广告

云端连结没有你想象的那么安全!

2021-12-01 12:38:29 Ann R. Thryft 阅读:
根据资安业者最新发表的云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因...

去年12月,当美国网络安全公司FireEye公布了软件业者SolarWinds发生重大资料外泄事件时,人们并没有立即意识到,如果不是因为云端连结已经运作到位,那些数据外泄事件可能就不会发生。黑客利用SolarWinds的云端网络安全漏洞,劫持了远程软件更新流程;此举也暴露了云端技术与部署的根本性缺陷。EB7ednc

根据资安业者Fugue和Sonatype于5月发表的《State of Cloud Security 2021》云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因。接受调查的300位云端专业人员中,有83%表示他们的组织因为错误的配置而面临重要数据外泄的风险。EB7ednc

EB7ednc

Fugue与Sonatype的调查报告揭露错误云端配置的原因。EB7ednc

其中大部分的风险来自“庞大而复杂的”企业云端基础架构云端环境以及其动态本质,再加上是由多个API和接口构成,这些都需要投入资源进行管理。其他前几名造成不当配置的原因则是缺乏适当且足够的控制和监督,以及安全防护与政策上的疏忽。EB7ednc

在云端共同责任模型(Cloud Shared Responsibility)之下,错误或不当的配置通常被归咎于客户,而非供货商。另一家安全技术供货商Aqua Security检视其数百名客户一年份云端配置数据后发表研究报告指出,有90%易遭入侵的漏洞是由于错误的配置所导致,但只有不到1%的企业修补了所有这些问题,规模较大的企业平均需要88天才能修补已知的问题,因此也延长了黑客可以入侵这些漏洞的时间。EB7ednc

匆促执行的云端策略

美国行动通讯业者Verizon 最新的数据外泄年度报告发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。一项由法国航天/国防安全业者Thales所做的研究对此提供了一项可能的解释:有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却不多。EB7ednc

人工智能网络安全方案供货商Vectra AI在8月针对Amazon Web Services (AWS)使用者所进行的一项调查发现,有百分之百受访者于去年在其公有云环境,至少都曾经遭遇过一次安全事故。如今有大多数企业会在多云环境下营运,但根据美国软件业者Tripwire于7月发表的一份报告显示,98%受访者指出,不同供货商带来了更严峻的安全性挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确;也有大多数人表示,希望云端服务供货商在安全方面多加把劲。EB7ednc

渴望组织数字转型的企业高层都有一颗迫切达成的心,只是几乎所有的云端调查都证实,公有云和混合云的快速采用,让安全维护变得更加困难。如同我们已经指出的,疫情的推波助澜加速了企业数字转型热潮。EB7ednc

仓促的数字转型步伐,也让恶名昭彰的Microsoft Exchange Server (MES)攻击事件增加。今年稍早,网络安全业者Palo Alto Networks研究人员发现,MES的风险暴露情形有79%发生在云端;他们在一篇官方部落格文章中写道:“云端环境本来就和因特网连结,而要在正常的IT程序外部署一个可公开存取的云端环境,简直出乎意料地容易。这表示他们通常没有使用足够的预设安全设置,或者根本忘记。”EB7ednc

脆弱的云端软件

部分的云端安全问题源自于特定云端平台或其他软件的漏洞。在维基百科(Wikipedia)有一篇关于SolarWinds黑客事件的文章,直指微软(Microsoft)希望使用者忘记他们的一个软件漏洞Zerologon。这是微软认证协议NetLogon中存在的一个漏洞,可以让黑客轻易入侵微软网络窃取用户名称和密码。EB7ednc

这个漏洞让黑客可以存取必要的额外凭证,窃取网络中任何合法用户的权限,并最终让他们可以入侵微软Office 365的电子邮件帐户。“此外,微软Outlook网页版应用程序里的一个缺陷,也让黑客可以绕过多重要素认证(multi-factor authentication);”该篇文章也指出,黑客使用伪造的身分令牌(token)欺骗微软的认证系统。EB7ednc

在8月,FireEye旗下的Mandiant部门安全研究人员揭露了Kalay云端平台核心组件中的一个重大漏洞。有多达数百万的物联网装置使用Kalay的服务,该漏洞让它们全部都暴露于潜在的远程攻击风险下。FireEye在一篇部落格文章中指出:“由于许多受影响的装置都是视讯监视产品──包括网络摄影机、婴幼儿监视器以及数字视频录像机--利用该漏洞,黑客可以拦截实时音、视讯数据”。EB7ednc

《EE Times》先前曾经报导,网络安全业者Wiz的研究人员最近在微软Azure云端平台的中央数据库ChaosDB发现了一个漏洞。这个容易攻击的弱点可以让黑客取得“完整、无限制的存取权”,入侵数千个使用Cosmos DB的组织帐户及数据库;黑客也可以将资料删除、下载或做其他运用,还能提供进入Cosmos DB底层架构的读/写存取权。Wiz将之形容为:“你想得到最糟的云端安全漏洞”。EB7ednc

我的老天!

云端安全业者Accurics的开发人员Jon Jarboe接受《EE Times》采访时表示,Cosmos DB事件提醒了我们“要保护好自己,得做的事还很多。云端服务供货商怎么处理我们的数据,以及云端用户又是怎么处理资料,这些问题都没有很清楚的答案,让安全防护变得很困难。”EB7ednc

Jorboe补充:“我们知道云端服务供货商对静态数据有很好的防护,但对传输和使用中的数据呢?Cosmos DB的缺陷将主键(primary keys)泄漏给不该取得的人,甚至没有一个好的方法可以让使用者意识到那可能发生。在厘清云端安全的全貌之前,云端服务供货商和各企业组织还有很多工作要做。”EB7ednc

在《EE Times》报导ChaosDB事件同时,Palo Alto Networks又揭露了另一个同样危险的Azure漏洞──该“Azurescape”漏洞让黑客可以控制任何使用者的整个Kubernetes容器服务基础架构。之后Wiz的CosmosDB研究人员仍持续在Azure发现更重大、更容易被利用的远程程序代码执行漏洞,而这次是发生在OMI软件代理(agent)上,无数Azure客户都受到“OMIGOD”影响。EB7ednc

尽管云端服务供货商正“试图做对的事,但他们也必须保护自身的品牌;”Jarboe表示,“要对外说明因应策略还是保护商业机密?这两个决策总是在相互拉扯。就算许多组织竭尽所能地进行安全防护,最终还是沦落到必须监控暗网(dark web),才能掌握资料是否已遭外泄的蛛丝马迹。他的结论是:“也许短期内这是我们唯一能够采取的对策。”EB7ednc

(原文发表于AspenCore旗下EDN姐妹媒体EETimes,参考链接:SolarWinds Fallout: Cloud Security is the Weak Link,By Ann R. Thryft;本文同步刊登于《电子工程专辑》杂志2021年11月号)EB7ednc

责编:DemiEB7ednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 用水泥和炭黑制造储能超级电容器 一项新的研究表明,人类最普遍的两种历史材料,水泥和炭黑(类似于非常细的木炭),可能会成为新型低成本储能系统的基础。该技术可以在可再生能源供应出现波动的情况下使能源网络保持稳定,从而促进太阳能、风能和潮汐能等可再生能源的使用。
  • 一种用于电路板回收的新基材:遇水能溶 英国的Jiva Materials公司开发了一种新型的PCB基材Soluboard,这种基材是由天然纤维包裹在一种无卤的聚合物中制成的,与行业内经常使用的FR-4基材不同,这种材料只要在90摄氏度左右的热水中浸泡30分钟,就可以分层溶解···
  • 美国公司声称发现室温超导材料,被授予了高于室温的第二 位于美国佛罗伦萨州的Taj Quantum的公司在社交媒体宣布,被授予了高于室温的第二类超导体专利。据称,这种独特的 II 型超导体(专利号:17249094)可在较宽的温度范围内工作,包括远高于室温的温度,从约 -100° F (-73° C) 到约 302° F (150° C) - 这是一种特性这在超导体世界中并不常见。
  • 机器人版的ChatGPT,谷歌新模型泛化能力大幅提高 7月28日,Google DeepMind宣布以训练AI聊天机器人的方式训练了一款全新的机器人模型Robotic Transformer 2(RT-2),这是一种新颖的视觉-语言-动作(VLA)模型,可以从网络和机器人数据中学习,并将这些知识转化为机器人控制的通用指令。
  • 俄罗斯“贝加尔湖”基准测试对比英特尔和华为芯片,惨败 俄罗斯服务器处理器 Baikal-S 的开发人员将其性能与美国和中国的同类芯片进行了比较。涉及六个流行指标。
  • 英伟达惨遭背刺,这个SDK让AMD平台也能运行CUDA 近日,AMD正式推出了HIP SDK,这是ROCm生态系统的一部分,基于开源ROCm解决方案,HIP SDK使消费者可以在各类GPU上运行CUDA应用,为专业和消费级GPU提供CUDA支持。
  • 麻省理工发现新型量子磁铁释放电子潜力 研究人员发现了如何控制异常霍尔效应和贝里曲率来制造用于计算机、机器人和传感器的柔性量子磁体。
  • 电池能用三十年?美国Ener Venue称推出革命性电池技术 三元锂离子电池的理论寿命约为800次循环,磷酸铁锂约为2000次,而钛酸锂据说可以达到1万次循环,也就是说常规普通人使用的锂离子电池每天完全充放电三次,最多也就能用上几年的时间。虽然相较于铅酸电池200-300次的循环寿命来说,这已经是很大幅度的提升了,但现在有一家公司宣称他们的电池可以充放电30000次,每天充放电三次,能用30年。
  • 测试中比友商温度低14度,一加天工散热系统怎么做到的? 7月27日,一加在2023年ChinaJoy上发布了全球首创的散热技术,即航天级三维立体散热系统“天工散热系统”,这是一加的又一次新的尝试,让我们一起来了解一下。
  • 万物电气化:探索绿色未来之路 在本文中,我们将重点介绍美国年度脱碳展望(ADP)2022报告中的一些重要发现。本报告着眼于实现净零经济的各种情景。我们在本文中重点关注的方法称为“中心情景”,它遵循到2050年实现净零排放的时间表。
  • 后来居上,美光宣布已出样业界首款HBM3 Gen2内存 7月26日,美光宣布推出业界首款8层24GB HBM3 Gen2内存芯片,是HBM3的下一代产品,采用1β工艺节点,目前该款美光内存芯片正在向客户提供样品。
  • 韩国造世界首个室温超导体,闹剧还是新的未来? 7月22日,韩国的一个科研团队在预印本网站arXiv平台上上传了两篇论文,声称发现了世界上首个常压室温超导体,这种材料是一种改性铅磷灰石名为LK-99,超导临界温度在127摄氏度,即400K以上,而且在常压下就具备超导性。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了