2022公有云安全现状调查：“皇冠上的明珠”依然触手可及

日前，OrcaSecurity发布《2022年公有云安全现状报告》，对全球主流公有云服务如MicrosoftAzure、GoogleCloud、和亚马逊AWS。研究过。研究人员发现，虽然许多企业将云计算应用程序安全作为其IT基础架构的优先事项，但许多基本安全措施仍未得到有效遵循：78%的已识别攻击使用已知漏洞作为初始访问攻击Vector，71%的用户仍然使用公共云服务提供商提供的默认业务帐户，62%的云容器服务仍然由过时版本的Kubernetes编排和运行。“皇冠上的明珠”触手可及，报告的主要发现。调查发现，公有云上数据资产的非法访问平均只需3步，这意味着攻击者只需在公有云环境中找到三个相互关联且可利用的漏洞，即可窃取数据或勒索组织；云原生安全服务有待提升。云原生服务比虚拟化应用程序更容易启用，但它们必须得到充分保护和正确配置。数据显示，70%的企业在使用公有云时拥有可公开访问的KubernetesAPI服务器及相关应用；漏洞是目前公共云安全事件中最重要的初始攻击媒介。78%的已识别攻击路径使用已知漏洞（CVE）作为初始访问攻击向量，凸显企业需要更加重视加强漏洞管理；云上存储资产的安全性不足：在大多数公共云环境中都可以找到可公开访问的S3存储桶和Azureblob存储资产，这是一种容易被攻击者利用的配置违规，也是许多云上数据泄露的原因；基本安全实践未遵循：公有云上的许多基本安全措施，如多因素身份验证（MFA）、加密、强密码和端口安全等仍然没有得到有效应用。漏洞治理形势严峻。每天都会发现大量的安全漏洞，许多企业组织难以跟上漏洞修复的步伐。许多组织在修补新发现的漏洞方面明显落后，一些组织甚至没有解决长期存在的安全漏洞：10%的受访企业仍然披露了10年以上的漏洞；资产不受监管，这意味着某些IT系统资产使用不受支持的操作系统（例如CentOS6、Linux32位或WindowsServer2012）；7%的受访组织拥有面向Internet的开放端口。这对于公有云应用来说是非常危险的，因为攻击者不断扫描开放端口和已知漏洞，这意味着安全灾难随时可能发生；令人震惊的是，78%的已识别攻击路径使用已知漏洞作为初始访问攻击向量。从以上数据可以看出，组织应该在管理漏洞上投入更多的精力。运行更新通常不是一件简单的事情，错误修复需要进行严格的测试，以确保更新不会导致更多、更严重的问题。组织必须了解哪些漏洞构成了对公司“皇冠上的明珠”的危险攻击路径，这需要对云工作负载、配置和识别风险以及这些风险如何组合有深入而广泛的了解。这样，企业安全团队就可以集中精力首先修复最危险的漏洞。最小权限原则未落实身份和访问管理的关键要求是坚持最小权限原则（PoLP），但报告发现，许多企业在公共云环境应用中仍然缺乏足够的PoLP措施：报告发现也就是说，44%的企业在云应用中，必须至少有一个特权身份访问管理角色。如果攻击者获得特权凭据，他们不仅可以访问系统，而且也很难及时检测到。合理限制特权访问，可以大大减少公有云应用的攻击面；71%的用户仍在使用公共云服务提供商提供的默认企业帐户。这样做是不安全的，因为默认情况下，这个账号会给用户Editor权限，不符合PoLP的保护要求；在扫描的42%的公有云资产中，管理权被授予超过50%的企业用户。这表明公共云上的特权滥用非常普遍。存在很多云配置错误Gartner在其《2021年云安全炒作周期》中预测，到2025年，超过99%的云数据泄露将由最终用户可预防的错误配置或错误引起。CIO必须改变他们的安全思维方式，从“云安全吗？”到“我是否安全地使用云？”从本报告的研究来看，这一预测观点再次得到印证：8%的用户配置了KMS密钥公开访问策略。这将为恶意行为者创建一个简单的攻击媒介；51%的企业拥有Google存储桶，但没有统一的访问管理。如果访问级别不统一，可以通过访问控制列表（ACL）或IAM来控制对桶的访问。这很容易出现配置错误，如果被恶意利用，可能允许攻击者横向移动并提升权限；77%的组织至少有一个使用默认端口的RDS数据库实例，其中42%的实例面向Internet。组织应及时更改RDS数据库的端口，因为如果潜在的攻击者知道组织正在使用哪些端口，则嗅探测试会容易得多。云原生安全性仍然不完善。容器、Kubernetes、Serverless等云原生服务在应用时比虚拟机更轻便、使用资源更少、运营成本更低。然而，云原生应用程序需要得到有效保护，以确保不存在可能危及云环境的潜在漏洞或错误配置。调查发现：62%的容器仍然由过时版本的Kubernetes编排；69%的组织至少有一个无服务器功能，可以在环境变量中公开私人信息；16%的容器是不受监督的，这意味着它们使用不受支持的操作系统，或者很长时间没有打补丁。参考链接：https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/