צוות מחקר הסייבר של אקווה סקיוריטי חושף כי לרוב הארגונים לוקח זמן רב מידי לתקן שגיאות קונפיגורציה בסביבת הענן
צוות מחקר הסייבר של אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות ייעודיות לענן (Cloud-Native), השלים מחקר חדש, החושף כי רוב החברות אשר עוברות אל סביבת ענן אינן מגדירות כראוי את השירותים מבוססי הענן שלהן. כ-90% מהחברות חשופות לפגיעה בשל פרצות אבטחה הנובעות מהגדרות לא נכונות של הענן.
על פי ממצאים חדשים ב"דוח אבטחת הענן 2021: חשיפת סיכונים בקונפיגורציות הענן", הבעיות האלה מותירות חברות חשופות לפריצות אבטחה משמעותיות. מנהלי IT נדרשים ביומיום לטפל באופן שוטף בכמות מרובה של הגדרות, וכן גם בשגיאות בהגדרות בענן. לפיכך, משך זמן הטיפול בהן מתארך, גם כאשר הם מודעים להן, והארגונים נשארים חשופים לסיכוני התקפות ופריצות. הדברים נכונים במיוחד לארגונים גדולים, שם הזמן הממוצע לטיפול בבעיה לאחר גילויה עומד על 88 ימים.
הדו״ח של אקווה בוחן את הטעויות אשר מובילות לבעיות הנפוצות ביותר של הגדרות בענן: בעיות בהגדרת אחסון (bucket/blob), בעיות בהגדרת זיהוי וגישה (IAM), בעיות הצפנת נתונים, השארת שירותים חשופים מאחורי פורטים פתוחים וניצול טכנולוגיות קונטיינרים.
"כאשר חושבים על כך שהגדרה שגויה בודדת בסביבות הענן יכולה לחשוף ארגונים למתקפות סייבר חמורות, כגון דליפות נתונים, חטיפת משאבים ומתקפות מניעת שירות, מבינים שבעיות ההגדרה האלו הן משמעותיות מכדי להתעלם מהן", אמר אסף מורג, ראש צוות אנליטיקה ב- Team Nautilus – צוות מחקר הסייבר של אקווה.
ממצאי המחקר
במהלך 12 חודשים, צוות מחקר הסייבר של אקווה ניתח נתוני תשתית ענן המגיעים ממאות ארגונים באופן אנונימי. המשתמשים חולקו לשתי קבוצות בהתבסס על היקף משאבי הענן שנסרקו: עסקים קטנים ובינוניים (SMB) בגודלם אשר סרקו בין אחד לכמה מאות משאבים, ומשתמשי ארגונים גדולים, אשר סרקו כמה מאות ועד למספר מאות אלפים של משאבים שונים.
ממצאי המחקר מצביעים על פערים משמעותיים באבטחת המידע, בהם:
- פחות מ-1% מהארגונים הגדולים תיקנו את כל הבעיות שזוהו, ופחות מ- 8% מארגוני ה-SMB עשו כן.
- יותר מ-50% מכלל הארגונים קיבלו התראות על כך שהשאירו את כלל הפורטים פתוחים אל העולם, אבל רק 68% מהבעיות האלה תוקנו, בזמן ממוצע של 24 ימים.
- אצל מעל ל-40% מהמשתמשים היה לפחות Docker API אחד שהוגדר באופן שעשוי לאפשר לתוקף להריץ קוד על השרת, והזמן הממוצע לתיקון עמד על 60 ימים.
למעלה מ-82% מן החברות חוו מקרה שבו אחסון הענן שלהן היה חשוף לציבור. אירוע מסוג זה לא מהווה בהכרח סיכון תקיפה, משום שאצל חלק מהארגונים זהו חלק מארכיטקטורת האפליקציה, אולם המחקר מראה כי 73% תיקנו את ההתראה הזו, באופן שמצביע על כך שמשאב זה איננו אמור היה להיות פתוח, לא כל שכן זמן התגובה שלהם היה ארוך ולקח להם בממוצע חודשיים, כאשר בארגונים גדולים זמן התיקון לקח זמן רב יותר בהשוואה ל-SMBs.
ממצאים אלה מצביעים על מספר בעיות בגישת האבטחה של ארגונים בתחום תשתיות-כשירות (IaaS) ופלטפורמות-כשירות (PaaS). הדבר מצביע גם על חוסר הבנה וכן על המספר העצום של בעיות אבטחה שדורשות טיפול בכל זמן נתון.
"יישומי ייעודיים בסביבות ענן משפרים את הגמישות והמהירות בארגון באמצעות מתן גישה למספר גדול יותר של אנשים להגדרת הסביבה, אך אנו רואים שארגונים מתרחקים מגישה ריכוזית לניהול אבטחה", הוסיף מורג. "המודל המסורתי, של מתן הרשאה רק לצוות קטן ומיומן של מנהלי אבטחה האחראי לביצוע כל שינויי ההגדרות, מפנה את מקומו לגישה מבוזרת ומודרנית. צוותי פיתוח מקבלים החלטות לגבי תצורה והגדרות ולגבי הפעלת שירותים, ועלולות להיות לכך השלכות חמורות על מצב האבטחה של סביבת הייצור הארגונית".
צמצום החשיפה לאיומים
הדו״ח של אקווה לשנת 2021 מספק גם המלצות לגבי התהליכים והמדיניות האופטימליים, אותם ארגונים יכולים להטמיע באופן מיידי כדי למזער סיכון לשגיאות הגדרה בענן, כולל:
- גיבוש פורמלי של התהליכים לאיתור ותיקון שגיאות הגדרה בסביבות ענן, הכוללים תיעדוף של הבעיות
- סיווג בעיות API כקריטי וטיפול בהתאם בכל בעיה שצצה, זאת מאחר ותוקפים מבצעים סריקות אחר שירותי API חשופים או בעייתים.
- הפעלת בקריIAM שונים כדי לייצר שכבות של בקרת גישה, כגון אימות רב שלבי (MFA) ו-identity federation.
"בין אם ארגון מאמץ ענן יחיד או סביבה של ריבוי עננים, הוא חייב לנטר באופן פרואקטיבי ולתקן בעיות בהגדרות של שירותים אשר מייצרות חשיפה מיותרת לאיומים", אמר אהוד אמירי, מנהל מוצר בכיר באקווה. "כשלון בכך יביא בביטחון לנזק אשר עלול להיות גדול בהרבה מאשר זה שהיה מתרחש בסביבת הפעלה מסורתית ובעומסי עבודה מקומיים".
הדו״ח של אקווה סקיוריטי זמין כעת: “2021 Cloud Security Report: Cloud Configuration Risks Exposed”
אודות אקווה סקיוריטי
אקווה סקיוריטי(Aqua Security) היא החברה הגדולה ביותר בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: שירותים פיננסים, מדיה, ייצור וקמעונאות. פתרונות אקווה פועלים ומאבטחים מגוון רחב של ספקיות ענן ומערכי טכנולוגיה מודרניים: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה יותר מ-300 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.
למידע נוסף בקרו ב- www.aquasec.com ועקבו אחרינו ב- twitter.com/AquaSecTeam.