Unit 42-teamet på Palo Alto Networks har släppt en ny, omfattande rapport om säkerheten i molntjänster.
Den bygger på svar från över 1 300 organisationer med analyser av 210 000 kundkonton/projekt hos alla de största molnaktörerna.
En snabbt växande del av IT-leveransen sker idag från molnet, en trend som inte visar några tecken på att bromsa in. Sårbarheterna i molnet förändras lika snabbt som själva molnet. I takt med att vi i allt större utsträckning delar, lagrar och hanterar data i molnet så växer den samlade attackytan exponentiellt. En tillväxt som ofta inte märks eller ignoreras, och utan tillräcklig hänsyn till säkerheten.
För hotaktörer innebär varje system eller databas som läggs i molnet en möjlighet, och utan genomtänkt styrning riskerar användarna att utsättas för många olika slags hot.
Tidigare studier av molnsäkerhet har handlat om enskilda hot, exempelvis hantering av åtkomstkontroll, attacker mot försörjningskedjan eller containersäkerhet). Den nu aktuella rapporten från Unit 42, Cloud Threat Report, Volume 7 har ett bredare perspektiv och studerar hur hotaktörerna har blivit skickligare på att utnyttja vanliga, vardagliga problem i molnet. Hit hör felaktiga konfigurationer, svaga identiteter och lösenord, bristande autentisering, sårbarheter som lämnas utan åtgärd och skadliga programvarupaket med öppen källkod (OSS).
Rapporten innehåller genomgångar av två olika fall ransomware i molntjänster som vi har bevakat under 2022. Genom att anonymisera offren kan vi visa hur angriparna utnyttjade känsligt data som läckt ut på Darknet och hur utpressningsattackerna drabbade verksamheten.
Nedan sammanfattar vi några exempel på resultat och rekommendationer i Unit 42 Cloud Threat Report, Volume 7: Navigating the Expanding Attack Surface.
Vad vi lärde oss:
76 % av organisationerna tillämpar inte flerfaktorsautenisering för sina användare av molnstjänster, medan 58 % inte tillämpar flerfaktorsautentisering för systemadministratörer.- I genomsnitt behöver ett säkerhetsteam 145 timmar (ungefär sex dagar) för att hantera en säkerhetsvarning. I 60 % av organisationerna tar det mer än fyra dagar att lösa ett säkerhetsproblem.
- I de flesta organisationers molnmiljöer utlöses 80 % av varningarna av bara 5 % av säkerhetsreglerna.
- 63 % av programkoden i produktion har opatchade sårbarheter klassade som antingen höga eller kritiska (CVSS >= 7.0)
- Känsliga data hittades i 63 % av öppet tillgängliga lagringsenheter.
Vanliga säkerhetsbrister i molnet
Med hjälp av storskaligt data som samlades in 2022 studerar vi i rapporten verkliga intrång som påverkade medelstora och stora företag, problem som observerats i tusentals multimolnmiljöer och analyserar effekten av sårbarheter i molnet från bibliotek med öppen källkod. Vi har särskilt analyserat applikationer i 210 000 molnkonton inom 1 300 organisationer. Eftersom många kunder idag har flera installationer i olika molntjänster betyder det att hotaktörerna får större en större tillgänglig attackyta.
Användarfel, exempelvis osäker konfigurering, är fortfarande den vanligaste typen av problem. Men Unit 42 har dessutom upptäckt att de färdiga mallar och standardkonfigurationerna som erbjuds av molnleverantörerna också utgör en svaghet Det är bekvämt att använda sig av dessa inställningar och funktioner för att få en enkel installation, men de skapar inte det säkerhetsmässigt bästa utgångsläget för användarna.
Risker med öppen källkod i molnet
Programvara som bygger på öppen källkod har varit en av drivkrafterna bakom molnrevolutionen. Men med användningen av öppen källkod i molnet växer också komplexiteten – vilket ökar sannolikheten för att inaktuell eller övergiven programvara finns kvar, liksom skadligt innehåll. Här har användarna ett ansvar att granska öppen källkod innan den byggs in i applikationer. Denna uppgift växer till en rejäl utmaning i stora utvecklingsprojekt, där det kan finnas ett sammantaget beroende av potentiellt tusentals programdelar med öppen källkod.
I takt med att hotaktörer hittar alltmer kreativa sätt att utnyttja felkonfigurerad molninfrastruktur, API:er och leveranskedjan för programvara kommer attackytan hos molnbaserade applikationer sannolikt fortsätta att växa.
För att skydda sig mot dessa hot ger den nya Unit 42-rapporten praktiska råd om att täppa till luckorna i molnsäkerheten. Ett exempel:
Det ska finnas automatiserade backuprutiner för alla verksamhetskritiska molnbaserade system. För att minimera sårbarheten bör säkerhetskopior lagras på olika fysiska platser, isolerade från produktionsmiljön. Varje organisation bör ha en plan för kontinuitet och katastrofsäkring där återläsning från backup ingår.
Palo Alto Networks förutser att cybersäkerhetsbranschen kommer att gå över från enskilda säkerhetslösningar till molnbaserade plattformar som skyddar applikationer (CNAPP), som ger stöd för säkerhetsarbetet över hela systemutvecklingens livscykel. Detta får även stöd av analysföretaget Gartner, som noterat en betydande ökning av CNAPP-användningen.
Rapporten gör det klart att det enda sättet att hantera den växande mängden och allt allvarligare cybersäkerhetshot är att alltid ligga steget före angriparna.
