雲端連結沒有你想像的那麼安全!

作者 : Ann R. Thryft,EE Times專欄作者

根據資安業者最新發表的雲端安全調查報告,大約有三分之一的公司行號曾在過去一年遭遇嚴重的雲端安全或資料外洩問題。該調查報告發現,錯誤的雲端配置一直都是導致雲端破壞事件的主要原因...

去年12月,當美國網路安全公司FireEye公佈了軟體業者SolarWinds發生重大資料外洩事件時,人們並沒有立即意識到,如果不是因為雲端連結已經運作到位,那些資料外洩事件可能就不會發生。駭客利用SolarWinds的雲端網路安全漏洞,劫持了遠端軟體更新流程;此舉也暴露了雲端技術與部署的根本性缺陷。

根據資安業者Fugue和Sonatype於5月發表的《State of Cloud Security 2021》雲端安全調查報告,大約有三分之一的公司行號曾在過去一年遭遇嚴重的雲端安全或資料外洩問題。該調查報告發現,錯誤的雲端配置一直都是導致雲端破壞事件的主要原因。接受調查的300位雲端專業人員中,有83%表示他們的組織因為錯誤的配置而面臨重要資料外洩的風險。

 

Fugue與Sonatype的調查報告揭露錯誤雲端配置的原因。

 

其中大部分的風險來自「龐大而複雜的」企業雲端基礎架構雲端環境以及其動態本質,再加上是由多個API和介面構成,這些都需要投入資源進行管理。其他前幾名造成不當配置的原因則是缺乏適當且足夠的控制和監督,以及安全防護與政策上的疏忽。

在雲端共同責任模型(Cloud Shared Responsibility)之下,錯誤或不當的配置通常被歸咎於客戶,而非供應商。另一家安全技術供應商Aqua Security檢視其數百名客戶一年份雲端配置資料後發表研究報告指出,有90%易遭入侵的漏洞是由於錯誤的配置所導致,但只有不到1%的企業修補了所有這些問題,規模較大的企業平均需要88天才能修補已知的問題,因此也延長了駭客可以入侵這些漏洞的時間。

匆促執行的雲端策略

美國行動通訊業者Verizon 最新的資料外洩年度報告發現,現今大部分的網路安全事件都涉及雲端基礎架構,而且外部雲端資產受到的影響高於內部資產。一項由法國航太/國防安全業者Thales所做的研究對此提供了一項可能的解釋:有一半的企業將其40%以上的資料儲存於外部雲端環境,但對敏感資料進行加密保護的企業卻不多。

人工智慧網路安全方案供應商Vectra AI在8月針對Amazon Web Services (AWS)使用者所進行的一項調查發現,有百分之百受訪者於去年在其公有雲環境,至少都曾經遭遇過一次安全事故。如今有大多數企業會在多雲環境下營運,但根據美國軟體業者Tripwire於7月發表的一份報告顯示,98%受訪者指出,不同供應商帶來了更嚴峻的安全性挑戰。大多數人表示,關於誰應該做什麼,共同責任模型通常不夠明確;也有大多數人表示,希望雲端服務供應商在安全方面多加把勁。

渴望組織數位轉型的企業高層都有一顆迫切達成的心,只是幾乎所有的雲端調查都證實,公有雲和混合雲的快速採用,讓安全維護變得更加困難。如同我們已經指出的,疫情的推波助瀾加速了企業數位轉型熱潮。

倉促的數位轉型步伐,也讓惡名昭彰的Microsoft Exchange Server (MES)攻擊事件增加。今年稍早,網路安全業者Palo Alto Networks研究人員發現,MES的風險暴露情形有79%發生在雲端;他們在一篇官方部落格文章中寫道:「雲端環境本來就和網際網路連結,而要在正常的IT程序外部署一個可公開存取的雲端環境,簡直出乎意料地容易。這表示他們通常沒有使用足夠的預設安全設置,或者根本忘記。」

脆弱的雲端軟體

部分的雲端安全問題源自於特定雲端平台或其他軟體的漏洞。在維基百科(Wikipedia)有一篇關於SolarWinds駭客事件的文章,直指微軟(Microsoft)希望使用者忘記他們的一個軟體漏洞Zerologon。這是微軟認證協定NetLogon中存在的一個漏洞,可以讓駭客輕易入侵微軟網路竊取使用者名稱和密碼。

這個漏洞讓駭客可以存取必要的額外憑證,竊取網路中任何合法使用者的使用權限,並最終讓他們可以入侵微軟Office 365的電子郵件帳戶。「此外,微軟Outlook網頁版應用程式裡的一個缺陷,也讓駭客可以繞過多重要素認證(multi-factor authentication);」該篇文章也指出,駭客使用偽造的身分令牌(token)欺騙微軟的認證系統。

在8月,FireEye旗下的Mandiant部門安全研究人員揭露了Kalay雲端平台核心元件中的一個重大漏洞。有多達數百萬的物聯網裝置使用Kalay的服務,該漏洞讓它們全部都暴露於潛在的遠端攻擊風險下。FireEye在一篇部落格文章中指出:「由於許多受影響的裝置都是視訊監視產品──包括網路攝影機、嬰幼兒監視器以及數位視訊錄影機--利用該漏洞,駭客可以攔截即時音、視訊資料」。

《EE Times》先前曾經報導,網路安全業者Wiz的研究人員最近在微軟Azure雲端平台的中央資料庫ChaosDB發現了一個漏洞。這個容易攻擊的弱點可以讓駭客取得「完整、無限制的存取權」,入侵數千個使用Cosmos DB的組織帳戶及資料庫;駭客也可以將資料刪除、下載或做其他運用,還能提供進入Cosmos DB底層架構的讀/寫存取權。Wiz將之形容為:「你想得到最糟的雲端安全漏洞」。

我的老天!

雲端安全業者Accurics的開發人員Jon Jarboe接受《EE Times》採訪時表示,Cosmos DB事件提醒了我們「要保護好自己,得做的事還很多。雲端服務供應商怎麼處理我們的資料,以及雲端使用者又是怎麼處理資料,這些問題都沒有很清楚的答案,讓安全防護變得很困難。」

Jorboe補充:「我們知道雲端服務供應商對靜態資料有很好的防護,但對傳輸和使用中的資料呢?Cosmos DB的缺陷將主鍵(primary keys)洩漏給不該取得的人,甚至沒有一個好的方法可以讓使用者意識到那可能發生。在釐清雲端安全的全貌之前,雲端服務供應商和各企業組織還有很多工作要做。」

在《EE Times》報導ChaosDB事件同時,Palo Alto Networks又揭露了另一個同樣危險的Azure漏洞──該「Azurescape」漏洞讓駭客可以控制任何使用者的整個Kubernetes容器服務基礎架構。之後Wiz的CosmosDB研究人員仍持續在Azure發現更重大、更容易被利用的遠端程式碼執行漏洞,而這次是發生在OMI軟體代理(agent)上,無數Azure客戶都受到「OMIGOD」影響。

儘管雲端服務供應商正「試圖做對的事,但他們也必須保護自身的品牌;」Jarboe表示,「要對外說明因應策略還是保護商業機密?這兩個決策總是在相互拉扯。就算許多組織竭盡所能地進行安全防護,最終還是淪落到必須監控暗網(dark web),才能掌握資料是否已遭外洩的蛛絲馬跡。他的結論是:「也許短期內這是我們唯一能夠採取的對策。」

 

本文同步刊登於《電子工程專輯》雜誌2021年11月號

責編:Judith Cheng

(參考原文:SolarWinds Fallout: Cloud Security is the Weak Link,By Ann R. Thryft)

 

 

 

加入我們官方帳號LINE@,最新消息一手掌握!

發表評論