信息來源：安全內參

 

Orca最新公共云安全報告指出，大多數(shù)企業(yè)雖將云安全列為自身IT首要工作重點，卻一直忽視了云端數(shù)據(jù)的基本安全措施。報告揭示，36%的企業(yè)在其云端資產中混有未加密的敏感數(shù)據(jù)，如公司秘密和個人身份信息等。

全球新冠肺炎疫情加快了邁向云計算的轉變，因為突然大規(guī)模轉為遠程辦公迫使公司保證員工能從任何地點訪問業(yè)務系統(tǒng)。

Gartner預測，今年花在全球公共云計算服務上的支出會增長20.4%，達到4947億美元，并預計2023年將達到近6000億美元。

在匆忙將IT資源挪到云端的過程中，企業(yè)難以跟上不斷擴大的云攻擊面和日漸增加的多云復雜性。Orca報告指出，目前網絡安全熟手短缺的狀況又進一步惡化了企業(yè)的這種窘境。

在Orca Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua看來，云端風險并不比本地環(huán)境中的風險大，只不過，這兩種風險不一樣。

“在本地環(huán)境中，企業(yè)可以更好地控制其基礎設施。”Shua稱，“然而，這未必是好事。相比很多企業(yè)，云服務提供商用來確?；A設施安全的專用資源通常要豐富得多。共享責任模式下，企業(yè)仍然對其在云端運行的應用程序和服務負責，所面臨的風險與本地環(huán)境類似。云安全不同于本地環(huán)境安全的地方在于文化轉變：云端任何事務都比本地快得多，而且存在更多托管服務，帶來了異于本地環(huán)境的安全威脅。

 

越來越難以修復所有漏洞

企業(yè)難以跟上每天曝出的諸多漏洞。很多企業(yè)在修復新發(fā)現(xiàn)漏洞方面都力不從心，而且有些企業(yè)連很早之前發(fā)現(xiàn)的漏洞都還沒修復。

報告揭示，許多企業(yè)甚至存在十幾年前就披露了的漏洞；并指出，嚴重漏洞構成了78%的初始攻擊途徑，應盡快修復。

“一些企業(yè)仍然存在此類老漏洞，是因為常留有不支持更新操作系統(tǒng)的過時應用程序，無法輕松修復?！?span>Shua表示。

Shua建議，如果是這種情況，企業(yè)應嘗試將這些系統(tǒng)與其他資產隔離開來，防止接觸環(huán)境中其他部分。

“另一個原因是有時候團隊職責不明確，問題分配不當，導致漏洞長時間未得到修復?！?span>Shua補充道。她表示，修復所有漏洞幾乎是不可能的，企業(yè)應當認清這一點；團隊必須了解哪些漏洞可對公司最敏感、最有價值的信息構成最大風險，從而進行戰(zhàn)略性修復。

 

Log4Shell漏洞問題依然存在

2021年12月，Apache Log4j曝出嚴重零日漏洞。這個名為“Log4Shell”的漏洞非常便于利用，可致未經身份驗證的遠程代碼執(zhí)行，并且剛披露之時尚未推出可用的補丁。開源開發(fā)人員匆忙發(fā)布的幾個補丁反而又引入了新的漏洞，一直到第四個補丁發(fā)布，問題才終于得到解決。

然而，報告稱，企業(yè)仍然受到此漏洞的影響。近5%的工作負載資產仍然存在至少一個Log4j漏洞，其中10.5%是面向互聯(lián)網的。2021年12月至2022年1月間發(fā)現(xiàn)的Log4j漏洞中，有30%仍未解決，其中6.2%可能會暴露個人身份信息。

容器和容器鏡像中也存在相當多的Log4j漏洞。報告指出，鏡像的問題尤其嚴重，因為每次使用鏡像時都會重現(xiàn)這些漏洞。

 

被忽視的資產成了攻擊者的入口

攻擊者常利用被忽視的資產進入企業(yè)環(huán)境。其中一種被忽視的資產是使用CentOS 6、32位Linux、Windows Server 2012等不受支持的操作系統(tǒng)，或超過180天仍未修復的云資產。

報告稱：“一些企業(yè)仍然存在遭忽視的資產，是因為他們仍留有不支持更新操作系統(tǒng)的老舊應用程序?！?span>

Orca指出，平均而言，企業(yè)資產中11%處于安全遭忽視的狀態(tài)，且10%的企業(yè)有超過30%的工作負載處于安全遭忽視的狀態(tài)；19%的已知攻擊路徑將被忽視的資產作為初始訪問攻擊途徑；而所有遭忽視的資產中，絕大多數(shù)是容器，近半數(shù)運行的是不受支持的Alpine操作系統(tǒng)版本。

 

漏洞源于密鑰錯誤配置

Gartner預測，到2025年，超過99%的云數(shù)據(jù)泄露源自可預防的最終用戶錯誤配置或錯誤操作。

管理員可以使用AWS Key Management Service（KMS：密鑰管理服務）創(chuàng)建、刪除和管理用于加密AWS數(shù)據(jù)庫和各種產品中所存數(shù)據(jù)的密鑰。8%的企業(yè)采用公共訪問策略配置KMS密鑰。報告指出：“這么做尤其危險，因為給惡意方鋪設了相當便捷的攻擊途徑。”

此外，99%的企業(yè)使用至少一個默認KMS密鑰。

79%的企業(yè)持有至少一個使用時長超過90天的密鑰。報告稱，最佳做法是設置密鑰只要使用時長超過90天就必須輪換，從而限制被盜IAM（身份與訪問管理）訪問密鑰提供AWS賬戶訪問權限的時長。

大約51%的企業(yè)沒有為其Google Storage存儲桶配置統(tǒng)一的存儲桶級訪問權限。報告指出，“如果沒有統(tǒng)一設置權限級別，攻擊者就可以橫向移動并獲得更高的權限級別，通過創(chuàng)建或更新其有權訪問的角色的內聯(lián)策略，還可以提升其特權。”

 

公司需保護其最有價值的數(shù)據(jù)資產

公司最有價值的資產包括個人身份信息、客戶及潛在客戶數(shù)據(jù)庫、員工和人力資源信息、企業(yè)財務信息、知識產權，以及生產服務器。公司需采用最高安全標準保護此類資產，并在決定哪些風險需首先緩解時將之排在最高優(yōu)先級。

大約36%的企業(yè)在文件、存儲桶、容器和無服務器環(huán)境中存放有秘密和個人身份信息等敏感數(shù)據(jù)。

報告稱：“加密可大大降低敏感數(shù)據(jù)遭無意暴露的可能性，而且只要不被破解，就能消除數(shù)據(jù)泄露的影響。”

此外，35%的企業(yè)有至少一項面向互聯(lián)網的工作負載在Git存儲庫中存有敏感信息。Orca報告中寫道：“網絡罪犯可以輕易提取這些信息，并使用這些信息來入侵你的系統(tǒng)?！?/div>