人類和非人類)具有關(guān)鍵或高度嚴重的過度權(quán)限，這無疑是一個災(zāi)難的配方。

　　根據(jù)Info-Tech Research Group的首席顧問Scott Young的說法，這種情況部分歸因于人性。

　　Young表示：“授予人類賬戶高比例的關(guān)鍵權(quán)限反映了人類傾向于選擇阻力最小的路徑，然而，設(shè)置這些阻力是有原因的。”他說，“在使用系統(tǒng)時尋求更少的摩擦，會在賬戶被攻破時帶來巨大潛在后果。”

　　研究還發(fā)現(xiàn)，高達78%的企業(yè)擁有公開可訪問的Kubernetes API服務(wù)器，其中41%允許入站互聯(lián)網(wǎng)訪問，研究將此描述為“令人擔憂的”，此外，58%的企業(yè)允許某些用戶對Kubernetes環(huán)境進行不受限制的控制，44%的企業(yè)在特權(quán)模式下運行容器，這兩種權(quán)限配置大大增加了安全風險。

　　在這些配置錯誤讓系統(tǒng)本身變得脆弱的基礎(chǔ)上，超過80%的工作負載仍存在未修復的關(guān)鍵CVE(如CVE-2024-21626)，這是一個嚴重的容器逃逸漏洞，盡管修補程序已經(jīng)可用。

　　緩解措施

　　Tenable提出了一系列緩解策略，幫助企業(yè)降低風險。

　　建立以上下文為驅(qū)動的安全文化：將身份、漏洞、配置錯誤和數(shù)據(jù)風險信息整合到一個統(tǒng)一的工具中，以獲得準確的可視化、上下文和優(yōu)先級排序。“并非所有風險都相同——識別有毒組合可以顯著降低風險。”

　　嚴格管理Kubernetes/容器訪問：遵守Pod安全標準，包括限制特權(quán)容器并強制執(zhí)行訪問控制。限制入站訪問，限制對Kubernetes API服務(wù)器的入站訪問，并確保Kubelet配置禁用匿名認證，此外，審查集群管理員角色綁定，確認是否真的有必要，如果沒有必要，將用戶綁定到權(quán)限較低的角色。

　　憑證和權(quán)限管理：定期輪換憑證，避免使用長期存在的訪問密鑰，并實施即時訪問機制。定期審核和調(diào)整人類及非人類身份的權(quán)限，以遵循最小權(quán)限原則。

　　優(yōu)先處理漏洞：將修補等修復工作重點放在高風險漏洞上，尤其是那些VPR分數(shù)較高的漏洞。

　　減少暴露：審查任何公開暴露的資產(chǎn)，以確定暴露是否必要，并確保不會危及機密信息或關(guān)鍵基礎(chǔ)設(shè)施，及時進行修補。

　　關(guān)于治理、風險和合規(guī)(GRC)的討論

　　Young指出，防止問題的關(guān)鍵并不是新概念。

　　他說：“從高層次來看，黑客攻擊的結(jié)構(gòu)并沒有改變，攻擊者需要找到你，通過一個入口點進入系統(tǒng)，并橫向移動以尋找有價值的東西。”他補充道：“Tenable的報告顯示，整體來看，我們在確保入口點安全以及保護和控制賬戶以限制橫向移動方面進展緩慢，而云環(huán)境讓我們更容易被發(fā)現(xiàn)。如果不顯著提升安全實踐的成熟度，完善流程，并進行徹底的審計，同時將自動化和編排結(jié)合起來以提高速度和一致性，這些問題的數(shù)量不會顯著減少。簡而言之，這份報告強有力地支持了一個運行良好的治理、風險和合規(guī)(GRC)實踐。”