進入 2024 年,隨著企業進一步深耕數位轉型,雲端安全的重要性日益凸顯。Orca Security 揭示企業在雲端環境中所面臨的五大重要安全風險。這份報告是透過 Orca Cloud Security 平台對數十億雲資產的持續掃描所得,提供了對 2023 年 1 月至 5 月期間的最新研究結果。
深入分析這段時間的掃描結果,Orca Research Pod 特別辨識出在各種雲環境中普遍存在且最為嚴重的五大雲安全風險。透過這份報告,不僅揭示這些風險的實際存在,還提供有關每項風險的詳盡背景資訊,以及如何在第一時間採取關鍵措施來避免風險發生的實用建議。
期望這項研究能夠協助企業更全面了解雲端安全組態的挑戰,指引企業集中精力於改進的重要範疇,以確保其雲端環境得以更為安全可靠。
以下依重要性排序,列出了五大最常見且關鍵的雲安全風險:
Orca 發現有 36% 的公司在其雲環境中,對外的服務中至少有一個尚未修補的漏洞,因此容易被攻擊者輕易存取。若服務存在已知的漏洞和 Bug,可能是進入雲環境的主要攻擊之一。事實上,Orca Security 研究團隊檢測和分析的大多數*攻擊路徑是利用已知漏洞開始出發。如果是對外的服務,即可從網路外部存取,風險將大幅提高。
*攻擊路徑 (Attack path),Orca Security的重要功能之一,利用大數據分析出現有所有資產的可能攻擊路徑組合。
惡意行為者可以相對輕鬆地利用未修補的漏洞,造成服務停擺、潛在的遠端程式碼執行或更多危害。在某些情況下,有可能出現未經授權的遠端存取。
所有軟體都有可能存在漏洞和 Bug,包括網路服務。軟體供應商有責任在惡意行為者發現並利用之前發現並修復這些漏洞。軟體使用者則有責任立即執行修復,通常透過更新或升版(patch)的方式進行。
Orca 發現有 50% 的公司至少擁有一個包含敏感資訊的 Git 存儲庫。這些敏感資訊,如資料庫密碼、API 金鑰、加密金鑰、Hash 鹽和密碼,有可能被錯誤地推送到 Git 存儲庫中。除了違反安全作法之外,如果它們是應用程式碼的一部分,攻擊者有可能取得這些資訊並破壞您的系統。必須立即檢測所有的推送是否含有敏感資訊並從存儲庫和歷史記錄中刪除。
有 49% 的公司在虛擬機器的檔案系統中存儲了敏感的 AWS 金鑰。請將 AWS 金鑰視為系統的實際密鑰,擁有金鑰的任何人都可以訪問您的所有資源並執行可以執行的任何操作,如啟動 EC2 實例、刪除 S3 對象等。這就是為什麼必須將金鑰儲存在安全的位置,絕對不要與任何人分享,尤其是外部。
預設情況下,敏感 AWS 金鑰儲存在文件系統上。如果惡意行為者獲得了這些金鑰,可以使用它們來存取敏感資源並執行未經授權的操作。值得注意的是,敏感 AWS 金鑰是 Orca Security 在攻擊路徑中識別出的惡意橫向移動的主要手法之一。
AWS 金鑰提供無限期的存取權限,直到被手動撤銷。然而,對於許多案例而言,您並不需要使用無期限的存取權限,這就是為什麼 AWS 建議使用臨時憑證(使用安全令牌服務(Security Token Service)產生)而不是 AWS 金鑰。除了存取金鑰 ID 和存取秘密金鑰之外,臨時憑證還包含一個安全令牌,指定了憑證的到期日。
Orca 發現有 33% 的公司在其雲環境中對超過 10% 的 IAM role 授予了完整的管理特權,其中有 10% 的公司甚至將管理權限授予超過 40% 的角色。這數量實在太多。
在 AWS 中,IAM role 是具有特定權限的身份,這些權限指定了此身份可以執行的操作和可以存取的資源。與 IAM users 不同,IAM role 不綁定於單個人,任何經授權的人都可以扮演該角色。
IAM role 沒有與之關聯的長期或無期限的安全憑證。相反,每當使用者操作一個角色時,都會發放短期憑證。角色提供了一種較佳的方式,讓使用者或應用程式能在需要時委派存取權限,而這些使用者或應用程式通常不需要存取您的資源。
IAM privileges 是有時安全性大於方便性的一個例子,但仍然是正確的選擇。雖然向使用者授予大量權限,與限制權限並增加監督機制相比,要快得多且更容易,但這是一種短期獲利而(潛在的)長期損害的情況。
作為一項黃金法則,最好不要定義具有完整管理特權的 IAM role ,因為扮演該角色的任何人都將能夠在帳戶中對任何資源執行任何操作。這違反了最小權限原則(PoLP),極大地增加了攻擊面,並提高了完整帳戶接管的風險。
Orca 發現有 70% 的公司至少有兩個 AWS Lambda 共用相同的 IAM 角色。此外,幾乎有 86% 的 AWS Lambda 共用它們的 IAM role。
在使用 AWS Lambda 時,AWS 建議為每個服務創建獨立的 IAM ,以符合最小權限原則。 "通過為每個服務使用一個專用的 IAM role,您可以更有意識地控制權限。每個 Lambda 應該與一個 IAM role 具有 1:1 的關係。即使一些服務最初具有相同的策略,也應始終將 IAM role 分開以確保最小權限策略。"
這有助於防止未經授權的資料存取,並使您能夠遵守各種安全性和合規性標準。
攻擊路徑範例:從未修復的服務漏洞進入面向網際網路的虛擬機器,取得敏感金鑰,接著橫向移動至 AWS Lambda 中的高權限 IAM role。
Orca 研究小組是一群在雲端安全領域具有豐富專業知識的安全研究人員,擁有深厚的雲端安全、攻擊者技術和有效的防禦策略經驗。我們的專業團隊發現並分析雲端風險和漏洞,以強化 Orca Cloud Security Platform 並促進雲端安全的最佳實踐。此外,Orca 研究小組還發現並協助解決雲端服務提供商平台的漏洞。自 2022 年初以來,Orca 已發現了 Azure 和 AWS 中的十二個重大漏洞,並與雲服務提供商合作解決了這些問題。
如果您希望更深入瞭解這些特定風險以及 Orca Cloud Security Platform 如何根據您環境的背景提供對雲端風險的全面可見性,您可以向叡揚資訊安排一場 Demo 進行免費風險評估。