一份新的報(bào)告揭示了關(guān)鍵的云風(fēng)險(xiǎn)，重點(diǎn)是云技術(shù)債務(wù)日益增長(zhǎng)的威脅。

周二Qualys威脅研究部門(mén)(TRU)發(fā)布了這份文件，該文件取材于2023年4月進(jìn)行的匿名全球云掃描。

根據(jù)新的數(shù)據(jù)，在研究期間，超過(guò)6000萬(wàn)個(gè)應(yīng)用程序達(dá)到了支持終止和生命終止。關(guān)鍵類(lèi)別，如數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)服務(wù)器和安全軟件，現(xiàn)在缺乏安全更新，這大大增加了潛在違規(guī)的風(fēng)險(xiǎn)。

云的錯(cuò)誤配置也成為了一個(gè)重大問(wèn)題，擴(kuò)大了數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。超過(guò)一半的互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)測(cè)試在主要云提供商中失敗。

AWS、微軟Azure和谷歌云平臺(tái)(GCP)的失敗率分別為34%、57%和60%，其中加密、身份和訪問(wèn)管理以及面向互聯(lián)網(wǎng)的資產(chǎn)是最嚴(yán)重的配置錯(cuò)誤類(lèi)別。

Keeper Security的產(chǎn)品主管贊恩·邦德(Zane Bond)評(píng)論道：“AWS、GCP和Azure不斷升級(jí)和發(fā)展他們的安全建議。然而，這些組件并不總是被正確地實(shí)現(xiàn)或監(jiān)控。管理員應(yīng)該始終確保他們使用的是安全的保險(xiǎn)庫(kù)和機(jī)密管理解決方案，并立即執(zhí)行必要的補(bǔ)丁和更新?！?/p>

該報(bào)告還強(qiáng)調(diào)了外部漏洞的普遍程度，約有4%的掃描云資產(chǎn)公開(kāi)暴露給潛在的攻擊者。

武器化漏洞是另一個(gè)重要的焦點(diǎn)，報(bào)告提到了Log4Shell構(gòu)成的主要威脅。面向互聯(lián)網(wǎng)的漏洞允許攻擊者執(zhí)行任意Java代碼或泄露敏感信息，在面向互聯(lián)網(wǎng)的云資產(chǎn)上檢測(cè)到的Log4Shell漏洞中有68.44%仍未修補(bǔ)。

此外，該研究還將惡意軟件和加密挖礦列為云資產(chǎn)的前兩大威脅，它們會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)和橫向移動(dòng)。

XM Cyber的MSSP解決方案架構(gòu)師Craig Boyle解釋說(shuō)：“云的核心特征之一是自助服務(wù)。這就是快速大規(guī)模部署基礎(chǔ)設(shè)施和資源的能力，而不受傳統(tǒng)本地IT環(huán)境的限制。雖然這通常被認(rèn)為是云計(jì)算的核心優(yōu)勢(shì)之一，但它確實(shí)伴隨著重大的相關(guān)風(fēng)險(xiǎn)。”

該報(bào)告還強(qiáng)調(diào)了在修復(fù)過(guò)程中自動(dòng)化的重要性，可以顯著減少未解決的漏洞并加快修補(bǔ)。自動(dòng)化將非windows補(bǔ)丁率提高了近8%，并將匯款時(shí)間縮短了兩天。

Tigera首席營(yíng)銷(xiāo)官Utpal Bhatt表示:“在混合云和多云環(huán)境中管理安全需要在所有云供應(yīng)商環(huán)境和內(nèi)部部署中無(wú)縫工作的工具和技術(shù)。自動(dòng)化是云安全的核心，因?yàn)樵谠浦?，?jì)算資源數(shù)量眾多且不斷變化。”