2022年公有云安全現(xiàn)狀調(diào)查：“皇冠上的寶石”仍然觸手可及

作者：安全牛 2023-02-03 12:28:10

云計(jì)算

云原生 容器、Kubernetes和無服務(wù)器等云原生服務(wù)在應(yīng)用時(shí)要比虛擬機(jī)更加輕量、便捷，使用的資源更少，運(yùn)行成本更低。但是，云原生應(yīng)用需要得到有效的安全維護(hù)，以確保不存在可能危及云環(huán)境的潛在漏洞或錯(cuò)誤配置。

公司主營業(yè)務(wù)：成都網(wǎng)站制作、網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出烏蘭察布免費(fèi)做網(wǎng)站回饋大家。

日前，Orca Security發(fā)布了《2022年公有云安全現(xiàn)狀報(bào)告》，對(duì)微軟Azure、谷歌云、亞馬遜AWS等全球主流公有云服務(wù)的安全狀況進(jìn)行了調(diào)研。研究人員發(fā)現(xiàn)，雖然許多企業(yè)將云計(jì)算應(yīng)用安全列為其IT建設(shè)的優(yōu)先事項(xiàng)，但仍有許多基本的安全措施沒有得到有效的遵循：78%的已識(shí)別攻擊使用了已知漏洞作為初始訪問攻擊向量，71%的用戶仍在使用公有云服務(wù)商提供的默認(rèn)業(yè)務(wù)帳號(hào)，62%的云上容器服務(wù)仍然由過時(shí)版本的Kubernetes編排運(yùn)行。

報(bào)告關(guān)鍵發(fā)現(xiàn)

• “皇冠上的寶石”觸手可及。調(diào)查發(fā)現(xiàn)，公有云上數(shù)據(jù)資產(chǎn)的非法訪問平均只需要3步就可以實(shí)現(xiàn)，這意味著攻擊者只需要在公有云環(huán)境中找到三個(gè)相互連接的可利用的缺陷就可以竊取數(shù)據(jù)或勒索組織；
• 云原生安全服務(wù)有待完善。云原生服務(wù)比虛擬化應(yīng)用很容易啟用，但它們必須要得到充分的安全維護(hù)和正確的配置。數(shù)據(jù)顯示，70%的企業(yè)在公有云應(yīng)用時(shí)，存在可公開訪問的Kubernetes API服務(wù)器和相關(guān)應(yīng)用；
• 漏洞是目前公有云安全事件中最主要的初始攻擊向量。78%的已識(shí)別攻擊路徑使用了已知漏洞（CVE）作為初始訪問攻擊向量，這突出表明企業(yè)需要更加優(yōu)先考慮加強(qiáng)漏洞管理；
• 云上存儲(chǔ)資產(chǎn)安全性不足：在大多數(shù)共有云環(huán)境中都可以找到可公開訪問的S3存儲(chǔ)桶和Azure blob存儲(chǔ)資產(chǎn)，這是一種極易被攻擊者利用的違規(guī)配置，也是許多云上數(shù)據(jù)泄露的原因；
• 基本的安全實(shí)踐沒有得到遵循：公有云上的許多基本安全措施，如多因素身份驗(yàn)證（MFA）、加密、強(qiáng)密碼和端口安全性等，仍然沒有得到有效的應(yīng)用。

脆弱性管理形勢(shì)嚴(yán)峻

每天都有大量的安全漏洞被發(fā)現(xiàn)，很多企業(yè)組織難以跟上漏洞修復(fù)的節(jié)奏。許多組織在修補(bǔ)新發(fā)現(xiàn)的漏洞方面明顯落后，有些組織甚至還沒有解決已經(jīng)存在很久的安全漏洞：

• 10%的受訪企業(yè)還存在10年以上的已披露漏洞；
• 受訪企業(yè)中有11%的網(wǎng)絡(luò)資產(chǎn)處于不受監(jiān)管的狀態(tài)，這意味著一些IT系統(tǒng)資產(chǎn)使用了不受支持的操作系統(tǒng)（如CentOS 6、Linux 32位或Windows Server 2012）；
• 7%的受訪組織擁有面向互聯(lián)網(wǎng)的開放端口。這對(duì)公有云應(yīng)用而言非常危險(xiǎn)，因?yàn)楣粽邥?huì)不斷掃描開放端口和已知漏洞，這意味著安全災(zāi)難隨時(shí)可能發(fā)生；
• 令人震驚的是，78%的已識(shí)別攻擊路徑使用已知漏洞作為初始訪問攻擊向量。

從以上數(shù)據(jù)可以發(fā)現(xiàn)，組織應(yīng)該投入更多精力來管理漏洞。這通常不是運(yùn)行更新的簡(jiǎn)單問題，漏洞補(bǔ)丁需要嚴(yán)格的測(cè)試，以確保更新不會(huì)造成更多、更嚴(yán)重的問題。組織必須了解哪些漏洞構(gòu)成了通往公司“皇冠上的寶石”的危險(xiǎn)攻擊路徑，需要深入而廣泛地了解云工作負(fù)載、配置和識(shí)別風(fēng)險(xiǎn)，以及如何組合這些風(fēng)險(xiǎn)。通過這種方式，企業(yè)安全團(tuán)隊(duì)才可以專注于優(yōu)先修復(fù)那些最危險(xiǎn)的漏洞。

未實(shí)現(xiàn)最小權(quán)限原則

身份和訪問管理的關(guān)鍵要求是堅(jiān)持最小權(quán)限原則（PoLP），但是報(bào)告研究發(fā)現(xiàn)，許多企業(yè)在公有云環(huán)境應(yīng)用中，仍然缺乏足夠PoLP措施：

• 報(bào)告發(fā)現(xiàn)，在44%的企業(yè)公有云應(yīng)用中，至少有一個(gè)特權(quán)身份訪問管理角色。如果攻擊者獲得了特權(quán)憑據(jù)，他們不僅獲得了對(duì)系統(tǒng)的訪問權(quán)，而且還難以被及時(shí)發(fā)現(xiàn)。對(duì)特權(quán)訪問進(jìn)行合理限制可以大大減少公有云應(yīng)用的攻擊面；
• 71%的用戶仍在使用公有云服務(wù)商提供的默認(rèn)業(yè)務(wù)帳號(hào)。這樣做并不安全，因?yàn)槟J(rèn)情況下，此帳戶會(huì)給予使用者Editor權(quán)限，這與PoLP的防護(hù)要求并不一致；
• 在42%被掃描的共有云資產(chǎn)中，管理權(quán)限被授予了超過50%的企業(yè)用戶。這表明公有云上的特權(quán)濫用情況非常普遍。

云配置錯(cuò)誤大量存在

Gartner在其《2021年云安全炒作周期》中預(yù)測(cè)，到2025年，超過99%的云上數(shù)據(jù)泄露會(huì)源于終端用戶可預(yù)防的錯(cuò)誤配置或錯(cuò)誤。首席信息官們必須改變他們的安全建設(shè)思維方式，從“云計(jì)算安全嗎?”到“我是否在安全地使用云？”。從本次報(bào)告研究來看，再次印證了這一預(yù)測(cè)觀點(diǎn)：

• 8%的用戶配置了帶有公共訪問策略的KMS密鑰。這將為惡意行為者創(chuàng)建一個(gè)容易實(shí)現(xiàn)的攻擊載體；
• 51%的企業(yè)擁有谷歌存儲(chǔ)桶，但沒有統(tǒng)一的訪問管理。如果訪問級(jí)別不統(tǒng)一，則存儲(chǔ)桶的訪問既可以通過訪問控制列表（ACL）控制，也可以通過IAM控制。這樣容易出現(xiàn)錯(cuò)誤配置，如果被惡意利用，可能會(huì)允許攻擊者橫向移動(dòng)和權(quán)限升級(jí)；
• 77%的組織至少有一個(gè)RDS數(shù)據(jù)庫實(shí)例使用默認(rèn)端口，其中42%是面向互聯(lián)網(wǎng)的。企業(yè)應(yīng)該及時(shí)更改RDS數(shù)據(jù)庫的端口，因?yàn)槿绻麧撛诘墓粽咧榔髽I(yè)正在使用哪些端口，那么嗅探測(cè)試就會(huì)容易得多。

云原生安全仍不完善

容器、Kubernetes和無服務(wù)器等云原生服務(wù)在應(yīng)用時(shí)要比虛擬機(jī)更加輕量、便捷，使用的資源更少，運(yùn)行成本更低。但是，云原生應(yīng)用需要得到有效的安全維護(hù)，以確保不存在可能危及云環(huán)境的潛在漏洞或錯(cuò)誤配置。本次調(diào)研發(fā)現(xiàn)：

• 62%的容器仍然由過時(shí)版本Kubernetes編排運(yùn)行；
• 69%的組織至少有一個(gè)無服務(wù)器函數(shù)暴露環(huán)境變量中的隱私信息；
• 16%的容器處于被無監(jiān)管狀態(tài)，這意味著它們使用不受支持的操作系統(tǒng)，或者已經(jīng)長(zhǎng)期沒有補(bǔ)丁更新。

參考鏈接：??https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/??

文章題目：2022年公有云安全現(xiàn)狀調(diào)查：“皇冠上的寶石”仍然觸手可及
瀏覽路徑：http://m.5511xx.com/article/copodsi.html