Rast usvajanja računa u oblaku i sigurnosni izazovi
Kako diskretno usvajanje računa u oblaku raste, organizacije se sve više oslanjaju na platforme poput Amazon Web Services (AWS), Microsoft Azure i Google Cloud za svoju infrastrukturu i usluge. Ipak, to također znači da se sigurnosni rizici postaju složeniji. Prema nedavnom izvješću Datadoga pod nazivom “Stanje sigurnosti u oblaku 2024”, jedan od posebno zabrinjavajućih problema je upotreba dugotrajnih vjerodajnica, koje predstavljaju značajne sigurnosne prijetnje svim glavnim pružateljima oblaka.
Dugotrajne vjerodajnice i njihova opasnost
Un Despite napretka u alatima i praksama cloud sigurnosti, mnoge organizacije još uvijek koriste dugotrajne vjerodajnice koje se ne istječu automatski. Ove vjerodajnice, osobito one koje više nisu aktivno upravljane, postaju lak cilj za napadače. Ako dođe do curenja ili kompromitacije ovih vjerodajnica, to može omogućiti neovlašteni pristup osjetljivim podacima ili sustavima.
Prema izvješću, gotovo polovina (46%) organizacija još uvijek ima neuređene korisnike s dugotrajnim vjerodajnicama. Ove vjerodajnice su posebno problematične jer su često ugrađene u različite resurse poput izvornog koda, slika kontejnera i build logova. Ako se s njima ne upravlja ispravno, lako se mogu izlagati, pružajući ulaz za napadače da pristupe kritičnim sustavima i podacima.
Statistika o starim ključeva pristupa
Na primjer, gotovo dvije trećine (62%) Google Cloud korisničkih računa, 60% AWS Identity and Access Management (IAM) korisnika i 46% Microsoft Entra ID aplikacija imaju ključeve pristupa starije od godinu dana.
Poboljšanja sigurnosti u oblaku
U odgovoru na te rizike, pružatelji usluga u oblaku ulažu napore u poboljšanje sigurnosti. Prema izvješću Datadoga, usvajanje pravila sigurnosti u oblaku raste. Ova pravila su automatizirane smjernice ili konfiguracije osmišljene da osiguraju najbolju praksu sigurnosti i spriječe ljudske pogreške. Na primjer, 79% Amazon S3 spremnika sada ima omogućenu blokadu javnog pristupa, što je povećanje u odnosu na 73% prethodne godine.
Iako su ovi proaktivni koraci pozitivan poticaj, dugotrajne vjerodajnice i dalje predstavljaju važnu slabost u naporima sigurnosti oblaka. Osim toga, izvješće navodi da postoji iznenađujuće visok broj resursa u oblaku s prekomjernim dopuštenjima. Otprilike 18% AWS EC2 instanci i 33% Google Cloud VM-ova imalo je osjetljive dozvole koje bi potencijalno mogle omogućiti napadaču da kompromituje okruženje.
Treće strane i sigurnosni rizici
U slučajevima kada je oblak ugrožen, ova osjetljiva dopuštenja mogu se iskoristiti za krađu povezanih vjerodajnica, omogućujući napadačima pristup širem okruženju oblaka. Dodatno, postoji rizik od integracija trećih strana, što je uobičajeno u modernim oblak okruženjima. Preko 10% trećih integracija ispitivanih u izvješću imalo je rizična cloud dopuštenja, što potencijalno omogućava dobavljačima pristup osjetljivim podacima ili preuzimanje kontrole nad cijelim AWS računom.
Pored toga, 2% ovih uloga trećih strana ne provodi uporabu vanjskih ID-ova, čime su podložne napadu “zbunjenog zamjenika”, gdje napadač vara uslugu da iskoristi njezine privilegije za izvršavanje nepredviđenih akcija.
Zaključak
“Zaključci iz izvješća ‘Stanje sigurnosti u oblaku 2024’ sugeriraju da je nerealno očekivati da se dugotrajne vjerodajnice mogu sigurno upravljati”, rekao je Andrew Krug, šef sigurnosne advokature u Datadogu. “Osim što su dugotrajne vjerodajnice veliki rizik, izvješće je otkrilo da većina incidenata sigurnosti u oblaku uzrokovana je kompromitiranjem vjerodajnica. Da bi se zaštitile, tvrtke trebaju osigurati identitete modernim mehanizmima autentikacije, koristiti kratkotrajne vjerodajnice i aktivno pratiti promjene na API-ima koje napadači često koriste”, dodao je Krug.
Prateći ove smjernice i poduzimajući odgovarajuće mjere, organizacije mogu značajno poboljšati svoju sigurnost u oblaku i smanjiti rizik od sigurnosnih incidenata.
