精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

根據(jù)Tenable公司對(duì)其云安全客戶的遙測(cè)數(shù)據(jù)報(bào)告發(fā)現(xiàn)，74%的客戶存在公開(kāi)暴露的存儲(chǔ)或其他配置錯(cuò)誤，給網(wǎng)絡(luò)犯罪分子提供了可乘之機(jī)。

根據(jù)本周發(fā)布的云安全供應(yīng)商Tenable的客戶遙測(cè)研究顯示，今年上半年有38%的企業(yè)至少有一個(gè)云工作負(fù)載處于關(guān)鍵漏洞狀態(tài)，擁有高度權(quán)限并公開(kāi)暴露。

報(bào)告指出，這種“有毒云三角”構(gòu)建了一個(gè)高風(fēng)險(xiǎn)的攻擊路徑，使這些工作負(fù)載成為不法分子的首選目標(biāo)。

報(bào)告進(jìn)一步指出，“超過(guò)三分之一的企業(yè)可能會(huì)因此成為未來(lái)新聞?lì)^條的主角。”

即使工作負(fù)載中只存在一兩個(gè)風(fēng)險(xiǎn)因素，對(duì)企業(yè)的安全也會(huì)帶來(lái)巨大影響，研究報(bào)告指出。

Info-Tech Research Group的高級(jí)研究總監(jiān)Jeremy Roberts(該研究并未與其相關(guān))表示，終端用戶企業(yè)在此過(guò)程中也有責(zé)任。

他說(shuō)：“云和其他工具一樣，如何使用才是關(guān)鍵。許多云安全漏洞并非由供應(yīng)商引起，而是由于管理不善造成的，就像2019年Capital One的安全事件。權(quán)限應(yīng)定期審核，零信任原則應(yīng)得到應(yīng)用，并使用集中管理(如控制塔)來(lái)標(biāo)準(zhǔn)化安全基線。”

漏洞問(wèn)題

總體而言，研究報(bào)告指出，74%的企業(yè)存在公開(kāi)暴露的存儲(chǔ)，其中一些包含敏感數(shù)據(jù)，導(dǎo)致這種暴露的原因通常是不必要或過(guò)度的權(quán)限。隨著企業(yè)加速使用云原生應(yīng)用程序，他們存儲(chǔ)的敏感數(shù)據(jù)量(包括客戶和員工信息以及商業(yè)知識(shí)產(chǎn)權(quán))也在增加，黑客正是以這些存儲(chǔ)在云中的數(shù)據(jù)為目標(biāo)。因此，報(bào)告期內(nèi)許多針對(duì)云存儲(chǔ)的勒索軟件攻擊都集中在那些擁有過(guò)多訪問(wèn)權(quán)限的公共云資源上，這些攻擊本可以避免。

暴露存儲(chǔ)的遙測(cè)數(shù)據(jù)顯示，39%的企業(yè)擁有公開(kāi)的存儲(chǔ)桶，29%的企業(yè)擁有權(quán)限過(guò)高的公開(kāi)或私有存儲(chǔ)桶，6%的企業(yè)擁有權(quán)限過(guò)高的公開(kāi)存儲(chǔ)桶。

然而，存儲(chǔ)問(wèn)題并非唯一的問(wèn)題，令人擔(dān)憂的是，84%的企業(yè)擁有未使用或長(zhǎng)期存在的訪問(wèn)密鑰，且這些密鑰具有關(guān)鍵或高度嚴(yán)重的過(guò)度權(quán)限。研究指出，這些問(wèn)題在許多基于身份的攻擊和數(shù)據(jù)泄露中起到了重要作用。研究列舉了MGM Resorts數(shù)據(jù)泄露、微軟電子郵件黑客事件以及FBot惡意軟件等案例，這些惡意軟件通過(guò)AWS的IAM(身份和訪問(wèn)管理)用戶在AWS中保持持久性并傳播。

研究報(bào)告稱：“IAM風(fēng)險(xiǎn)的核心在于訪問(wèn)密鑰及其分配的權(quán)限，兩者結(jié)合，就相當(dāng)于拿到了存儲(chǔ)在云中的數(shù)據(jù)的‘鑰匙’。”

此外，23%的主要云服務(wù)供應(yīng)商(Amazon Web Services、Google Cloud Platform 和 Microsoft Azure)上的云身份(包括人類和非人類)具有關(guān)鍵或高度嚴(yán)重的過(guò)度權(quán)限，這無(wú)疑是一個(gè)災(zāi)難的配方。

根據(jù)Info-Tech Research Group的首席顧問(wèn)Scott Young的說(shuō)法，這種情況部分歸因于人性。

Young表示：“授予人類賬戶高比例的關(guān)鍵權(quán)限反映了人類傾向于選擇阻力最小的路徑，然而，設(shè)置這些阻力是有原因的。”他說(shuō)，“在使用系統(tǒng)時(shí)尋求更少的摩擦，會(huì)在賬戶被攻破時(shí)帶來(lái)巨大潛在后果。”

研究還發(fā)現(xiàn)，高達(dá)78%的企業(yè)擁有公開(kāi)可訪問(wèn)的Kubernetes API服務(wù)器，其中41%允許入站互聯(lián)網(wǎng)訪問(wèn)，研究將此描述為“令人擔(dān)憂的”，此外，58%的企業(yè)允許某些用戶對(duì)Kubernetes環(huán)境進(jìn)行不受限制的控制，44%的企業(yè)在特權(quán)模式下運(yùn)行容器，這兩種權(quán)限配置大大增加了安全風(fēng)險(xiǎn)。

在這些配置錯(cuò)誤讓系統(tǒng)本身變得脆弱的基礎(chǔ)上，超過(guò)80%的工作負(fù)載仍存在未修復(fù)的關(guān)鍵CVE(如CVE-2024-21626)，這是一個(gè)嚴(yán)重的容器逃逸漏洞，盡管修補(bǔ)程序已經(jīng)可用。

緩解措施

Tenable提出了一系列緩解策略，幫助企業(yè)降低風(fēng)險(xiǎn)。

建立以上下文為驅(qū)動(dòng)的安全文化：將身份、漏洞、配置錯(cuò)誤和數(shù)據(jù)風(fēng)險(xiǎn)信息整合到一個(gè)統(tǒng)一的工具中，以獲得準(zhǔn)確的可視化、上下文和優(yōu)先級(jí)排序。“并非所有風(fēng)險(xiǎn)都相同——識(shí)別有毒組合可以顯著降低風(fēng)險(xiǎn)。”

嚴(yán)格管理Kubernetes/容器訪問(wèn)：遵守Pod安全標(biāo)準(zhǔn)，包括限制特權(quán)容器并強(qiáng)制執(zhí)行訪問(wèn)控制。限制入站訪問(wèn)，限制對(duì)Kubernetes API服務(wù)器的入站訪問(wèn)，并確保Kubelet配置禁用匿名認(rèn)證，此外，審查集群管理員角色綁定，確認(rèn)是否真的有必要，如果沒(méi)有必要，將用戶綁定到權(quán)限較低的角色。

憑證和權(quán)限管理：定期輪換憑證，避免使用長(zhǎng)期存在的訪問(wèn)密鑰，并實(shí)施即時(shí)訪問(wèn)機(jī)制。定期審核和調(diào)整人類及非人類身份的權(quán)限，以遵循最小權(quán)限原則。

優(yōu)先處理漏洞：將修補(bǔ)等修復(fù)工作重點(diǎn)放在高風(fēng)險(xiǎn)漏洞上，尤其是那些VPR分?jǐn)?shù)較高的漏洞。

減少暴露：審查任何公開(kāi)暴露的資產(chǎn)，以確定暴露是否必要，并確保不會(huì)危及機(jī)密信息或關(guān)鍵基礎(chǔ)設(shè)施，及時(shí)進(jìn)行修補(bǔ)。

關(guān)于治理、風(fēng)險(xiǎn)和合規(guī)(GRC)的討論

Young指出，防止問(wèn)題的關(guān)鍵并不是新概念。

他說(shuō)：“從高層次來(lái)看，黑客攻擊的結(jié)構(gòu)并沒(méi)有改變，攻擊者需要找到你，通過(guò)一個(gè)入口點(diǎn)進(jìn)入系統(tǒng)，并橫向移動(dòng)以尋找有價(jià)值的東西。”他補(bǔ)充道：“Tenable的報(bào)告顯示，整體來(lái)看，我們?cè)诖_保入口點(diǎn)安全以及保護(hù)和控制賬戶以限制橫向移動(dòng)方面進(jìn)展緩慢，而云環(huán)境讓我們更容易被發(fā)現(xiàn)。如果不顯著提升安全實(shí)踐的成熟度，完善流程，并進(jìn)行徹底的審計(jì)，同時(shí)將自動(dòng)化和編排結(jié)合起來(lái)以提高速度和一致性，這些問(wèn)題的數(shù)量不會(huì)顯著減少。簡(jiǎn)而言之，這份報(bào)告強(qiáng)有力地支持了一個(gè)運(yùn)行良好的治理、風(fēng)險(xiǎn)和合規(guī)(GRC)實(shí)踐。”

企業(yè)網(wǎng)D1net(hfnxjk.com)：

國(guó)內(nèi)主流的to B IT門(mén)戶，旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開(kāi)頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。