Согласно последнему отчету Accurics, взломы облачных сервисов продолжают создавать угрозы для организаций: неправильно настроенные службы облачного хранения и неэффективные методы обеспечения безопасности привели к более чем 200 взломам за последние два года.
«Эта тенденция, вероятно, будет увеличиваться в скорости и масштабах», – предупреждают исследователи. «Неверно настроенные облачные сервисы хранения преобладали в 93% проанализированных облачных развертываниях, и 91% этих развертываний имели хотя бы одно сетевое воздействие».
В исследовании также освещаются новые методы работы с незащищенными сервисами хранения данных, в частности использование секретных ключей с жесткой кодировкой, обнаруженных в 72% развертываний, и незащищенные учетные данные, хранящиеся в контейнерных конфигурационных файлах, обнаруженные в половине анализируемых развертываний.
По словам исследователей, такая неэффективная система обеспечения безопасности «вызывает беспокойство, учитывая, что 84% организаций используют контейнеры». «Эти ключи и учетные данные могут использоваться неавторизованными пользователями для получения доступа к конфиденциальным облачным ресурсам».
В отчете подчеркивается, что среди трех наиболее распространенных неэффективных методов безопасности, связанных с развертыванием облака, 41% организаций имели один или несколько жестко закодированных ключей, которые использовались для предоставления вычислительных ресурсов, а 89% имели разрешительные политики IAM, используемые одним или несколькими высокочувствительными ресурсами. Кроме того, уязвимости сети в результате неправильной настройки правил маршрутизации наблюдались в 100% развертываний, проанализированных исследователями.
В результате этих трех неправильных конфигураций в последние годы злоумышленники смогли взломать множество крупных организаций. Например, взлом Capitol One, затронувший более 100 миллионов человек в США и Канаде, стал возможен из-за уязвимости в облачном вычислительном ресурсе.
В отчете отмечается и то, что дополнительное воздействие может быть связано с неиспользованными ресурсами. Согласно анализу, 31% организаций имеют неиспользуемые ресурсы, которые добавляются в виртуальное частное облако (VPC) по умолчанию при его создании, если область его применения не определена.
“Кроме финансовых затрат, неиспользованные источники могут остаться необнаруженными в ходе оценки безопасности, создавая потенциальную опасность”, – добавили исследователи Accurics.
Источник Bitdefender
По вопросам приобретения решений Bitdefender обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua