אקווה סקיוריטי: כ-90% מהחברות חשופות לפגיעה בשל פרצות אבטחה הנובעות מהגדרות שגויות בענן
צוות מחקר הסייבר של החברה חושף כי לרוב הארגונים לוקח זמן רב מידי לתקן שגיאות קונפיגורציה בסביבת הענן. בארגונים גדולים, עומד הזמן הממוצע על 88 יום
ישראל דיפנס
| 15/06/2021
ראש צוות אנליטיקה ב- Team Nautilus. צילום: יח״צ אקווה סקיוריטי
צוות מחקר הסייבר של אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות ייעודיות לענן (Cloud-Native), השלים מחקר חדש, החושף כי רוב החברות אשר עוברות אל סביבת ענן אינן מגדירות כראוי את השירותים מבוססי הענן שלהן. כ-90% מהחברות חשופות לפגיעה בשל פרצות אבטחה הנובעות מהגדרות לא נכונות של הענן.
על פי ממצאים חדשים ב״דוח אבטחת הענן 2021: חשיפת סיכונים בקונפיגורציות הענן״, הבעיות הללו מותירות חברות חשופות לפריצות אבטחה משמעותיות. מנהלי IT נדרשים ביומיום לטפל באופן שוטף בכמות מרובה של הגדרות, וכן גם בשגיאות בהגדרות בענן. לפיכך, משך זמן הטיפול בהן מתארך, גם כאשר הם מודעים להן, והארגונים נשארים חשופים לסיכוני התקפות ופריצות. הדברים נכונים במיוחד לארגונים גדולים, שם הזמן הממוצע לטיפול בבעיה לאחר גילויה עומד על 88 ימים.
הדו״ח בוחן את הטעויות אשר מובילות לבעיות הנפוצות ביותר של הגדרות בענן: בעיות בהגדרת אחסון (bucket/blob), הגדרת זיהוי וגישה (IAM), הצפנת נתונים, השארת שירותים חשופים מאחורי פורטים פתוחים וניצול טכנולוגיות קונטיינרים.
"כאשר חושבים על כך שהגדרה שגויה בודדת בסביבות הענן יכולה לחשוף ארגונים למתקפות סייבר חמורות, כגון דליפות נתונים, חטיפת משאבים ומתקפות מניעת שירות, מבינים שבעיות ההגדרה האלו הן משמעותיות מכדי להתעלם מהן", אמר אסף מורג, ראש צוות אנליטיקה ב- Team Nautilus – צוות מחקר הסייבר של אקווה.
ממצאי המחקר
במהלך 12 חודשים, צוות מחקר הסייבר של אקווה ניתח נתוני תשתית ענן המגיעים ממאות ארגונים באופן אנונימי. המשתמשים חולקו לשתי קבוצות בהתבסס על היקף משאבי הענן שנסרקו: עסקים קטנים ובינוניים (SMB) בגודלם אשר סרקו בין אחד לכמה מאות משאבים, ומשתמשי ארגונים גדולים, אשר סרקו כמה מאות ועד למספר מאות אלפים של משאבים שונים.
ממצאי המחקר מצביעים על פערים משמעותיים באבטחת המידע. פחות מ-1% מהארגונים הגדולים תיקנו את כל הבעיות שזוהו, ופחות מ- 8% מארגוני ה-SMB עשו כן. בנוסף, יותר מ-50% מכלל הארגונים קיבלו התראות על כך שהשאירו את כלל הפורטים פתוחים אל העולם, אבל רק 68% מהבעיות האלה תוקנו, בזמן ממוצע של 24 ימים. אצל מעל ל-40% מהמשתמשים היה לפחות Docker API אחד שהוגדר באופן שעשוי לאפשר לתוקף להריץ קוד על השרת, והזמן הממוצע לתיקון עמד על 60 ימים.
למעלה מ-82% מן החברות חוו מקרה שבו אחסון הענן שלהן היה חשוף לציבור. אירוע מסוג זה לא מהווה בהכרח סיכון תקיפה, משום שאצל חלק מהארגונים זהו חלק מארכיטקטורת האפליקציה, אולם המחקר מראה כי 73% תיקנו את ההתראה הזו, באופן שמצביע על כך שמשאב זה איננו אמור היה להיות פתוח, לא כל שכן זמן התגובה שלהם היה ארוך ולקח להם בממוצע חודשיים, כאשר בארגונים גדולים זמן התיקון לקח זמן רב יותר בהשוואה ל-SMBs.
ממצאים אלה מצביעים על מספר בעיות בגישת האבטחה של ארגונים בתחום תשתיות-כשירות (IaaS) ופלטפורמות-כשירות (PaaS). הדבר מצביע גם על חוסר הבנה וכן על המספר העצום של בעיות אבטחה שדורשות טיפול בכל זמן נתון.
"יישומי ייעודיים בסביבות ענן משפרים את הגמישות והמהירות בארגון באמצעות מתן גישה למספר גדול יותר של אנשים להגדרת הסביבה, אך אנו רואים שארגונים מתרחקים מגישה ריכוזית לניהול אבטחה", מסביר מורג. "המודל המסורתי, של מתן הרשאה רק לצוות קטן ומיומן של מנהלי אבטחה האחראי לביצוע כל שינויי ההגדרות, מפנה את מקומו לגישה מבוזרת ומודרנית. צוותי פיתוח מקבלים החלטות לגבי תצורה והגדרות ולגבי הפעלת שירותים, ועלולות להיות לכך השלכות חמורות על מצב האבטחה של סביבת הייצור הארגונית".
צמצום החשיפה לאיומים
הדו״ח מספק המלצות לגבי התהליכים והמדיניות האופטימליים, אותם יכולים ארגונים להטמיע באופן מיידי כדי למזער סיכון לשגיאות הגדרה בענן, כולל גיבוש פורמלי של התהליכים לאיתור ותיקון שגיאות ההגדרה בסביבות ענן, הכוללים תיעדוף של הבעיות; סיווג בעיות API כקריטי וטיפול בהתאם, מאחר ותוקפים מבצעים סריקות אחר שירותי API חשופים או בעייתים; והפעלת בקריIAM שונים כדי לייצר שכבות של בקרת גישה, כגון אימות רב שלבי (MFA) ו-identity federation.
צוות מחקר הסייבר של החברה חושף כי לרוב הארגונים לוקח זמן רב מידי לתקן שגיאות קונפיגורציה בסביבת הענן. בארגונים גדולים, עומד הזמן הממוצע על 88 יום
ראש צוות אנליטיקה ב- Team Nautilus. צילום: יח״צ אקווה סקיוריטי
צוות מחקר הסייבר של אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות ייעודיות לענן (Cloud-Native), השלים מחקר חדש, החושף כי רוב החברות אשר עוברות אל סביבת ענן אינן מגדירות כראוי את השירותים מבוססי הענן שלהן. כ-90% מהחברות חשופות לפגיעה בשל פרצות אבטחה הנובעות מהגדרות לא נכונות של הענן.
על פי ממצאים חדשים ב״דוח אבטחת הענן 2021: חשיפת סיכונים בקונפיגורציות הענן״, הבעיות הללו מותירות חברות חשופות לפריצות אבטחה משמעותיות. מנהלי IT נדרשים ביומיום לטפל באופן שוטף בכמות מרובה של הגדרות, וכן גם בשגיאות בהגדרות בענן. לפיכך, משך זמן הטיפול בהן מתארך, גם כאשר הם מודעים להן, והארגונים נשארים חשופים לסיכוני התקפות ופריצות. הדברים נכונים במיוחד לארגונים גדולים, שם הזמן הממוצע לטיפול בבעיה לאחר גילויה עומד על 88 ימים.
הדו״ח בוחן את הטעויות אשר מובילות לבעיות הנפוצות ביותר של הגדרות בענן: בעיות בהגדרת אחסון (bucket/blob), הגדרת זיהוי וגישה (IAM), הצפנת נתונים, השארת שירותים חשופים מאחורי פורטים פתוחים וניצול טכנולוגיות קונטיינרים.
"כאשר חושבים על כך שהגדרה שגויה בודדת בסביבות הענן יכולה לחשוף ארגונים למתקפות סייבר חמורות, כגון דליפות נתונים, חטיפת משאבים ומתקפות מניעת שירות, מבינים שבעיות ההגדרה האלו הן משמעותיות מכדי להתעלם מהן", אמר אסף מורג, ראש צוות אנליטיקה ב- Team Nautilus – צוות מחקר הסייבר של אקווה.
ממצאי המחקר
במהלך 12 חודשים, צוות מחקר הסייבר של אקווה ניתח נתוני תשתית ענן המגיעים ממאות ארגונים באופן אנונימי. המשתמשים חולקו לשתי קבוצות בהתבסס על היקף משאבי הענן שנסרקו: עסקים קטנים ובינוניים (SMB) בגודלם אשר סרקו בין אחד לכמה מאות משאבים, ומשתמשי ארגונים גדולים, אשר סרקו כמה מאות ועד למספר מאות אלפים של משאבים שונים.
ממצאי המחקר מצביעים על פערים משמעותיים באבטחת המידע. פחות מ-1% מהארגונים הגדולים תיקנו את כל הבעיות שזוהו, ופחות מ- 8% מארגוני ה-SMB עשו כן. בנוסף, יותר מ-50% מכלל הארגונים קיבלו התראות על כך שהשאירו את כלל הפורטים פתוחים אל העולם, אבל רק 68% מהבעיות האלה תוקנו, בזמן ממוצע של 24 ימים. אצל מעל ל-40% מהמשתמשים היה לפחות Docker API אחד שהוגדר באופן שעשוי לאפשר לתוקף להריץ קוד על השרת, והזמן הממוצע לתיקון עמד על 60 ימים.
למעלה מ-82% מן החברות חוו מקרה שבו אחסון הענן שלהן היה חשוף לציבור. אירוע מסוג זה לא מהווה בהכרח סיכון תקיפה, משום שאצל חלק מהארגונים זהו חלק מארכיטקטורת האפליקציה, אולם המחקר מראה כי 73% תיקנו את ההתראה הזו, באופן שמצביע על כך שמשאב זה איננו אמור היה להיות פתוח, לא כל שכן זמן התגובה שלהם היה ארוך ולקח להם בממוצע חודשיים, כאשר בארגונים גדולים זמן התיקון לקח זמן רב יותר בהשוואה ל-SMBs.
ממצאים אלה מצביעים על מספר בעיות בגישת האבטחה של ארגונים בתחום תשתיות-כשירות (IaaS) ופלטפורמות-כשירות (PaaS). הדבר מצביע גם על חוסר הבנה וכן על המספר העצום של בעיות אבטחה שדורשות טיפול בכל זמן נתון.
"יישומי ייעודיים בסביבות ענן משפרים את הגמישות והמהירות בארגון באמצעות מתן גישה למספר גדול יותר של אנשים להגדרת הסביבה, אך אנו רואים שארגונים מתרחקים מגישה ריכוזית לניהול אבטחה", מסביר מורג. "המודל המסורתי, של מתן הרשאה רק לצוות קטן ומיומן של מנהלי אבטחה האחראי לביצוע כל שינויי ההגדרות, מפנה את מקומו לגישה מבוזרת ומודרנית. צוותי פיתוח מקבלים החלטות לגבי תצורה והגדרות ולגבי הפעלת שירותים, ועלולות להיות לכך השלכות חמורות על מצב האבטחה של סביבת הייצור הארגונית".
צמצום החשיפה לאיומים
הדו״ח מספק המלצות לגבי התהליכים והמדיניות האופטימליים, אותם יכולים ארגונים להטמיע באופן מיידי כדי למזער סיכון לשגיאות הגדרה בענן, כולל גיבוש פורמלי של התהליכים לאיתור ותיקון שגיאות ההגדרה בסביבות ענן, הכוללים תיעדוף של הבעיות; סיווג בעיות API כקריטי וטיפול בהתאם, מאחר ותוקפים מבצעים סריקות אחר שירותי API חשופים או בעייתים; והפעלת בקריIAM שונים כדי לייצר שכבות של בקרת גישה, כגון אימות רב שלבי (MFA) ו-identity federation.
