Згідно з останнім звітом Accurics, зломи хмарних сервісів продовжують створювати загрози для організацій: неправильно налаштовані служби хмарного зберігання і неефективні методи забезпечення безпеки привели до більш ніж 200 зломів за останні два роки.

«Ця тенденція, ймовірно, буде збільшуватися в швидкості і масштабах», – попереджають дослідники. «Неправильно налаштовані хмарні сервіси зберігання переважали в 93% проаналізованих хмарних розгортаннях, і 91% цих розгортань мали хоча б один мережевий вплив».

У дослідженні також висвітлюються нові методи роботи з незахищеними сервісами зберігання даних, зокрема використання секретних ключів з жорстким кодуванням, виявлених в 72% розгортання, і незахищені облікові дані, що зберігаються в контейнерних конфігураційних файлах, виявлені в половині аналізованих розгортаннях.

За словами дослідників, така неефективна система забезпечення безпеки «викликає занепокоєння, враховуючи, що 84% організацій використовують контейнери». «Ці ключі і облікові дані можуть використовуватися неавторизованими користувачами для отримання доступу до конфіденційних хмарних ресурсів».

У звіті підкреслюється, що серед трьох найбільш поширених неефективних методів безпеки, пов’язаних з розгортанням хмари, 41% організацій мали один або кілька жорстко закодованих ключів, які використовувалися для надання обчислювальних ресурсів, а 89% мали дозвільні політики IAM, використовувані одним або декількома високочутливими ресурсами . Крім того, уразливості мережі в результаті неправильного налаштування правил маршрутизації спостерігалися в 100% розгортання, проаналізованих дослідниками.

В результаті цих трьох неправильних конфігурацій в останні роки зловмисники змогли зламати безліч великих організацій. Наприклад, злом Capitol One, що торкнувся понад 100 мільйонів чоловік в США і Канаді, став можливий через уразливість в хмарному обчислювальному ресурсі.

У звіті відзначається і те, що додатковий вплив може бути пов’язаний з невикористаними ресурсами. Згідно з аналізом, 31% організацій мають невикористовувані ресурси, які додаються у віртуальну приватну хмару (VPC) за замовчуванням при її створенні, якщо область її застосування не визначена.

“Крім фінансових витрат, невикористані джерела можуть залишитися невиявленими в ході оцінки безпеки, створюючи потенційну небезпеку”, – додали дослідники Accurics.

Джерело Bitdefender

З питань придбання рішень Bitdefender звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua