广告

云端连结没有你想象的那么安全!

2021-12-01 12:38:29 Ann R. Thryft 阅读:
根据资安业者最新发表的云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因...

去年12月,当美国网络安全公司FireEye公布了软件业者SolarWinds发生重大资料外泄事件时,人们并没有立即意识到,如果不是因为云端连结已经运作到位,那些数据外泄事件可能就不会发生。黑客利用SolarWinds的云端网络安全漏洞,劫持了远程软件更新流程;此举也暴露了云端技术与部署的根本性缺陷。H6kednc

根据资安业者Fugue和Sonatype于5月发表的《State of Cloud Security 2021》云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因。接受调查的300位云端专业人员中,有83%表示他们的组织因为错误的配置而面临重要数据外泄的风险。H6kednc

H6kednc

Fugue与Sonatype的调查报告揭露错误云端配置的原因。H6kednc

其中大部分的风险来自“庞大而复杂的”企业云端基础架构云端环境以及其动态本质,再加上是由多个API和接口构成,这些都需要投入资源进行管理。其他前几名造成不当配置的原因则是缺乏适当且足够的控制和监督,以及安全防护与政策上的疏忽。H6kednc

在云端共同责任模型(Cloud Shared Responsibility)之下,错误或不当的配置通常被归咎于客户,而非供货商。另一家安全技术供货商Aqua Security检视其数百名客户一年份云端配置数据后发表研究报告指出,有90%易遭入侵的漏洞是由于错误的配置所导致,但只有不到1%的企业修补了所有这些问题,规模较大的企业平均需要88天才能修补已知的问题,因此也延长了黑客可以入侵这些漏洞的时间。H6kednc

匆促执行的云端策略

美国行动通讯业者Verizon 最新的数据外泄年度报告发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。一项由法国航天/国防安全业者Thales所做的研究对此提供了一项可能的解释:有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却不多。H6kednc

人工智能网络安全方案供货商Vectra AI在8月针对Amazon Web Services (AWS)使用者所进行的一项调查发现,有百分之百受访者于去年在其公有云环境,至少都曾经遭遇过一次安全事故。如今有大多数企业会在多云环境下营运,但根据美国软件业者Tripwire于7月发表的一份报告显示,98%受访者指出,不同供货商带来了更严峻的安全性挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确;也有大多数人表示,希望云端服务供货商在安全方面多加把劲。H6kednc

渴望组织数字转型的企业高层都有一颗迫切达成的心,只是几乎所有的云端调查都证实,公有云和混合云的快速采用,让安全维护变得更加困难。如同我们已经指出的,疫情的推波助澜加速了企业数字转型热潮。H6kednc

仓促的数字转型步伐,也让恶名昭彰的Microsoft Exchange Server (MES)攻击事件增加。今年稍早,网络安全业者Palo Alto Networks研究人员发现,MES的风险暴露情形有79%发生在云端;他们在一篇官方部落格文章中写道:“云端环境本来就和因特网连结,而要在正常的IT程序外部署一个可公开存取的云端环境,简直出乎意料地容易。这表示他们通常没有使用足够的预设安全设置,或者根本忘记。”H6kednc

脆弱的云端软件

部分的云端安全问题源自于特定云端平台或其他软件的漏洞。在维基百科(Wikipedia)有一篇关于SolarWinds黑客事件的文章,直指微软(Microsoft)希望使用者忘记他们的一个软件漏洞Zerologon。这是微软认证协议NetLogon中存在的一个漏洞,可以让黑客轻易入侵微软网络窃取用户名称和密码。H6kednc

这个漏洞让黑客可以存取必要的额外凭证,窃取网络中任何合法用户的权限,并最终让他们可以入侵微软Office 365的电子邮件帐户。“此外,微软Outlook网页版应用程序里的一个缺陷,也让黑客可以绕过多重要素认证(multi-factor authentication);”该篇文章也指出,黑客使用伪造的身分令牌(token)欺骗微软的认证系统。H6kednc

在8月,FireEye旗下的Mandiant部门安全研究人员揭露了Kalay云端平台核心组件中的一个重大漏洞。有多达数百万的物联网装置使用Kalay的服务,该漏洞让它们全部都暴露于潜在的远程攻击风险下。FireEye在一篇部落格文章中指出:“由于许多受影响的装置都是视讯监视产品──包括网络摄影机、婴幼儿监视器以及数字视频录像机--利用该漏洞,黑客可以拦截实时音、视讯数据”。H6kednc

《EE Times》先前曾经报导,网络安全业者Wiz的研究人员最近在微软Azure云端平台的中央数据库ChaosDB发现了一个漏洞。这个容易攻击的弱点可以让黑客取得“完整、无限制的存取权”,入侵数千个使用Cosmos DB的组织帐户及数据库;黑客也可以将资料删除、下载或做其他运用,还能提供进入Cosmos DB底层架构的读/写存取权。Wiz将之形容为:“你想得到最糟的云端安全漏洞”。H6kednc

我的老天!

云端安全业者Accurics的开发人员Jon Jarboe接受《EE Times》采访时表示,Cosmos DB事件提醒了我们“要保护好自己,得做的事还很多。云端服务供货商怎么处理我们的数据,以及云端用户又是怎么处理资料,这些问题都没有很清楚的答案,让安全防护变得很困难。”H6kednc

Jorboe补充:“我们知道云端服务供货商对静态数据有很好的防护,但对传输和使用中的数据呢?Cosmos DB的缺陷将主键(primary keys)泄漏给不该取得的人,甚至没有一个好的方法可以让使用者意识到那可能发生。在厘清云端安全的全貌之前,云端服务供货商和各企业组织还有很多工作要做。”H6kednc

在《EE Times》报导ChaosDB事件同时,Palo Alto Networks又揭露了另一个同样危险的Azure漏洞──该“Azurescape”漏洞让黑客可以控制任何使用者的整个Kubernetes容器服务基础架构。之后Wiz的CosmosDB研究人员仍持续在Azure发现更重大、更容易被利用的远程程序代码执行漏洞,而这次是发生在OMI软件代理(agent)上,无数Azure客户都受到“OMIGOD”影响。H6kednc

尽管云端服务供货商正“试图做对的事,但他们也必须保护自身的品牌;”Jarboe表示,“要对外说明因应策略还是保护商业机密?这两个决策总是在相互拉扯。就算许多组织竭尽所能地进行安全防护,最终还是沦落到必须监控暗网(dark web),才能掌握资料是否已遭外泄的蛛丝马迹。他的结论是:“也许短期内这是我们唯一能够采取的对策。”H6kednc

(原文发表于AspenCore旗下EDN姐妹媒体EETimes,参考链接:SolarWinds Fallout: Cloud Security is the Weak Link,By Ann R. Thryft;本文同步刊登于《电子工程专辑》杂志2021年11月号)H6kednc

责编:DemiH6kednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 纳米技术加持:生物光子学迎接医疗应用前景 本文介绍四个相关用例,说明以激光驱动的生物光子学结合纳米技术的应用如何共同实现更理想的医疗健康效果。
  • 复旦大学研究人员发明晶圆级硅基二维互补叠层晶体管 复旦大学研究团队将新型二维原子晶体引入传统的硅基芯片制造流程,实现了晶圆级异质CFET技术。相比于硅材料,二维原子晶体的单原子层厚度使其在小尺寸器件中具有优越的短沟道控制能力。
  • 宝马AI“超级大脑”上线,驱动在华数字化发展 近日,宝马率先在华部署了代号为“灯塔”(BEACON)的人工智能(AI)平台,提供AI应用创新相关的开发、部署、集成与运行服务的平台化环境,加速实现多业务场景数字化。
  • 西工大打破吉尼斯世界纪录,扑翼式无人机单次充电飞行15 据西北工业大学官宣其扑翼式无人机单次充电飞行时间获得新的吉尼斯世界纪录,认定的纪录时间为 2 小时 34 分 38 秒 62(突破 154 分钟)。本次刷新世界纪录的“云鸮”扑翼式无人机采用了高升力大推力柔性扑动翼设计、高效仿生驱动系统设计和微型飞控导航一体化集成等关键技术,翼展 1.82m,空载起飞重量为 1kg,手抛起飞,滑翔降落,能够按设定航线自主飞行,飞行过程中能实时变更航线。
  • 电化学腐蚀制备新技术发表,“一步到位”制作电池电极 据了解,天津大学“英才计划”特聘研究员吉科猛团队联合湖南大学谭勇文教授团队利用钴磷合金研发出了仅用一步即可制成电池电极的电化学腐蚀制备技术,该相关研究成果将于近日发表在国际期刊《先进材料》上。
  • 麻省理工开发出纸一样薄的太阳能电池,每公斤功率是传统 麻省理工学院称其工程师开发出超轻织物太阳能电池,可以快速轻松地将任何表面变成电源。这些耐用、灵活的太阳能电池比人的头发丝细得多,粘在坚固、轻便的织物上,使其易于安装在固定表面上。它们的重量是传统太阳能电池板的百分之一,每公斤产生的功率是传统太阳能电池板的18倍。
  • iPhone 15全面升级,Ultra版本或超万元起售 据多方消息,明年苹果将在手机产品线上进行大范围的升级,如今的Pro版将不再是最高端版本,而是将推出一个全新产品iPhone 15 Ultra。
  • 英特尔展示下一代半导体器件技术,计划2030年实现万亿级 日前,英特尔在IEDM上展示多项与半导体制造技术相关的研究成果:3D封装技术的新进展,可将密度再提升10倍;超越RibbonFET,用于2D晶体管微缩的新材料,包括仅三个原子厚的超薄材料;能效和存储的新可能,以实现更高性能的计算;量子计算的新进展。此外,英特尔表示,目标是在2030年实现在单个封装中集成一万亿个晶体管。
  • 通过GaN电机系统提高机器人的效率和功率密度 机器人应用成功的关键因素之一是确保最佳的电机驱动器设计。
  • 湖南大学:基于2D的范德华异质结构,可用于晶体管及存储器 电子工程研究的一个关键目标是开发高性能和高能效的计算设备,这意味着它们可以快速计算信息,同时消耗很少的能量。一种可能的方法是将执行逻辑操作的单元和存储组件组合到一个设备中。
  • Codasip宣布成立Codasip实验室,以加速行业前沿技术的开 Codasip今日宣布成立Codasip实验室(Codasip Labs)。作为公司内部创新中心,新的Codasip实验室将支持关键应用领域中创新技术的开发和商业应用,覆盖了安全、功能安全(FuSa)和人工智能/机器学习(AI/ML)等方向。
  • 了解机器感知:激光雷达、3D视觉和地理空间AI 随着人工智能(AI)和物理世界的交叉,以及自主技术采用的增加,有人可能会提出质疑,机器及其目前脆弱的模型如何能以人类的方式感知世界。借助于诸如激光雷达、雷达和摄像头等自动驾驶汽车上所使用的传感器技术,机器已开始能收集实时数据来为决策提供信息,并适应现实世界的场景。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了