企業上雲漏洞連連 驚現近20萬個不安全雲端範本

科技 18:00 2020/02/10

分享:

《Unit 42雲端威脅2020年春季報告》共發現199,000個不安全的雲端範本,而65%的雲端事故,更是由簡單的錯誤配置引起。

企業數碼轉型,少不免要將業務「上天」,採用雲端服務。網絡安全公司Palo Alto Networks今日發表研究報告稱,一旦在開發雲端基礎架構期間出現漏洞,將構成重大的安全風險。

Palo Alto於「Unit 42雲端威脅2020年春季報告」中,調查雲端配置頻繁出錯的原因。報告發現,隨著機構逐漸採用自動化,執行更多雲端基礎架構的構建程序,並建立新的「架構即程式碼」(Infrastructure as Code,IaC)範本時,若缺乏妥善的安全工具和程序輔助,這些基礎架構的構建模板將存在大量漏洞。

該報告調查出199,000個不安全的雲端範本,部分屬於中度至高度的漏洞,更甚的是,當中65%的雲端事故是由簡單的錯誤配置引起。舉例說,有43%的雲端數據庫就未有加密,加密數據之所以重要,是因不僅能防止攻擊者讀取儲存的資料,更是美國健康保險便利和責任法案 (Health Insurance Portability and Accountability Act)等標準守則的要求。此外,60%的雲端儲存服務沒有進行日誌記錄,當嘗試判斷雲端事故的損毀程度時,儲存記錄往往能起關鍵作用。

華為旗下海思晶片現漏洞 黑客可入侵控制網絡攝錄機

Google Play商店驚現24款「惡意」Apps 下載量逾3億次【附名單】

報告又觀察到,網絡犯罪組織正使用雲端進行加密劫持,可能與中國有關的黑客組織,包括Rocke、8220 Mining Group和Pacha皆暗中竊取雲端資源,透過公共或自己的礦池開採門羅幣(Monero)。

儘管機構因IaC以有系統的方式執行安全標準而受惠,但是次研究顯示,這些好處尚未被充分利用。Palo Alto Networks公共雲首席安全主管Matthew Chiodi表示,一個錯誤配置,足以危害整個雲端環境,提醒企業切勿掉而輕心。

責任編輯:姚慧儀

緊貼財經時事新聞分析,讚好hket Facebook 專版