Nul
De onderneming is nog steeds het negeren van de meest elementaire veiligheidsmaatregelen bij het gebruik van cloud-diensten, onderzoekers beweren.
CNET
Op donderdag, RedLock uitgebracht haar jaarlijkse cloud security rapport, waaruit blijkt dat de kwetsbaarheden die in de cloud worden ronduit genegeerd, met een slechte database beveiliging en belangrijke lekken aan de orde.
Na het analyseren van klant-omgevingen, de cloud security bedrijf zei dat op zo ‘ n 38 procent van de organisaties in de enterprise-gebruikersaccounts actief die een potentieel gevaar is, en 37 procent van de vennootschap databases toestaan inkomende verbindingen van de web, die over het algemeen een slechte beveiliging praktijk te implementeren.
Daarnaast zijn zeven procent van deze databases staan de verzoeken van verdachte IP-adressen, wat suggereert dat zij is misbruikt.
Tijdens hun onderzoek, de RedLock team ontdekte dat ten minste 250 organisaties, veel van die ver voorbij de grootte van de Kmo ‘ s, die werden lekken “toegang tot de sleutels en geheimen” van hun cloud computing-omgevingen — een vergelijkbaar scenario voor de recente Viacom veiligheid debacle.
Volgens het rapport, van een totaal van 53 procent van de bedrijven die gebruik maken van cloud storage diensten, zoals de Amazon Simple Storage Service (Amazon S3) per ongeluk blootgesteld deze diensten aan het publiek, 45 procent tekort van het CIS (Centrum voor Internet Beveiliging) security standaarden en controles, en 46 procent van deze overtredingen zijn “zeer ernstige problemen’ (zoals het netwerk configuraties die het mogelijk maken inkomende SSH verbindingen vanaf het Internet.
Daarnaast is de onderneming spelers in het onderzoek opgenomen mislukt 48 procent van de PCI data security standaard controles op het gemiddelde, en 19 procent van de storingen waren kritisch, zoals het niet te coderen databases.
Honderden organisaties zijn ook lekken referenties door misconfigures diensten zoals Kubernetes en Jenkins, het team beweert, en een totaal van 64 procent van de enterprise databases worden niet gecodeerd.
De onderzoekers vonden ook Kubernetes administratieve consoles ingezet op AWS, Microsoft Azure, Google Cloud Platform dat was niet beveiligd met een wachtwoord, en in sommige containers, bedreiging acteurs waren implementeren van onwettige Bitcoin mining operations. Dit, op zijn beurt, heeft getransformeerd legitieme zakelijke databases in een bots op frauduleuze wijze inkomsten te genereren.
Bovendien toegang tot de sleutels en geheime lopers werden ontdekt in Kubernetes exemplaren die zijn opgeslagen in leesbare vorm, het verlenen van aanvallers de mogelijkheid om compromissen te sluiten van kritieke infrastructuur.
In totaal 81 procent van de bedrijven er niet in slagen de host kwetsbaarheden in de cloud effectief. Zij kunnen gebruik maken van vulnerability scanning tools, maar het is niet gelukt om in kaart worden de gegevens van deze tools om een beeld te maken van cloud-specifieke inhoud en de bedreigingen, die kan openen de poorten naar een compromis.
“Host kwetsbaarheid gegevens moet worden gecorreleerd met het host-configuraties in de cloud die kan helpen bij het identificeren van het doel van de host en helpen prioriteren patchen” het team zegt. “Bijvoorbeeld, is dit het hosten van een webserver of een database-server? Is actief in de productie of de enscenering? Daarnaast is het netwerk verkeer moet worden gecontroleerd om vast te stellen of de kwetsbaarheden daadwerkelijk zijn misbruikt.”
Het bewustzijn van inbreuk op data, patches en kritische beveiliging praktijken kunnen worden op de met de constante stroom van security incidenten constant raken van het nieuws, maar op basis van RedLock de bevindingen, het lijkt erop dat sommige gebieden-zoals cloud-services, zijn nog steeds niet de aandacht kreeg die ze nodig hebben. Tenzij de onderneming stappen op zijn spel, praktijken, zoals het opslaan van wachtwoorden in leesbare vorm worden gevraagd voor aanvallers om toe te slaan, en bedrijven hebben niets te verwijten, maar zelf in het geval van een compromis.
Vorige en aanverwante dekking
Google Cloud Dataprep nu beschikbaar in de openbare beta
De tool bereidt gegevens voor directe analyse of voor de opleiding van machine learning modellen.
Cloud computing, migratie: duurder en ingewikkelder dan je dacht
Vroege gebruikers van de cloud worden geconfronteerd met een aantal grote obstakels bij het migreren van hun bestaande apps.
0