美國網(wǎng)絡安全服務商Orca Security公司日前發(fā)布的《2022年公有云安全狀況報告》報告的一個主要發(fā)現(xiàn)是，平均攻擊路徑距離企業(yè)的關鍵數(shù)據(jù)資產只有三步之遙，這意味著網(wǎng)絡攻擊者只需在云計算環(huán)境中找到三個相關且可利用的弱點，即可竊取數(shù)據(jù)或進行勒索。

　　該報告由Orca Research Pod編制，包括分析從2022年1月1日至7月1日由Orca云安全平臺掃描的AWS、Azure和谷歌云平臺上的數(shù)十億個云計算資產中捕獲的工作負載和配置數(shù)據(jù)。報告確定仍然存在一些關鍵安全漏洞，并就企業(yè)可以采取哪些步驟來減少網(wǎng)絡攻擊面和改善云安全狀況提供了建議。

　　Orca Security公司首席執(zhí)行官Avi Shua表示：“公有云的安全性不僅取決于提供安全云基礎設施的云平臺，而且在很大程度上取決于企業(yè)在云中的工作負載、配置和身份狀態(tài)。我們最新的公有云安全狀況報告表明，在這個領域還有很多工作要做，從未修補的漏洞和過度寬松的身份到開放的存儲資產。然而，重要的是要記住，企業(yè)永遠無法消除其環(huán)境中的所有風險。他們根本沒有人手來做這件事。這時，企業(yè)應該戰(zhàn)略性地開展工作，并確保始終首先消除危及企業(yè)最關鍵資產的風險。”

　　公有云安全現(xiàn)狀

　　·企業(yè)關鍵的數(shù)據(jù)資產觸手可及：平均攻擊路徑只需要三個步驟即可以獲得企業(yè)的數(shù)據(jù)資產，這意味著網(wǎng)絡攻擊者只需在云計算環(huán)境中找到三個相關且可利用的弱點，即可竊取數(shù)據(jù)或勒索贖金。

　　·漏洞是首要的初始攻擊向量：78%的已存在的識別攻擊路徑使用已知漏洞(CVE)作為初始訪問攻擊向量，這凸顯了企業(yè)需要更優(yōu)先地進行漏洞修補。

　　·存儲資產通常處于不安全狀態(tài)：在大多數(shù)云平臺環(huán)境中都可以找到公開訪問的S3 Bucket和Azure blob存儲資產，這是一種高度可利用的錯誤配置，也是許多數(shù)據(jù)泄露的原因。

　　·未遵循基本安全實踐：例如多因素身份驗證、加密、強密碼和端口安全性等許多基本安全措施仍未得到一致應用。

　　·云原生服務被忽視：盡管云原生服務很容易啟動，但它們仍然需要維護和正確配置：58%的企業(yè)擁有運行時不受支持的無服務器功能，70%的企業(yè)擁有的Kubernetes API服務器可公開訪問。