日前,Orca Security发布了《2022年公有云安全现状报告》,对微软Azure、谷歌云、亚马逊AWS等全球主流公有云服务的安全状况进行了调研。研究人员发现,虽然许多企业将云计算应用安全列为其IT建设的优先事项,但仍有许多基本的安全措施没有得到有效的遵循:78%的已识别攻击使用了已知漏洞作为初始访问攻击向量,71%的用户仍在使用公有云服务商提供的默认业务帐号,62%的云上容器服务仍然由过时版本的Kubernetes编排运行。
报告关键发现
- “皇冠上的宝石”触手可及。调查发现,公有云上数据资产的非法访问平均只需要3步就可以实现,这意味着攻击者只需要在公有云环境中找到三个相互连接的可利用的缺陷就可以窃取数据或勒索组织;
- 云原生安全服务有待完善。云原生服务比虚拟化应用很容易启用,但它们必须要得到充分的安全维护和正确的配置。数据显示,70%的企业在公有云应用时,存在可公开访问的Kubernetes API服务器和相关应用;
- 漏洞是目前公有云安全事件中最主要的初始攻击向量。78%的已识别攻击路径使用了已知漏洞(CVE)作为初始访问攻击向量,这突出表明企业需要更加优先考虑加强漏洞管理;
- 云上存储资产安全性不足:在大多数共有云环境中都可以找到可公开访问的S3存储桶和Azure blob存储资产,这是一种极易被攻击者利用的违规配置,也是许多云上数据泄露的原因;
- 基本的安全实践没有得到遵循:公有云上的许多基本安全措施,如多因素身份验证(MFA)、加密、强密码和端口安全性等,仍然没有得到有效的应用。
脆弱性管理形势严峻
每天都有大量的安全漏洞被发现,很多企业组织难以跟上漏洞修复的节奏。许多组织在修补新发现的漏洞方面明显落后,有些组织甚至还没有解决已经存在很久的安全漏洞:
- 10%的受访企业还存在10年以上的已披露漏洞;
- 受访企业中有11%的网络资产处于不受监管的状态,这意味着一些IT系统资产使用了不受支持的操作系统(如CentOS 6、Linux 32位或Windows Server 2012);
- 7%的受访组织拥有面向互联网的开放端口。这对公有云应用而言非常危险,因为攻击者会不断扫描开放端口和已知漏洞,这意味着安全灾难随时可能发生;
- 令人震惊的是,78%的已识别攻击路径使用已知漏洞作为初始访问攻击向量。
从以上数据可以发现,组织应该投入更多精力来管理漏洞。这通常不是运行更新的简单问题,漏洞补丁需要严格的测试,以确保更新不会造成更多、更严重的问题。组织必须了解哪些漏洞构成了通往公司“皇冠上的宝石”的危险攻击路径,需要深入而广泛地了解云工作负载、配置和识别风险,以及如何组合这些风险。通过这种方式,企业安全团队才可以专注于优先修复那些最危险的漏洞。
未实现最小权限原则
身份和访问管理的关键要求是坚持最小权限原则(PoLP),但是报告研究发现,许多企业在公有云环境应用中,仍然缺乏足够PoLP措施:
- 报告发现,在44%的企业公有云应用中,至少有一个特权身份访问管理角色。如果攻击者获得了特权凭据,他们不仅获得了对系统的访问权,而且还难以被及时发现。对特权访问进行合理限制可以大大减少公有云应用的攻击面;
- 71%的用户仍在使用公有云服务商提供的默认业务帐号。这样做并不安全,因为默认情况下,此帐户会给予使用者Editor权限,这与PoLP的防护要求并不一致;
- 在42%被扫描的共有云资产中,管理权限被授予了超过50%的企业用户。这表明公有云上的特权滥用情况非常普遍。
云配置错误大量存在
Gartner在其《2021年云安全炒作周期》中预测,到2025年,超过99%的云上数据泄露会源于终端用户可预防的错误配置或错误。首席信息官们必须改变他们的安全建设思维方式,从“云计算安全吗?”到“我是否在安全地使用云?”。从本次报告研究来看,再次印证了这一预测观点:
- 8%的用户配置了带有公共访问策略的KMS密钥。这将为恶意行为者创建一个容易实现的攻击载体;
- 51%的企业拥有谷歌存储桶,但没有统一的访问管理。如果访问级别不统一,则存储桶的访问既可以通过访问控制列表(ACL)控制,也可以通过IAM控制。这样容易出现错误配置,如果被恶意利用,可能会允许攻击者横向移动和权限升级;
- 77%的组织至少有一个RDS数据库实例使用默认端口,其中42%是面向互联网的。企业应该及时更改RDS数据库的端口,因为如果潜在的攻击者知道企业正在使用哪些端口,那么嗅探测试就会容易得多。
云原生安全仍不完善
容器、Kubernetes和无服务器等云原生服务在应用时要比虚拟机更加轻量、便捷,使用的资源更少,运行成本更低。但是,云原生应用需要得到有效的安全维护,以确保不存在可能危及云环境的潜在漏洞或错误配置。本次调研发现:
- 62%的容器仍然由过时版本Kubernetes编排运行;
- 69%的组织至少有一个无服务器函数暴露环境变量中的隐私信息;
- 16%的容器处于被无监管状态,这意味着它们使用不受支持的操作系统,或者已经长期没有补丁更新。
参考链接:https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/