調查:三分之一的企業未加密云端敏感數據
責編:gltian |2022-09-21 14:13:41Orca最新公共云安全報告指出,大多數企業雖將云安全列為自身IT首要工作重點,卻一直忽視了云端數據的基本安全措施。報告揭示,36%的企業在其云端資產中混有未加密的敏感數據,如公司秘密和個人身份信息等。
全球新冠肺炎疫情加快了邁向云計算的轉變,因為突然大規模轉為遠程辦公迫使公司保證員工能從任何地點訪問業務系統。
Gartner預測,今年花在全球公共云計算服務上的支出會增長20.4%,達到4947億美元,并預計2023年將達到近6000億美元。
在匆忙將IT資源挪到云端的過程中,企業難以跟上不斷擴大的云攻擊面和日漸增加的多云復雜性。Orca報告指出,目前網絡安全熟手短缺的狀況又進一步惡化了企業的這種窘境。
在Orca Security的聯合創始人兼首席執行官Avi Shua看來,云端風險并不比本地環境中的風險大,只不過,這兩種風險不一樣。
“在本地環境中,企業可以更好地控制其基礎設施。”Shua稱,“然而,這未必是好事。相比很多企業,云服務提供商用來確保基礎設施安全的專用資源通常要豐富得多。共享責任模式下,企業仍然對其在云端運行的應用程序和服務負責,所面臨的風險與本地環境類似。云安全不同于本地環境安全的地方在于文化轉變:云端任何事務都比本地快得多,而且存在更多托管服務,帶來了異于本地環境的安全威脅。
越來越難以修復所有漏洞
企業難以跟上每天曝出的諸多漏洞。很多企業在修復新發現漏洞方面都力不從心,而且有些企業連很早之前發現的漏洞都還沒修復。
報告揭示,許多企業甚至存在十幾年前就披露了的漏洞;并指出,嚴重漏洞構成了78%的初始攻擊途徑,應盡快修復。
“一些企業仍然存在此類老漏洞,是因為常留有不支持更新操作系統的過時應用程序,無法輕松修復。”Shua表示。
Shua建議,如果是這種情況,企業應嘗試將這些系統與其他資產隔離開來,防止接觸環境中其他部分。
“另一個原因是有時候團隊職責不明確,問題分配不當,導致漏洞長時間未得到修復。”Shua補充道。她表示,修復所有漏洞幾乎是不可能的,企業應當認清這一點;團隊必須了解哪些漏洞可對公司最敏感、最有價值的信息構成最大風險,從而進行戰略性修復。
Log4Shell漏洞問題依然存在
2021年12月,Apache Log4j曝出嚴重零日漏洞。這個名為“Log4Shell”的漏洞非常便于利用,可致未經身份驗證的遠程代碼執行,并且剛披露之時尚未推出可用的補丁。開源開發人員匆忙發布的幾個補丁反而又引入了新的漏洞,一直到第四個補丁發布,問題才終于得到解決。
然而,報告稱,企業仍然受到此漏洞的影響。近5%的工作負載資產仍然存在至少一個Log4j漏洞,其中10.5%是面向互聯網的。2021年12月至2022年1月間發現的Log4j漏洞中,有30%仍未解決,其中6.2%可能會暴露個人身份信息。
容器和容器鏡像中也存在相當多的Log4j漏洞。報告指出,鏡像的問題尤其嚴重,因為每次使用鏡像時都會重現這些漏洞。
被忽視的資產成了攻擊者的入口
攻擊者常利用被忽視的資產進入企業環境。其中一種被忽視的資產是使用CentOS 6、32位Linux、Windows Server 2012等不受支持的操作系統,或超過180天仍未修復的云資產。
報告稱:“一些企業仍然存在遭忽視的資產,是因為他們仍留有不支持更新操作系統的老舊應用程序。”
Orca指出,平均而言,企業資產中11%處于安全遭忽視的狀態,且10%的企業有超過30%的工作負載處于安全遭忽視的狀態;19%的已知攻擊路徑將被忽視的資產作為初始訪問攻擊途徑;而所有遭忽視的資產中,絕大多數是容器,近半數運行的是不受支持的Alpine操作系統版本。
漏洞源于密鑰錯誤配置
Gartner預測,到2025年,超過99%的云數據泄露源自可預防的最終用戶錯誤配置或錯誤操作。
管理員可以使用AWS Key Management Service(KMS:密鑰管理服務)創建、刪除和管理用于加密AWS數據庫和各種產品中所存數據的密鑰。8%的企業采用公共訪問策略配置KMS密鑰。報告指出:“這么做尤其危險,因為給惡意方鋪設了相當便捷的攻擊途徑。”
此外,99%的企業使用至少一個默認KMS密鑰。
79%的企業持有至少一個使用時長超過90天的密鑰。報告稱,最佳做法是設置密鑰只要使用時長超過90天就必須輪換,從而限制被盜IAM(身份與訪問管理)訪問密鑰提供AWS賬戶訪問權限的時長。
大約51%的企業沒有為其Google Storage存儲桶配置統一的存儲桶級訪問權限。報告指出,“如果沒有統一設置權限級別,攻擊者就可以橫向移動并獲得更高的權限級別,通過創建或更新其有權訪問的角色的內聯策略,還可以提升其特權。”
公司需保護其最有價值的數據資產
公司最有價值的資產包括個人身份信息、客戶及潛在客戶數據庫、員工和人力資源信息、企業財務信息、知識產權,以及生產服務器。公司需采用最高安全標準保護此類資產,并在決定哪些風險需首先緩解時將之排在最高優先級。
大約36%的企業在文件、存儲桶、容器和無服務器環境中存放有秘密和個人身份信息等敏感數據。
報告稱:“加密可大大降低敏感數據遭無意暴露的可能性,而且只要不被破解,就能消除數據泄露的影響。”
此外,35%的企業有至少一項面向互聯網的工作負載在Git存儲庫中存有敏感信息。Orca報告中寫道:“網絡罪犯可以輕易提取這些信息,并使用這些信息來入侵你的系統。”
來源:數世咨詢