公有云中最關(guān)鍵的安全漏洞

　　美國(guó)網(wǎng)絡(luò)安全服務(wù)商Orca Security公司日前發(fā)布的《2022年公有云安全狀況報(bào)告》報(bào)告的一個(gè)主要發(fā)現(xiàn)是，平均攻擊路徑距離企業(yè)的關(guān)鍵數(shù)據(jù)資產(chǎn)只有三步之遙，這意味著網(wǎng)絡(luò)攻擊者只需在云計(jì)算環(huán)境中找到三個(gè)相關(guān)且可利用的弱點(diǎn)，即可竊取數(shù)據(jù)或進(jìn)行勒索。

　　該報(bào)告由Orca Research Pod編制，包括分析從2022年1月1日至7月1日由Orca云安全平臺(tái)掃描的AWS、Azure和谷歌云平臺(tái)上的數(shù)十億個(gè)云計(jì)算資產(chǎn)中捕獲的工作負(fù)載和配置數(shù)據(jù)。報(bào)告確定仍然存在一些關(guān)鍵安全漏洞，并就企業(yè)可以采取哪些步驟來(lái)減少網(wǎng)絡(luò)攻擊面和改善云安全狀況提供了建議。

　　Orca Security公司首席執(zhí)行官Avi Shua表示：“公有云的安全性不僅取決于提供安全云基礎(chǔ)設(shè)施的云平臺(tái)，而且在很大程度上取決于企業(yè)在云中的工作負(fù)載、配置和身份狀態(tài)。我們最新的公有云安全狀況報(bào)告表明，在這個(gè)領(lǐng)域還有很多工作要做，從未修補(bǔ)的漏洞和過(guò)度寬松的身份到開(kāi)放的存儲(chǔ)資產(chǎn)。然而，重要的是要記住，企業(yè)永遠(yuǎn)無(wú)法消除其環(huán)境中的所有風(fēng)險(xiǎn)。他們根本沒(méi)有人手來(lái)做這件事。這時(shí)，企業(yè)應(yīng)該戰(zhàn)略性地開(kāi)展工作，并確保始終首先消除危及企業(yè)最關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。”

　　公有云安全現(xiàn)狀

　　·企業(yè)關(guān)鍵的數(shù)據(jù)資產(chǎn)觸手可及：平均攻擊路徑只需要三個(gè)步驟即可以獲得企業(yè)的數(shù)據(jù)資產(chǎn)，這意味著網(wǎng)絡(luò)攻擊者只需在云計(jì)算環(huán)境中找到三個(gè)相關(guān)且可利用的弱點(diǎn)，即可竊取數(shù)據(jù)或勒索贖金。

　　·漏洞是首要的初始攻擊向量：78%的已存在的識(shí)別攻擊路徑使用已知漏洞(CVE)作為初始訪問(wèn)攻擊向量，這凸顯了企業(yè)需要更優(yōu)先地進(jìn)行漏洞修補(bǔ)。

　　·存儲(chǔ)資產(chǎn)通常處于不安全狀態(tài)：在大多數(shù)云平臺(tái)環(huán)境中都可以找到公開(kāi)訪問(wèn)的S3 Bucket和Azure blob存儲(chǔ)資產(chǎn)，這是一種高度可利用的錯(cuò)誤配置，也是許多數(shù)據(jù)泄露的原因。

　　·未遵循基本安全實(shí)踐：例如多因素身份驗(yàn)證、加密、強(qiáng)密碼和端口安全性等許多基本安全措施仍未得到一致應(yīng)用。

　　·云原生服務(wù)被忽視：盡管云原生服務(wù)很容易啟動(dòng)，但它們?nèi)匀恍枰�維護(hù)和正確配置：58%的企業(yè)擁有運(yùn)行時(shí)不受支持的無(wú)服務(wù)器功能，70%的企業(yè)擁有的Kubernetes API服務(wù)器可公開(kāi)訪問(wèn)。