在線工作網(wǎng)站Ladders泄露了它在亞馬遜網(wǎng)絡服務云平臺上托管的1300多萬條用戶記錄。其原因是什么?AWS ElasticSearch服務實例的訪問控制配置錯誤。
今年5月,UpGuard公司安全研究人員的調(diào)查報告表明,5億多個Facebook用戶的數(shù)據(jù)被第三方泄露,第三方將這些信息存儲在未受保護的AmazonS3存儲桶中。營銷服務商Chtrbox公司證實了這一泄露事件,但表示其影響范圍沒有報道的那么大。
根據(jù)SANS研究所上個月發(fā)布的一份報告,31%的受訪者表示,外部人員未經(jīng)授權訪問云計算環(huán)境或云計算資產(chǎn),而2017年這一比例為19%。雖然這些攻擊的主要原因是憑證劫持,但云計算配置不佳是第二個主要原因。
這些糟糕的配置不只是面向公眾訪問的數(shù)據(jù)庫。例如容器管理平臺等其他云計算系統(tǒng),也是網(wǎng)絡攻擊者主要的目標。
Palo Alto網(wǎng)絡公司最近發(fā)現(xiàn)了4萬多個使用默認配置的容器托管服務,其中包括在Kubernetes和Docker這兩個最流行的容器平臺上,每個都在2萬個以上,其配置問題可能使組織容易受到攻擊。
例如,Docker公司在今年4月承認黑客侵入了一個Docker Hub數(shù)據(jù)庫,并且可能從19萬個帳戶竊取了數(shù)據(jù)。根據(jù)Palo Alto網(wǎng)絡威脅研究員Nathaniel Quist的說法,黑客利用了密鑰和令牌存儲的弱安全配置。
Quist表示,最近的Ladders漏洞是一個基本的容器錯誤配置的例子,這種錯誤配置會產(chǎn)生重大后果。
他在一份報告中寫道:“人們應該從Ladders漏洞中吸取的教訓是,所有部署容器服務的組織需要加強安全配置。”
Malwarebytes實驗室主管Adam Kujawa表示,網(wǎng)絡攻擊者會在云中搜索開放端口或特定的命名約定。隨后他們進入云計算管理平臺的登錄頁面,而其憑證是設備廠商的默認密碼,或者根本沒有設置密碼。
根據(jù)Attivo公司去年年底進行的一項針對安全專業(yè)人士的調(diào)查,對云計算的攻擊是企業(yè)面臨的最大安全威脅。今年早些時候,堪薩斯州安全廠商Firemon公司發(fā)布的一項調(diào)查顯示,60%的受訪者表示,他們的云部署已經(jīng)超過了保護云平臺的能力。
Firemon公司技術聯(lián)盟副總裁Tim Woods說,問題在于云計算的蔓延。例如,業(yè)務用戶通常會在沒有IT團隊監(jiān)管的情況下獲得云計算功能。
他指出,黑客正在不間斷地掃描公共互聯(lián)網(wǎng),尋找他們可以輕松訪問和攻擊的系統(tǒng)。他說,“這些黑客不需要破解密碼,只是在尋找那些沒有配置不當?shù)臇|西。”
Woods表示,大型企業(yè)需要確保他們在所有云計算部署中都具有可見性,并且有人對所有遷移到云中的數(shù)據(jù)負責。云計算供應商的安全措施也需要加強。
他說,“我認為云計算供應商做得還不夠,因為變化很快。當今的云計算供應商處于加速開發(fā)模式。去年我參加AWS Reinvent會議時,該公司推出了238多種不同的新安全功能,其中很多數(shù)據(jù)都是無意中對外泄露的。”
AWS公司引入的一項新功能是阻止公共訪問功能,該功能已經(jīng)對意外泄露的S3存儲桶的數(shù)量產(chǎn)生了重大影響。根據(jù)Digital Shadows公司日前發(fā)布的一份報告,S3存儲桶泄露的文件數(shù)量從2018年10月的1600萬個下降到今天的2000個。
但這只是一家云計算提供商的云配置挑戰(zhàn)的一個具體示例。
Woods說,“大型企業(yè)通常采用多個云計算提供商的服務。每個云計算供應商都有不同的安全方法,而在安全方面,他們需要分清哪些是自己的責任,哪些是客戶的責任。”
他說:“僅僅因為理解云計算提供商的責任,并不意味著它們都是一樣的。”
總部位于弗吉尼亞州阿靈頓的云計算安全供應商DivvyCloud公司聯(lián)合創(chuàng)始人兼首席技術官Chris DeRamus表示,問題在于企業(yè)很難掌握所有可能出現(xiàn)的配置錯誤。
他說:“越來越多的企業(yè)由于配置錯誤而遭受數(shù)據(jù)泄露,人們幾乎每天都在新聞中看到這些新聞。事實上,組織缺乏適當?shù)墓ぞ邅碜R別和修復不安全的軟件配置和部署。”
他說,企業(yè)需要尋找能夠?qū)崟r檢測錯誤配置的自動化解決方案,并提醒安全管理人員注意這些問題,甚至自動解決。
京公網(wǎng)安備 11010502049343號