В свежем отчете «State of DevSecOps» компания Accurics указывает на то, что подавляющее число облачных сред, развернутых организациями, уязвимы для взлома, сообщает портал Information Age.
В исследовании Accurics говорится, что скорость распространения имеющихся в облачных сервисах уязвимостей будет расти, а в месте с ней и их масштаб, и они, вероятно, распространятся среды, в которых есть хотя бы одна сетевая конфигурация, не закрытая ИБ-командой. В течение последних двух лет было раскрыто более 200 таких брешей.
Изучая наиболее распространенные угрозы, Accurics обнаружила, что доступ через Интернет к базам данных или другим частным подсетям, содержащим конфиденциальные ресурсы, в той или иной мере открыт у всех компаний, принявших участие в исследовании. Кроме того, несмотря на широкую доступность таких инструментов, как AWS Key Management Service (KMS) и HashiCorp Vault, эксперты обнаружили, что в 72% из всех проанализированных облачных развертываний содержатся жестко зашитые приватные ключи.
Что касается контейнеров, то, как выяснилось, наиболее распространенной проблемой стало то, что 84% компаний хранили учетные данные в файлах конфигурации контейнеров в незащищенном виде, в то время как 41% связал высокие привилегии для предоставления вычислительных ресурсов с жестко зашитыми ключами. Как следствие, любая связанная с этим уязвимость могла бы поставить под удар все задействованные ресурсы.
Еще одной проблемой, возникающей в облачных развертываниях, является событийная усталость (alert fatigue). Она вызвана автоматическим обнаружением рисков в сочетании с ручным подходом к их решению, при этом решаются только 6% выявленных проблем. Однако новая исправления кода (Remediation of Code), позволяет организациям устранять 80% рисков с помощью автоматически генерируемого кода.
«С одной стороны, внедрение собственной облачной инфраструктуры, такой как контейнеры, серверы и сервисные сетки, стимулирует инновации, они же, с другой стороны, становятся причиной неправильно выставленных конфигураций. Это становится обычным явлением и создает серьезную угрозу для организаций, — сказал CTO Accurics Ом Мулчандани. — Поскольку облачная инфраструктура становится все более программируемой, мы считаем, что наиболее эффективной защитой является кодификация и внедрение защиты в конвейеры разработки на протяжении всего жизненного цикла инфраструктуры. Сообщество разработчиков готово к принятию возросшей ответственности за безопасность, что вселяет оптимизм и является важным шагом в правильном направлении».
Accurics рекомендует управлять рисками на ранних этапах цикла разработки, внедряя зашифрованные базы данных, ротационные ключи доступа и многофакторную аутентификацию. Помимо этого стоит прибегнуть к автоматическому моделированию угроз, чтобы получить более ясное представление о влиянии изменений привилегий или маршрутов на риски возникновения уязвимостей при облачном развертывании. Кроме того, поскольку компании начинают использовать подход IaC (Infrastructure as Code), кодификация безопасности в конвейеры разработки позволит значительно уменьшить площадь атак на развертываемую инфраструктуру.