扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
至顶网安全频道 10月31日 编译:“在任何给定的时间点上,平均一个业务部门大约运行了14个配置不当的IaaS实例,每20个AWS S3存储服务中大约就有一个服务对公共互联网敞开大门。”
以上结果就是迈克菲研究人员周一发布的态势严峻的数据(https://www.skyhighnetworks.com/cloud-computing-trends-2019/),迈克菲研究人员表示安全防护无法跟上云服务的快速增长。
安全巨头迈克菲完成这项研究用了旗下业务服务记录的大约3000万个事件,发现业界的公司没有正确跟踪自己使用的云服务,因此也没有正确地保护这些服务。
据迈克菲表示,平均下来一个业务部门使用大约1900个云实例,但调研中的大多数公司认为他们只使用了大约30个。因此,许多IaaS和PaaS帐户没有正确地配置,未能限制数据的访问也就不足为奇。
这其中最糟糕的是亚马逊的AWS S3。研究人员就AWS S3存储服务发出的数据警报不断出现(https://www.theregister.co.uk/2018/07/18/kromtech_open_buckets/),这些研究人员找到许多包含企业和客户个人敏感信息的不正确配置的实例。
事实上,迈克菲的研究结果表明,未出现更多类似的漏洞已经是个奇迹了。据迈克菲的报告估计,所有AWS S3存储实例中约有5.5%的设置是“全局读取”,这意味着任何知道S3存储器地址的人都能够看到里面的内容。
报告指出,“尽管过去几年里有那么多关于开放式S3存储器中数据泄露公开事件的新闻,但这种常见且严重的错误配置依然顽固地存在着”
报告还发现,个人账户也十分地不安全。迈克菲发现,92%的公司有一个或多个身份凭证可以在网络犯罪市场上被买到,而涉及账户被盗用或内部威胁的事件比去年增加了近28%。
迈克菲指出,“云中数据的大多数威胁都是由于帐户被盗用和内部威胁而造成的。本月中80%的组织会面临至少一个帐户被盗用的威胁。”
而给广大公司的建议相当简单:迈克菲表示,各公司应审核自己的云服务配置及确认存储敏感数据的位置。以此为出发点,只需简单地设置和维护这些数据的访问控制,包括外部访问以及可能的内部威胁和被盗帐户的访问。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号