至顶网安全频道 10月31日 编译:“在任何给定的时间点上,平均一个业务部门大约运行了14个配置不当的IaaS实例,每20个AWS S3存储服务中大约就有一个服务对公共互联网敞开大门。”
以上结果就是迈克菲研究人员周一发布的态势严峻的数据(https://www.skyhighnetworks.com/cloud-computing-trends-2019/),迈克菲研究人员表示安全防护无法跟上云服务的快速增长。
安全巨头迈克菲完成这项研究用了旗下业务服务记录的大约3000万个事件,发现业界的公司没有正确跟踪自己使用的云服务,因此也没有正确地保护这些服务。
据迈克菲表示,平均下来一个业务部门使用大约1900个云实例,但调研中的大多数公司认为他们只使用了大约30个。因此,许多IaaS和PaaS帐户没有正确地配置,未能限制数据的访问也就不足为奇。
这其中最糟糕的是亚马逊的AWS S3。研究人员就AWS S3存储服务发出的数据警报不断出现(https://www.theregister.co.uk/2018/07/18/kromtech_open_buckets/),这些研究人员找到许多包含企业和客户个人敏感信息的不正确配置的实例。
事实上,迈克菲的研究结果表明,未出现更多类似的漏洞已经是个奇迹了。据迈克菲的报告估计,所有AWS S3存储实例中约有5.5%的设置是“全局读取”,这意味着任何知道S3存储器地址的人都能够看到里面的内容。
报告指出,“尽管过去几年里有那么多关于开放式S3存储器中数据泄露公开事件的新闻,但这种常见且严重的错误配置依然顽固地存在着”
报告还发现,个人账户也十分地不安全。迈克菲发现,92%的公司有一个或多个身份凭证可以在网络犯罪市场上被买到,而涉及账户被盗用或内部威胁的事件比去年增加了近28%。
迈克菲指出,“云中数据的大多数威胁都是由于帐户被盗用和内部威胁而造成的。本月中80%的组织会面临至少一个帐户被盗用的威胁。”
而给广大公司的建议相当简单:迈克菲表示,各公司应审核自己的云服务配置及确认存储敏感数据的位置。以此为出发点,只需简单地设置和维护这些数据的访问控制,包括外部访问以及可能的内部威胁和被盗帐户的访问。
好文章,需要你的鼓励
在期末之际,OpenAI和谷歌向学生免费提供AI工具:前者短期内开放ChatGPT Plus,后者长期提供Google One AI Premium套件,助力高校数字化转型。
Together AI 最新升级其微调平台,支持浏览器零代码操作、直接偏好优化、续接先前训练任务并调整消息权重,同时新定价更低廉,旨在简化AI模型持续迭代。
本文介绍如何利用人工智能工具 ( 如 ChatGPT ) 来提升工作和家庭的任务效率,通过优化家务分配和数字化会议记录,实现微小节时也能带来显著改变。