广告

云端连接没有你想象的那么安全!

时间:2022-02-07 06:49:15 作者: Ann R. Thryft,EE Times专栏作者 阅读:
根据资安业者最新发表的云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因...
广告

去年12月,当美国网络安全公司FireEye公布了软件业者SolarWinds发生重大资料外泄事件时,人们并没有立即意识到,如果不是因为云端连接已经运作到位,那些数据外泄事件可能就不会发生。黑客利用SolarWinds的云端网络安全漏洞,劫持了远程软件更新流程;此举也暴露了云端技术与部署的根本性缺陷。

根据资安业者Fugue和Sonatype于5月发表的《State of Cloud Security 2021》云端安全调查报告,大约有三分之一的公司行号曾在过去一年遭遇严重的云端安全或资料外泄问题。该调查报告发现,错误的云端配置一直都是导致云端破坏事件的主要原因。接受调查的300位云端专业人员中,有83%表示他们的组织因为错误的配置而面临重要数据外泄的风险。

Fugue与Sonatype的调查报告揭露错误云端配置的原因。

 

其中大部分的风险来自“庞大而复杂的”企业云端基础架构云端环境以及其动态本质,再加上是由多个API和接口构成,这些都需要投入资源进行管理。其他前几名造成不当配置的原因则是缺乏适当且足够的控制和监督,以及安全防护与政策上的疏忽。

在云端共同责任模型(Cloud Shared Responsibility)之下,错误或不当的配置通常被归咎于客户,而非供货商。另一家安全技术供货商Aqua Security检视其数百名客户一年份云端配置数据后发表研究报告指出,有90%易遭入侵的漏洞是由于错误的配置所导致,但只有不到1%的企业修补了所有这些问题,规模较大的企业平均需要88天才能修补已知的问题,因此也延长了黑客可以入侵这些漏洞的时间。

匆促执行的云端策略

美国移动通信业者Verizon 最新的数据外泄年度报告发现,现今大部分的网络安全事件都涉及云端基础架构,而且外部云端资产受到的影响高于内部资产。一项由法国航天/国防安全业者Thales所做的研究对此提供了一项可能的解释:有一半的企业将其40%以上的数据储存于外部云端环境,但对敏感数据进行加密保护的企业却不多。

人工智能网络安全方案供货商Vectra AI在8月针对Amazon Web Services (AWS)使用者所进行的一项调查发现,有百分之百受访者于去年在其公有云环境,至少都曾经遭遇过一次安全事故。如今有大多数企业会在多云环境下营运,但根据美国软件业者Tripwire于7月发表的一份报告显示,98%受访者指出,不同供货商带来了更严峻的安全性挑战。大多数人表示,关于谁应该做什么,共同责任模型通常不够明确;也有大多数人表示,希望云端服务供货商在安全方面多加把劲。

渴望组织数字转型的企业高层都有一颗迫切达成的心,只是几乎所有的云端调查都证实,公有云和混合云的快速采用,让安全维护变得更加困难。如同我们已经指出的,疫情的推波助澜加速了企业数字转型热潮。

仓促的数字转型步伐,也让恶名昭彰的Microsoft Exchange Server (MES)攻击事件增加。今年稍早,网络安全业者Palo Alto Networks研究人员发现,MES的风险暴露情形有79%发生在云端;他们在一篇官方部落格文章中写道:“云端环境本来就和因特网连接,而要在正常的IT程序外部署一个可公开存取的云端环境,简直出乎意料地容易。这表示他们通常没有使用足够的预设安全设置,或者根本忘记。”

脆弱的云端软件

部分的云端安全问题源自于特定云端平台或其他软件的漏洞。在维基百科(Wikipedia)有一篇关于SolarWinds黑客事件的文章,直指微软(Microsoft)希望使用者忘记他们的一个软件漏洞Zerologon。这是微软认证协议NetLogon中存在的一个漏洞,可以让黑客轻易入侵微软网络窃取用户名称和密码。

这个漏洞让黑客可以存取必要的额外凭证,窃取网络中任何合法用户的权限,并最终让他们可以入侵微软Office 365的电子邮件帐户。“此外,微软Outlook网页版应用程序里的一个缺陷,也让黑客可以绕过多重要素认证(multi-factor authentication);”该篇文章也指出,黑客使用伪造的身分令牌(token)欺骗微软的认证系统。

在8月,FireEye旗下的Mandiant部门安全研究人员揭露了Kalay云端平台核心组件中的一个重大漏洞。有多达数百万的物联网装置使用Kalay的服务,该漏洞让它们全部都暴露于潜在的远程攻击风险下。FireEye在一篇部落格文章中指出:“由于许多受影响的装置都是视频监视产品──包括网络摄影机、婴幼儿监视器以及数字视频录像机--利用该漏洞,黑客可以拦截实时音、视频数据」。

《EE Times》先前曾经报导,网络安全业者Wiz的研究人员最近在微软Azure云端平台的中央数据库ChaosDB发现了一个漏洞。这个容易攻击的弱点可以让黑客取得“完整、无限制的存取权”,入侵数千个使用Cosmos DB的组织帐户及数据库;黑客也可以将资料删除、下载或做其他运用,还能提供进入Cosmos DB底层架构的读/写存取权。Wiz将之形容为:“你想得到最糟的云端安全漏”。

我的老天!

云端安全业者Accurics的开发人员Jon Jarboe接受《EE Times》采访时表示,Cosmos DB事件提醒了我们「要保护好自己,得做的事还很多。云端服务供货商怎么处理我们的数据,以及云端用户又是怎么处理资料,这些问题都没有很清楚的答案,让安全防护变得很困难。」

Jorboe补充:“我们知道云端服务供货商对静态数据有很好的防护,但对传输和使用中的数据呢?Cosmos DB的缺陷将主键(primary keys)泄漏给不该取得的人,甚至没有一个好的方法可以让使用者意识到那可能发生。在厘清云端安全的全貌之前,云端服务供货商和各企业组织还有很多工作要做。」

在《EE Times》报导ChaosDB事件同时,Palo Alto Networks又揭露了另一个同样危险的Azure漏洞──该“Azurescape”漏洞让黑客可以控制任何使用者的整个Kubernetes容器服务基础架构。之后Wiz的CosmosDB研究人员仍持续在Azure发现更重大、更容易被利用的远程程序代码执行漏洞,而这次是发生在OMI软件代理(agent)上,无数Azure客户都受到「OMIGOD」影响。

尽管云端服务供货商正“试图做对的事,但他们也必须保护自身的品牌;”Jarboe表示,“要对外说明因应策略还是保护商业机密?这两个决策总是在相互拉扯。就算许多组织竭尽所能地进行安全防护,最终还是沦落到必须监控暗网(dark web),才能掌握资料是否已遭外泄的蛛丝马迹。”他的结论是:“也许短期内这是我们唯一能够采取的对策。”

本文同步刊登于《电子工程专辑》杂志202111月刊

(参考原文:SolarWinds Fallout: Cloud Security is the Weak Link,By Ann R. Thryft)

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 2022年工业互联网市场10大方向(附中国产业图谱) 工业互联网千亿级的市场前景,吸引了众多厂商持续入局。然而,入局容易做大难,细分领域众多的市场给厂商选择方向带来了不小的挑战。结合2021年的研究,我们梳理预测了2022年更多厂商在加大投入和关注的热点市场方向,总结为10个关键词,供行业参考。
  • 明确的机器学习目标是人工智能安全的关键 美国乔治敦大学安全与新兴技术中心的一篇论文指出,克服机器学习的规格描述挑战,是迈向更高AI安全性的关键步骤。
  • 物联网时代的五大硬件元素:感知、计算、执行、连接和安 近两年半导体芯片行业的火爆,让人不禁想去探寻其中的秘密——究竟是什么在背后推动整个行业的增长?在日前举行的英飞凌(Infineon)线上媒体沟通会上,英飞凌科技大中华区安全互联系统事业部市场与业务合作总监南铮认为主要有四大领域,具体到物联网的定义,物联网设备由五大硬件元素组成……
  • 指定支持Wi-Fi的MCU时的注意事项 当今市场上存在低成本的Wi-Fi连接方案,但通常会以外设数量和整体性能为代价。这意味着选择最佳Wi-Fi MCU充满挑战和风险,因为Wi-Fi MCU必须兼具稳健的Wi-Fi连接和高性能MCU功能,二者缺一不可,否则会导致整个设计项目延迟甚至失败。
  • 如何看5G 在互连生态系统中的位置? 5G 作为一种超低延迟宽带无线技术,其巨大应用前景必须与连接生态系统中的其他技术一并考虑。例如,在5G 网络不是一个现实的选择方案时,可能存在多种产品类别选项。在确定是采用 5G还是其他连接选项时,性价比可能是一个关键的考虑因素。本文可帮助系统工程师评估 5G 在现有连接生态系统中的应用可行性。
  • 监听法国芯片卡企业窃取数据, “美国陷阱”升级为“芯 今年,又一位法国企业家选择不再沉默。金普斯公司创始人马克·拉叙斯的新书《芯片陷阱》先后在法国和中国出版,他在书中揭示了美国安全部门对他进行迫害并强行将金普斯控制权据为己有,而后利用该公司技术大搞监听的暗黑历史。
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。
  • 类脑芯片与智能座舱深度融合,时识科 类脑智能与应用解决方案提供商SynSense时识科技宣布与宝马展开技术探索,推进类脑芯片与智能座舱应用场景的深度融合。双方将主要围绕SynSense时识科技基于类脑技术的“感算一体”动态视觉智能SoC——Speck,探索汽车内外相关车载智能应用创新。
  • 美光:智能边缘应用的供应链和汽车架 随着数十亿台设备产生的数据和洞察力不断激增,智能边缘也随之崛起
  • 手机出货量暴跌00后4年没换手机引热议 全球通胀,原材料越来越贵,手机厂商跟随涨价也是情理之中的事情,但是真正阻碍消费者换新的原动力,还是厂商在创新上的减速。有媒体调查显示,手机出货量暴跌三成,00后4年没换手机,还有从业者表示,幸运自己转
  • 模拟IC设计精品课程:《模拟CMOS集成电路设计理论与电路》【根据拉扎维《模拟CMOS集成电路设计》录制】 《模拟CMOS集成电路设计理论与电路》本课程根据  拉扎维《模拟CMOS集成电路设计》录制扫描下方二维码免费试看或者购买课程关于购课特别提示微信扫描二维码后会弹出如下类似提醒该提醒为网易云课堂用来“诱
  • 俄罗斯第一芯片制造商被美国封杀! 最新消息,刚刚美国财政部外国资产控制办公室 (OFAC) 宣布对俄罗斯21家实体企业和13个个人实施制裁,其中包括俄罗斯第一芯片制造商、微电子制造商和出口商Mikron。美国财政部的声明指出,今天制裁
  • 一家汽修小店的心愿:熬过“寒冬”,在三坊七巷等春天 维系一家四口的汽车养护店等待“春天”,度小满免息贷款助其度过难关文│松果财经“谁知五柳孤松客,却住三坊七巷间。”今天的三坊七巷仍保留着粉墙瓦黛的古朴韵味,让许多福州人倍感自豪。家住附近的余秋每到周末空
  • 大基金二期:入股杭州富芯半导体 3月29日消息,爱企查显示,杭州富芯半导体发生工商变更,新增股东国家集成电路产业投资基金二期股份有限公司、杭州富远企业管理合伙企业(有限合伙)。投资金额和持股比例未透露。公开资料显示,杭州富芯半导体有
  • 亚化咨询推出《中国半导体大硅片年度报告2022》,欢迎索取目录! 来源:《中国半导体大硅片年度报告2022》亚化咨询数据显示,2021年全球半导体硅片市场快速增长,整体销售额达157.44亿元,过滤掉交叉部分仅计算销售到IDM/Fab部分的话(过滤部分为销售给纯外延
  • 2022半导体春季线上招聘会开始啦!  中国半导体论坛 振兴国产半导体产业!   2022半导体行业春季招聘开始啦,海量职位等你来!最新招聘职位:1.设备工程师  15000-300002.工艺工程师  15000-300003.电气工程
  • 大基金减持2家公司!  中国半导体论坛 振兴国产半导体产业!   点击链接:2022春季半导体线上招聘会开始啦!3月31日晚间,万业企业、长川科技两家公司公告称,国家集成电路产业投资基金股份有限公司(大基金)因自身经营管理
  • 柔宇科技已6个月发不出工资!  中国半导体论坛 振兴国产半导体产业!   点击链接:2022春季半导体线上招聘会开始啦!4月1日消息,曾经估值超过500亿的独角兽柔宇科技被曝出已拖欠员工6个月工资!据报道,柔宇科技一员工称,从去年
  • SK海力士收购KeyFoundry获韩反垄断部门批准 集微网消息,据韩媒报道,SK海力士去年全资收购代工厂Key Foundry的交易,于日前获得韩国公平交易委员会批准。审查意见认为,SK海力士旗下代工部门与Key Foundry在相关市场合计份额仅约5
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了