广告

云端连结没有你想象的那么安全!

2021-11-19 13:51:05 Ann R. Thryft 阅读:
根据资安业者最新发表的云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因...

去年12月,当美国网络安全公司FireEye公布了软件业者SolarWinds发生重大资料外泄事件时,人们并没有立即意识到,如果不是因为云端连结已经运作到位,那些数据外泄事件可能就不会发生。黑客利用SolarWinds的云端网络安全漏洞,劫持了远程软件更新流程;此举也暴露了云端技术与部署的根本性缺陷。jDnednc

根据资安业者Fugue和Sonatype于5月发表的《State of Cloud Security 2021》云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因。接受调查的300位云端专业人员中,有83%表示他们的组织因为错误的配置而面临重要数据外泄的风险。jDnednc

jDnednc

Fugue与Sonatype的调查报告揭露错误云端配置的原因。jDnednc

 jDnednc

其中大部分的风险来自“庞大而复杂的”企业云端基础架构云端环境以及其动态本质,再加上是由多个API和接口构成,这些都需要投入资源进行管理。其他前几名造成不当配置的原因则是缺乏适当且足够的控制和监督,以及安全防护与政策上的疏忽。jDnednc

在云端共同责任模型(Cloud Shared Responsibility)之下,错误或不当的配置通常被归咎于客户,而非供货商。另一家安全技术供货商Aqua Security检视其数百名客户一年份云端配置数据后发表研究报告指出,有90%易遭入侵的漏洞是由于错误的配置所导致,但只有不到1%的企业修补了所有这些问题,规模较大的企业平均需要88天才能修补已知的问题,因此也延长了黑客可以入侵这些漏洞的时间。jDnednc

匆促执行的云端策略

美国行动通讯业者Verizon 最新的数据外泄年度报告发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。一项由法国航天/国防安全业者Thales所做的研究对此提供了一项可能的解释:有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却不多。jDnednc

人工智能网络安全方案供货商Vectra AI在8月针对Amazon Web Services (AWS)使用者所进行的一项调查发现,有百分之百受访者于去年在其公有云环境,至少都曾经遭遇过一次安全事故。如今有大多数企业会在多云环境下营运,但根据美国软件业者Tripwire于7月发表的一份报告显示,98%受访者指出,不同供货商带来了更严峻的安全性挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确;也有大多数人表示,希望云端服务供货商在安全方面多加把劲。jDnednc

渴望组织数字转型的企业高层都有一颗迫切达成的心,只是几乎所有的云端调查都证实,公有云和混合云的快速采用,让安全维护变得更加困难。如同我们已经指出的,疫情的推波助澜加速了企业数字转型热潮。jDnednc

仓促的数字转型步伐,也让恶名昭彰的Microsoft Exchange Server (MES)攻击事件增加。今年稍早,网络安全业者Palo Alto Networks研究人员发现,MES的风险暴露情形有79%发生在云端;他们在一篇官方部落格文章中写道:“云端环境本来就和因特网连结,而要在正常的IT程序外部署一个可公开存取的云端环境,简直出乎意料地容易。这表示他们通常没有使用足够的预设安全设置,或者根本忘记。”jDnednc

脆弱的云端软件

部分的云端安全问题源自于特定云端平台或其他软件的漏洞。在维基百科(Wikipedia)有一篇关于SolarWinds黑客事件的文章,直指微软(Microsoft)希望使用者忘记他们的一个软件漏洞Zerologon。这是微软认证协议NetLogon中存在的一个漏洞,可以让黑客轻易入侵微软网络窃取用户名称和密码。jDnednc

这个漏洞让黑客可以存取必要的额外凭证,窃取网络中任何合法用户的权限,并最终让他们可以入侵微软Office 365的电子邮件帐户。“此外,微软Outlook网页版应用程序里的一个缺陷,也让黑客可以绕过多重要素认证(multi-factor authentication);”该篇文章也指出,黑客使用伪造的身分令牌(token)欺骗微软的认证系统。jDnednc

在8月,FireEye旗下的Mandiant部门安全研究人员揭露了Kalay云端平台核心组件中的一个重大漏洞。有多达数百万的物联网装置使用Kalay的服务,该漏洞让它们全部都暴露于潜在的远程攻击风险下。FireEye在一篇部落格文章中指出:“由于许多受影响的装置都是视讯监视产品──包括网络摄影机、婴幼儿监视器以及数字视频录像机--利用该漏洞,黑客可以拦截实时音、视讯数据”。jDnednc

《EE Times》先前曾经报导,网络安全业者Wiz的研究人员最近在微软Azure云端平台的中央数据库ChaosDB发现了一个漏洞。这个容易攻击的弱点可以让黑客取得“完整、无限制的存取权”,入侵数千个使用Cosmos DB的组织帐户及数据库;黑客也可以将资料删除、下载或做其他运用,还能提供进入Cosmos DB底层架构的读/写存取权。Wiz将之形容为:“你想得到最糟的云端安全漏洞”。jDnednc

我的老天!

云端安全业者Accurics的开发人员Jon Jarboe接受《EE Times》采访时表示,Cosmos DB事件提醒了我们“要保护好自己,得做的事还很多。云端服务供货商怎么处理我们的数据,以及云端用户又是怎么处理资料,这些问题都没有很清楚的答案,让安全防护变得很困难。”jDnednc

Jorboe补充:“我们知道云端服务供货商对静态数据有很好的防护,但对传输和使用中的数据呢?Cosmos DB的缺陷将主键(primary keys)泄漏给不该取得的人,甚至没有一个好的方法可以让使用者意识到那可能发生。在厘清云端安全的全貌之前,云端服务供货商和各企业组织还有很多工作要做。”jDnednc

在《EE Times》报导ChaosDB事件同时,Palo Alto Networks又揭露了另一个同样危险的Azure漏洞──该“Azurescape”漏洞让黑客可以控制任何使用者的整个Kubernetes容器服务基础架构。之后Wiz的CosmosDB研究人员仍持续在Azure发现更重大、更容易被利用的远程程序代码执行漏洞,而这次是发生在OMI软件代理(agent)上,无数Azure客户都受到“OMIGOD”影响。jDnednc

尽管云端服务供货商正“试图做对的事,但他们也必须保护自身的品牌;”Jarboe表示,“要对外说明因应策略还是保护商业机密?这两个决策总是在相互拉扯。就算许多组织竭尽所能地进行安全防护,最终还是沦落到必须监控暗网(dark web),才能掌握资料是否已遭外泄的蛛丝马迹。他的结论是:“也许短期内这是我们唯一能够采取的对策。”jDnednc

 (原文发表于AspenCore旗下EDN姐妹媒体EETimes,参考链接:SolarWinds Fallout: Cloud Security is the Weak Link,本文同步刊登于《电子工程专辑》杂志202111月号;责编:Demi)jDnednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 商务部暂停天然砂对台湾地区出口,台积电难受了 据EDN电子技术设计了解,商务部网站8月3日早晨8点发布最新消息,表示将从即日起暂停天然砂对台湾地区出口。不少网友认为暂停天然砂对台湾地区的出口,此举将严重影响台湾的建筑业,实则影响不仅仅如此。台湾地区天然砂进口量的90%以上来自大陆,而台湾芯片占台湾2021年出口额的34.8%。网友称商务部暂停天然砂对台湾地区出口是捏到了台湾半导体制造业的七寸。
  • 华盛顿大学首创用人体热能为可穿戴电子设备供电 从健康和健身追踪器到虚拟现实设备,可穿戴电子产品已成为我们日常生活的一部分,但找到持续为这些设备供电的方法是一项挑战。华盛顿大学的研究人员开发了一种创新的解决方案:首创的柔性、可穿戴热电设备,可将体热转化为电能。
  • 理想ONE高速起火烧成光架,其1.2T三缸增程器曾被指隐藏 近期,网络平台上发布了一段理想ONE在行驶过程中,车辆出现起火的视频内容。现场拍摄的灭火后图片显示,该轿车过火后仅剩骨架,车辆前部增程器位置受损严重,车辆尾门已经在过火后从车身主体脱落。此前,曾有国内汽车媒体对一台行驶了10万公里的理想ONE的东安1.2T三缸增程发动机进行拆解,被指隐藏暗病。
  • 上海微系统所使用石墨烯纳米带研制出世界上最小尺寸的 非易失性相变随机存取存储器(PCRAM)被认为是大数据时代新兴海量存储的有希望的候选者之一。然而,相对较高的编程能量阻碍了 PCRAM 中功耗的进一步降低。利用石墨烯的窄边接触可以有效降低每个电池中相变材料的活性体积,从而实现低功耗运行。
  • 可解决工业自动化和IIoT挑战的MCU 工业自动化和工业物联网(IIoT)设计人员的性能要求不断变化。就MCU而言,他们希望获得更快的处理速度、更多的内存、更好的连接性和更多的安全功能。
  • 苹果发布2022财年第三财季业绩,营收829.59亿美元 Apple 今日公布了 2022 年第三财季的财务业绩。报告显示,苹果公司第三财季公布收入为 829.59亿美元,去年同期为 814 亿美元,同比增长2%;季度净利润为 194 .4亿美元,去年同期为217 亿美元,同比下降10.6%;其中,iPhone带来的营收406.7亿美元,同比增长3%。
  • 工程师开发出可以看到身体内部的贴纸 麻省理工学院的工程师设计了一种贴片,可以产生身体的超声图像。这种邮票大小的设备贴在皮肤上,可以提供 48 小时内脏器官的连续超声成像。
  • 美国参议院批准价值2460亿美元的芯片法案 美国参议院周三通过立法,以超过 750 亿美元支持国内半导体产业。GlobalFoundries、英特尔、三星代工厂、德州仪器、台积电和其他在美国建立半导体制造设施的公司或将受益。
  • 第三代半导体——碳化硅材料之制程与分析 SiC功率电子是加速电动车时代到来的主要动能。以SiC MOSFET取代目前的Si IGBT,不仅能使电力移转时的能源损耗降低80%以上,同时也可让芯片模块尺寸微缩至原本的1/10,达到延长电动车续航里程及缩短充电时间的功效。
  • 开源软件真的可靠吗? 乍看之下,采用开源软件似乎是个不错的办法,但归根究底,开源软件有几个特性可能会使其变得“邪恶”...
  • GaN是否可靠? GaN产业已经建立一套方法来保证GaN产品的可靠性,因此问题并不在于“GaN是否可靠?”,而是“如何验证GaN的可靠性?”
  • 华为天才少年稚晖君用108天打了个字,重新定义客制化键 自称“鸽王”的稚晖君终于更新啦。这次他带来的新项目则是:一把完全客制化、带屏幕模块的机械键盘!有网友表示,稚晖君的这个新项目,为键圈乃至整个键盘行业提供了新的设计思路,甚至有望改变目前客制化以换壳为本的囧境。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了