/13258721/i_800.jpg)
Согласно исследованию телеметрии клиентов компании Tenable, специализирующейся на поставках средств облачной безопасности, в первой половине текущего года у 38% организаций был по крайней мере один критически уязвимый незащищенный облачный сервис, наделенный высокими привилегиями. Свою долю вины за это несут и организации-пользователи. Многие нарушения в работе облака не относятся к сфере ответственности провайдера и вызваны неэффективным управлением. В качестве примера можно привести облачную брешь Capital One, выявленную в 2019 году. Чтобы привести базовые параметры безопасности к стандартному виду, необходимо прежде всего регулярно проверять права доступа, придерживаться принципов нулевого доверия и организовать централизованное управление.
Исследование показало, что 74% организаций обладают незащищенными хранилищами, в части из которых размещены конфиденциальные данные. Хакеры знают об этом, и многие атаки программ-вымогателей, которые можно было бы предотвратить за счет ввода дополнительных ограничений, направлены именно на общедоступные облачные ресурсы. Анализ данных телеметрии незащищенных хранилищ показал, что у 39% организаций имеются общедоступные хранилища, у 29% – общедоступные или частные хранилища с завышенными правами доступа и у 6% – общедоступные хранилища с завышенными правами доступа. Причем одними лишь хранилищами дело не ограничивается. Просроченные ключи доступа с избыточными разрешениями выявлены у 84% организаций. В качестве трех примеров злоупотребления ключами в отчете упоминаются утечка данных MGM Resorts, взлом электронной почты Microsoft и вредоносная программа FBot, которая нацелена на веб-серверы, облачные сервисы и ПО SaaS, обеспечивающее устойчивость и распространяемое на платформе AWS через пользователей AWS IAM (identity and access management).
Добавим к этому, что 23% облачных учетных записей крупнейших гиперскейлеров (Amazon Web Services, Google Cloud Platform и Microsoft Azure) обладают дополнительными правами, которые имеют важное или критически важное значение. Отчасти такая ситуация обусловлена природой человека. Высокий процент критических разрешений, предоставляемых учетным записям пользователей, отражает естественную склонность людей идти по пути наименьшего сопротивления. Исследование показало, что 78% организаций имеют общедоступные серверы с API Kubernetes, 41% из которых разрешают входящий доступ из Интернета, что не может не вызывать тревогу. Кроме того, 58% позволяют определенным пользователям получить неограниченный контроль над средами Kubernetes, а 44% запускают контейнеры в привилегированном режиме, что приводит к усилению рисков с точки зрения безопасности. Более 80% сервисов имеют неустранимую критическую уязвимость CVE (CVE-2024-21626), используя которую можно добиться выполнения программного кода вне контейнера.
Tenable предлагает ряд стратегий, помогающих организациям уменьшить риски:
— Концепция на основе контекста. Объедините информацию об идентификационных сведениях, уязвимостях, неверной конфигурации и рисках для данных в единый инструмент для получения точной визуализации, анализа контекста и расстановки приоритетов в отношении рисков облачной безопасности. Не все риски одинаковы – выявление токсичных комбинаций помогает значительно снизить уровень риска.
— Контроль доступа к Kubernetes и контейнерам. Придерживайтесь стандартов безопасности Pod, регламентирующих в том числе и контроль доступа к привилегированным контейнерам. Ограничьте входящий доступ к серверам API Kubernetes и убедитесь, что в конфигурациях Kubelet отключена анонимная аутентификация. Оставляйте роли администратора кластера только тогда, когда они действительно необходимы. В противном случае назначьте пользователям роли с более низкими привилегиями.
— Управление учетными данными и правами доступа. Избегайте использования долгосрочных ключей доступа. Регулярно проводите аудит и корректируйте разрешения, придерживаясь принципа минимальных привилегий.
— Определение приоритетности уязвимостей. Сосредоточьтесь в первую очередь на устранении уязвимостей с наибольшими рисками, особенно тех из них, которые находятся в верхней части рейтинга VPR.
— Минимизация внешнего воздействия. Изучите все общедоступные ресурсы и определите не несут ли они угрозы конфиденциальной информации или критически важной инфраструктуре. Следите за выпуском обновлений.
Структура хакерских атак на верхнем уровне не изменилась: как и прежде, злоумышленнику нужно найти жертву, пройти через точку входа и продвинуться вперед к ценным для него ресурсам. Отчет Tenable показывает, что многие организации слишком беспечно относятся к вопросам безопасности. Без четкого определения процессов и тщательного аудита в сочетании с использованием средств автоматизации и согласованными действиями имеющиеся риски существенно снизить не удастся. Опубликованные компанией результаты исследования являются еще одним весомым аргументом в пользу повышения эффективности управления, учета рисков и соблюдения нормативных требований.
