广告

云端连结没有你想象的那么安全!

2021-12-01 Ann R. Thryft 阅读:
根据资安业者最新发表的云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因...

去年12月,当美国网络安全公司FireEye公布了软件业者SolarWinds发生重大资料外泄事件时,人们并没有立即意识到,如果不是因为云端连结已经运作到位,那些数据外泄事件可能就不会发生。黑客利用SolarWinds的云端网络安全漏洞,劫持了远程软件更新流程;此举也暴露了云端技术与部署的根本性缺陷。LkTednc

根据资安业者Fugue和Sonatype于5月发表的《State of Cloud Security 2021》云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因。接受调查的300位云端专业人员中,有83%表示他们的组织因为错误的配置而面临重要数据外泄的风险。LkTednc

LkTednc

Fugue与Sonatype的调查报告揭露错误云端配置的原因。LkTednc

其中大部分的风险来自“庞大而复杂的”企业云端基础架构云端环境以及其动态本质,再加上是由多个API和接口构成,这些都需要投入资源进行管理。其他前几名造成不当配置的原因则是缺乏适当且足够的控制和监督,以及安全防护与政策上的疏忽。LkTednc

在云端共同责任模型(Cloud Shared Responsibility)之下,错误或不当的配置通常被归咎于客户,而非供货商。另一家安全技术供货商Aqua Security检视其数百名客户一年份云端配置数据后发表研究报告指出,有90%易遭入侵的漏洞是由于错误的配置所导致,但只有不到1%的企业修补了所有这些问题,规模较大的企业平均需要88天才能修补已知的问题,因此也延长了黑客可以入侵这些漏洞的时间。LkTednc

匆促执行的云端策略

美国行动通讯业者Verizon 最新的数据外泄年度报告发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。一项由法国航天/国防安全业者Thales所做的研究对此提供了一项可能的解释:有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却不多。LkTednc

人工智能网络安全方案供货商Vectra AI在8月针对Amazon Web Services (AWS)使用者所进行的一项调查发现,有百分之百受访者于去年在其公有云环境,至少都曾经遭遇过一次安全事故。如今有大多数企业会在多云环境下营运,但根据美国软件业者Tripwire于7月发表的一份报告显示,98%受访者指出,不同供货商带来了更严峻的安全性挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确;也有大多数人表示,希望云端服务供货商在安全方面多加把劲。LkTednc

渴望组织数字转型的企业高层都有一颗迫切达成的心,只是几乎所有的云端调查都证实,公有云和混合云的快速采用,让安全维护变得更加困难。如同我们已经指出的,疫情的推波助澜加速了企业数字转型热潮。LkTednc

仓促的数字转型步伐,也让恶名昭彰的Microsoft Exchange Server (MES)攻击事件增加。今年稍早,网络安全业者Palo Alto Networks研究人员发现,MES的风险暴露情形有79%发生在云端;他们在一篇官方部落格文章中写道:“云端环境本来就和因特网连结,而要在正常的IT程序外部署一个可公开存取的云端环境,简直出乎意料地容易。这表示他们通常没有使用足够的预设安全设置,或者根本忘记。”LkTednc

脆弱的云端软件

部分的云端安全问题源自于特定云端平台或其他软件的漏洞。在维基百科(Wikipedia)有一篇关于SolarWinds黑客事件的文章,直指微软(Microsoft)希望使用者忘记他们的一个软件漏洞Zerologon。这是微软认证协议NetLogon中存在的一个漏洞,可以让黑客轻易入侵微软网络窃取用户名称和密码。LkTednc

这个漏洞让黑客可以存取必要的额外凭证,窃取网络中任何合法用户的权限,并最终让他们可以入侵微软Office 365的电子邮件帐户。“此外,微软Outlook网页版应用程序里的一个缺陷,也让黑客可以绕过多重要素认证(multi-factor authentication);”该篇文章也指出,黑客使用伪造的身分令牌(token)欺骗微软的认证系统。LkTednc

在8月,FireEye旗下的Mandiant部门安全研究人员揭露了Kalay云端平台核心组件中的一个重大漏洞。有多达数百万的物联网装置使用Kalay的服务,该漏洞让它们全部都暴露于潜在的远程攻击风险下。FireEye在一篇部落格文章中指出:“由于许多受影响的装置都是视讯监视产品──包括网络摄影机、婴幼儿监视器以及数字视频录像机--利用该漏洞,黑客可以拦截实时音、视讯数据”。LkTednc

《EE Times》先前曾经报导,网络安全业者Wiz的研究人员最近在微软Azure云端平台的中央数据库ChaosDB发现了一个漏洞。这个容易攻击的弱点可以让黑客取得“完整、无限制的存取权”,入侵数千个使用Cosmos DB的组织帐户及数据库;黑客也可以将资料删除、下载或做其他运用,还能提供进入Cosmos DB底层架构的读/写存取权。Wiz将之形容为:“你想得到最糟的云端安全漏洞”。LkTednc

我的老天!

云端安全业者Accurics的开发人员Jon Jarboe接受《EE Times》采访时表示,Cosmos DB事件提醒了我们“要保护好自己,得做的事还很多。云端服务供货商怎么处理我们的数据,以及云端用户又是怎么处理资料,这些问题都没有很清楚的答案,让安全防护变得很困难。”LkTednc

Jorboe补充:“我们知道云端服务供货商对静态数据有很好的防护,但对传输和使用中的数据呢?Cosmos DB的缺陷将主键(primary keys)泄漏给不该取得的人,甚至没有一个好的方法可以让使用者意识到那可能发生。在厘清云端安全的全貌之前,云端服务供货商和各企业组织还有很多工作要做。”LkTednc

在《EE Times》报导ChaosDB事件同时,Palo Alto Networks又揭露了另一个同样危险的Azure漏洞──该“Azurescape”漏洞让黑客可以控制任何使用者的整个Kubernetes容器服务基础架构。之后Wiz的CosmosDB研究人员仍持续在Azure发现更重大、更容易被利用的远程程序代码执行漏洞,而这次是发生在OMI软件代理(agent)上,无数Azure客户都受到“OMIGOD”影响。LkTednc

尽管云端服务供货商正“试图做对的事,但他们也必须保护自身的品牌;”Jarboe表示,“要对外说明因应策略还是保护商业机密?这两个决策总是在相互拉扯。就算许多组织竭尽所能地进行安全防护,最终还是沦落到必须监控暗网(dark web),才能掌握资料是否已遭外泄的蛛丝马迹。他的结论是:“也许短期内这是我们唯一能够采取的对策。”LkTednc

(原文发表于AspenCore旗下EDN姐妹媒体EETimes,参考链接:SolarWinds Fallout: Cloud Security is the Weak Link,By Ann R. Thryft;本文同步刊登于《电子工程专辑》杂志2021年11月号)LkTednc

责编:DemiLkTednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 酒店房间装有摄像头?防偷窥神器是怎样检测出的? EDN小编在某科技类微信群看到了一条关于“酒店马桶内装有摄像头,用防偷拍神器可以检测到”的短视频,群里的科技大拿们对此展开了热烈讨论。有人提问说,这到底是摄像头还是智能马桶的红外感应器?有人说,看来智慧家居给偷拍产业提供了隐藏。还有人认为,这很可能是女主播为了带货拍的广告视频……那么事情的真相是什么?
  • iPhone 14 Pro 将采用“药丸+圆孔”双孔设计 传闻称苹果计划在今年推出的iPhone 14系列的部分机型上,更改刘海屏设计,iPhone 14 Pro和 14 Pro Max 将采用药丸形切口设计,可容纳Face ID元素和自拍相机的第二个孔。
  • 台积电、联电校招万人,业内人士:行业薪资达十年来最高水 近日,台积电、联电开启了校招活动,其中,台积电预计招募超过8000名新员工、联电预计招募 2000 名人才,硕士毕业工程师平均年薪上看200万新台币,约合人民币45万元。晶圆厂们大手笔扩招源于晶圆厂们2021年的“疯狂”扩产。
  • 黑客“开源”英伟达后续:开源三星源代码,下一个是高通 此前英伟达遭到了黑客组织的网络攻击,导致超过1TB的数据泄露,由于与英伟达交涉不畅,黑客组织现在正试图将窃取的信息出售给第三方。与此同时,黑客又“帮”三星把代码给开源了,顺便还把高通也捎上了。
  • 被二十余家科技巨头“制裁”,俄罗斯反击:停供美国火箭发 随着俄罗斯与乌克兰冲突的持续升级,以美国为首的北约成员国和欧洲国家纷纷对俄罗斯宣布制裁,不少科技行业也加入了制裁俄罗斯的队伍。如英特尔、AMD断供,苹果在俄停售,美国社交平台“禁言”俄罗斯媒体、甲骨文、SAP等云巨头停服俄罗斯等,但值得一提的是,俄罗斯也进行了反击。不仅停止了向美国交付火箭发动机,终止两国在国际空间站的实验合作,还启用本国互联网 Runet。
  • PCIe 5.0连接器线缆详细信息曝光,最高支持600W 日前,Twitter 用户@momomo_us透露了进一步研究 PCIe Gen 5.0 连接器标准的图片和内容。根据泄漏者 @momom_us 发布的 PPT显示,即将推出的 PCIe Gen5 显卡标准官方名称为“12VHPWR”,负责定义 ATX 规格的英特尔数据显示,该接口将支持 4 种电源配置,分别为 150W、300W、450W、600W。
  • 英特尔、AMD、Arm等九大企业宣布UCIe开放标准,推动Chip 英特尔、AMD、Arm 和所有领先的代工厂商齐聚一堂,包括高通、三星、台积电、日月光,以及Google Cloud、Meta、微软,宣布他们正在为小芯片互连制定一个新的开放标准Universal Chiplet Interconnect Express (UCIe),希望以UCIe 1.0规范建立芯片互连、兼容运作,让更多业者能依照此标准打造新款处理器,并且能配合不同微芯片建构差异化设计。
  • 英伟达被黑客组织勒索,网友从泄露数据中挖出核心机密信 NVIDIA近日被南美黑客组织勒索攻击一事引起了网友的关注。不同于竞品中的AMD FSR采样技术和英特尔XeSS采样技术,英伟达之前从未公布过DLSS的源代码,很不愿意将这个大量挣钱的独有技术给开源了。部分获得了这些数据的人已经开始了对代码的分析、并试图弄懂DLSS的工作原理。
  • 联发科超越高通,成美国Android手机芯片首选 据EDN电子技术设计报道,联发科在其天玑 8000 系列简报中报告称,在美国销售的所有Android手机中,联发科芯片占比排名第一,并引用了IDC 2021 年第四季度的统计数据。
  • 从技术角度分析,GaN和SiC功率器件上量还欠什么? 氮化镓(GaN)和碳化硅(SiC)这两种新器件正在推动电力电子行业发生重大变化,它们在汽车、数据中心、可再生能源、航空航天和电机驱动等多个行业取得了长足的进步。在由AspenCore集团举办的PowerUP Expo大会上,演讲嘉宾们深入探讨了包括GaN和SiC在内的宽禁带(WBG)器件的技术优势以及发展趋势。
  • 研发转至FAE(现场应用工程师),是否远离技术了?有前途吗? 前几日,EDN小编在浏览知乎的时候,发现了一个有趣的话题《FAE有什么发展前景吗?》,被浏览次数接近九万次。小编总结了一下题主的提问:FAE是否远离技术了?未来是否有发展前景?
  • 小米发布“小感量+磁吸”无线充电预研技术,最高支持50W 据EDN电子技术设计报道,昨日,@小米手机 官微宣布,正式发布小感量+磁吸”无线充电预研技术,其磁吸无线充电功率最高可达50W,损耗降低50%。据悉,该技术与传统无线充电方案采用大感量线圈不同,小米的小感量无线快充技术方案采用小感知线圈去感应发送端能量。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了