根据Tenable公司对其云安全客户的遥测数据报告发现,74%的客户存在公开暴露的存储或其他配置错误,给网络犯罪分子提供了可乘之机。
根据本周发布的云安全供应商Tenable的客户遥测研究显示,今年上半年有38%的企业至少有一个云工作负载处于关键漏洞状态,拥有高度权限并公开暴露。
报告指出,这种“有毒云三角”构建了一个高风险的攻击路径,使这些工作负载成为不法分子的首选目标。
报告进一步指出,“超过三分之一的企业可能会因此成为未来新闻头条的主角。”
即使工作负载中只存在一两个风险因素,对企业的安全也会带来巨大影响,研究报告指出。
Info-Tech Research Group的高级研究总监Jeremy Roberts(该研究并未与其相关)表示,终端用户企业在此过程中也有责任。
他说:“云和其他工具一样,如何使用才是关键。许多云安全漏洞并非由供应商引起,而是由于管理不善造成的,就像2019年Capital One的安全事件。权限应定期审核,零信任原则应得到应用,并使用集中管理(如控制塔)来标准化安全基线。”
漏洞问题
总体而言,研究报告指出,74%的企业存在公开暴露的存储,其中一些包含敏感数据,导致这种暴露的原因通常是不必要或过度的权限。随着企业加速使用云原生应用程序,他们存储的敏感数据量(包括客户和员工信息以及商业知识产权)也在增加,黑客正是以这些存储在云中的数据为目标。因此,报告期内许多针对云存储的勒索软件攻击都集中在那些拥有过多访问权限的公共云资源上,这些攻击本可以避免。
暴露存储的遥测数据显示,39%的企业拥有公开的存储桶,29%的企业拥有权限过高的公开或私有存储桶,6%的企业拥有权限过高的公开存储桶。
然而,存储问题并非唯一的问题,令人担忧的是,84%的企业拥有未使用或长期存在的访问密钥,且这些密钥具有关键或高度严重的过度权限。研究指出,这些问题在许多基于身份的攻击和数据泄露中起到了重要作用。研究列举了MGM Resorts数据泄露、微软电子邮件黑客事件以及FBot恶意软件等案例,这些恶意软件通过AWS的IAM(身份和访问管理)用户在AWS中保持持久性并传播。
研究报告称:“IAM风险的核心在于访问密钥及其分配的权限,两者结合,就相当于拿到了存储在云中的数据的‘钥匙’。”
此外,23%的主要云服务供应商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人类和非人类)具有关键或高度严重的过度权限,这无疑是一个灾难的配方。
根据Info-Tech Research Group的首席顾问Scott Young的说法,这种情况部分归因于人性。
Young表示:“授予人类账户高比例的关键权限反映了人类倾向于选择阻力最小的路径,然而,设置这些阻力是有原因的。”他说,“在使用系统时寻求更少的摩擦,会在账户被攻破时带来巨大潜在后果。”
研究还发现,高达78%的企业拥有公开可访问的Kubernetes API服务器,其中41%允许入站互联网访问,研究将此描述为“令人担忧的”,此外,58%的企业允许某些用户对Kubernetes环境进行不受限制的控制,44%的企业在特权模式下运行容器,这两种权限配置大大增加了安全风险。
在这些配置错误让系统本身变得脆弱的基础上,超过80%的工作负载仍存在未修复的关键CVE(如CVE-2024-21626),这是一个严重的容器逃逸漏洞,尽管修补程序已经可用。
缓解措施
Tenable提出了一系列缓解策略,帮助企业降低风险。
建立以上下文为驱动的安全文化:将身份、漏洞、配置错误和数据风险信息整合到一个统一的工具中,以获得准确的可视化、上下文和优先级排序。“并非所有风险都相同——识别有毒组合可以显著降低风险。”
严格管理Kubernetes/容器访问:遵守Pod安全标准,包括限制特权容器并强制执行访问控制。限制入站访问,限制对Kubernetes API服务器的入站访问,并确保Kubelet配置禁用匿名认证,此外,审查集群管理员角色绑定,确认是否真的有必要,如果没有必要,将用户绑定到权限较低的角色。
凭证和权限管理:定期轮换凭证,避免使用长期存在的访问密钥,并实施即时访问机制。定期审核和调整人类及非人类身份的权限,以遵循最小权限原则。
优先处理漏洞:将修补等修复工作重点放在高风险漏洞上,尤其是那些VPR分数较高的漏洞。
减少暴露:审查任何公开暴露的资产,以确定暴露是否必要,并确保不会危及机密信息或关键基础设施,及时进行修补。
关于治理、风险和合规(GRC)的讨论
Young指出,防止问题的关键并不是新概念。
他说:“从高层次来看,黑客攻击的结构并没有改变,攻击者需要找到你,通过一个入口点进入系统,并横向移动以寻找有价值的东西。”他补充道:“Tenable的报告显示,整体来看,我们在确保入口点安全以及保护和控制账户以限制横向移动方面进展缓慢,而云环境让我们更容易被发现。如果不显著提升安全实践的成熟度,完善流程,并进行彻底的审计,同时将自动化和编排结合起来以提高速度和一致性,这些问题的数量不会显著减少。简而言之,这份报告强有力地支持了一个运行良好的治理、风险和合规(GRC)实践。”