A RedLock legújabb felhőbiztonsági jelentése arra utal, hogy a szervezetek kudarcot vallanak a legalapvetőbb biztonsági gyakorlatok terén.
A vállalat továbbra is figyelmen kívül hagyja a legalapvetőbb biztonsági óvintézkedéseket a felhőszolgáltatások használatakor - állítják a kutatók.
Csütörtökön a RedLock kiadta éves számát felhő biztonsági jelentés, ami azt sugallja, hogy a felhő sérülékenységeit teljesen figyelmen kívül hagyják, az adatbázisok gyenge biztonsága és a kulcsszivárgások pedig mindennaposak.
Az ügyfélkörnyezetek elemzése után a felhőbiztonsági cég azt mondta, hogy a vállalat szervezeteinek nagyjából 38 százalékának van aktív felhasználói fiókja. potenciálisan veszélybe kerültek, és a vállalati adatbázisok 37 százaléka lehetővé teszi a bejövő kapcsolatokat az internetről, ami általában rossz biztonsági gyakorlat. végrehajtani.
Ezen kívül ezen adatbázisok hét százaléka engedélyezi a gyanús IP-címekről érkező kéréseket, ami arra utal, hogy feltörték őket.
Kutatásuk során a RedLock csapata felfedezte, hogy legalább 250 szervezet, amelyek közül sok messze meghaladja a A kkv-k, amelyek "hozzáférési kulcsokat és titkokat" szivárogtattak ki felhőalapú számítástechnikai környezetükből – hasonló forgatókönyv, mint a közelmúltban
Viacom biztonsági összeomlás.Biztonság
- A rendkívül biztonságos távoli dolgozók 8 szokása
- A kémprogramok megtalálása és eltávolítása a telefonról
- A legjobb VPN-szolgáltatások: Hogyan hasonlítható össze az első 5?
- Hogyan lehet kideríteni, hogy érintett-e adatvédelmi incidens – és mi a következő lépés
A jelentés szerint a felhőalapú tárolási szolgáltatásokat, például az Amazon Simple Storage Service-t (Amazon S3) használó vállalatok összesen 53 százaléka. véletlenül nyilvánosságra hozták ezeket a szolgáltatásokat, 45 százalékuk elmarad a CIS (Internetbiztonsági központ) biztonsági szabványoktól és ellenőrzésektől, és ezen jogsértések 46 százaléka „nagy súlyosságú probléma”, beleértve azokat a hálózati konfigurációkat, amelyek lehetővé teszik a bejövő SSH-kapcsolatokat a Internet.
Ráadásul a kutatásba bevont vállalati szereplők a PCI adatbiztonság 48 százalékát megbukták átlagosan szabványos ellenőrzéseket végeztek, és a hibák 19 százaléka kritikus volt – például a titkosítás elmulasztása adatbázisok.
Szervezetek százai szivárogtatnak ki hitelesítő adatokat olyan szolgáltatások rosszul konfigurálásával, mint pl Kubernetes és Jenkins – állítja a csapat –, és a vállalati adatbázisok összesen 64 százaléka nem titkosítva.
A kutatók Kubernetes adminisztrációs konzolokat is találtak az AWS-re, a Microsoft Azure-ra és a Google Cloudra. Nem jelszóval védett platform, és egyes tárolókban a fenyegetés szereplői illegitim Bitcoin-bányászatot telepítettek tevékenységek. Ez viszont a törvényes üzleti adatbázisokat csalárd módon bevételt termelő robotokká változtatta.
Ezenkívül hozzáférési kulcsokat és titkos tokeneket fedeztek fel a Kubernetes-példányokban, amelyeket tiszta szövegként tároltak, így a támadók lehetőséget kaptak a kritikus infrastruktúra veszélyeztetésére.
Összességében a vállalatok 81 százaléka nem kezeli hatékonyan a felhőben található gazdagép-sebezhetőségeket. Használhatnak sebezhetőség-ellenőrző eszközöket, de nem tudják feltérképezni az ezekből az eszközökből származó adatokat, hogy képet alkossanak a felhő-specifikus tartalmakról és fenyegetésekről, amelyek megnyithatják a kapukat a kompromisszum előtt.
"A gazdagép sebezhetőségi adatait össze kell kapcsolni a felhőben található gazdagép-konfigurációkkal, amelyek segíthetnek azonosítani a gazdagép üzleti célját, és elősegítik a javítások fontossági sorrendjét" - mondja a csapat. "Például ez a gazdagép webszerver vagy adatbázisszerver? Gyártásban vagy gyártásban fut? Ezenkívül a hálózati forgalmat is figyelemmel kell kísérni annak megállapítására, hogy a sérülékenységek valóban kihasználhatók-e."
Az adatszivárgás, a javítások és a kritikus biztonsági gyakorlatok tudatosítása a biztonsági incidensek folyamatos áramlásával fokozódhat. a hírek szerint, de a RedLock megállapításai alapján úgy tűnik, hogy egyes területekre – például a felhőszolgáltatásokra – továbbra sem fordítanak annyi figyelmet, mint igényelnek. Hacsak a vállalat nem fokozza a játékát, az olyan gyakorlatok, mint például a jelszavak tiszta szövegben való tárolása, kérik hogy a támadók lecsapjanak, és a vállalatoknak semmi mást nem kell hibáztatniuk, csak saját magukat kompromisszum.
Korábbi és kapcsolódó tudósítások
A Google Cloud Dataprep már elérhető nyilvános bétaverzióban
Az eszköz az adatokat azonnali elemzéshez vagy gépi tanulási modellek betanításához készíti elő.
Cloud computing migráció: Drágább és bonyolultabb, mint gondolta
A felhő korai alkalmazói komoly akadályokkal szembesülnek meglévő alkalmazásaik migrálásakor.