Stav cloudové bezpečnosti ve firmách po celém světě připomíná hru na kočku a myš. Nová zpráva od renomované kyberbezpečnostní společnosti Tenable ukazuje, že zatímco se organizace zlepšují v odstraňování těch nejkritičtějších zranitelností, stále dělají základní chyby, které vedou k masivním únikům citlivých dat.

Problémem jsou špatně nakonfigurovaná úložiště

Nová zpráva od společnosti Tenable přináší smíšený pohled na stav zabezpečení v cloudových prostředích. Analýza, která probíhala po dobu šesti měsíců, na jedné straně ukazuje pozitivní trend v boji proti nejnebezpečnějším konfiguracím, na straně druhé však odhaluje přetrvávající a alarmující nedostatky v základní digitální hygieně.

Nejznepokojivějším zjištěním je, že téměř 10 % všech veřejně přístupných cloudových úložišť obsahuje citlivá data. Prakticky všechna tato nechráněná data byla přitom klasifikována jako důvěrná nebo omezená. Zpráva také ukázala, že největší podíl takto exponovaných dat (16,7 %) se nacházel u největšího poskytovatele, společnosti AWS, což může podle Tenable souviset s přílišnou důvěrou uživatelů v její bezpečnostní mechanismy.

Příčinou těchto úniků je často špatné nastavení nebo nebezpečná praxe ukládání přihlašovacích údajů a tajných klíčů v čitelné podobě. Výzkumníci nalezli citlivé „tajemství“ v 54 % definic úloh pro kontejnerové služby u AWS a v 52 % proměnných prostředí u Google CloudRun. Takto uložené klíče mohou útočníkům po jejich získání posloužit ke spuštění kaskády dalších útoků a k průniku hlouběji do firemní infrastruktury.

Zpráva však přináší i pozitivní zprávy. Výrazně totiž ubylo těch nejhorších možných konfigurací, které Tenable nazývá toxické trilogie. Jde o případy, kdy je systém zároveň veřejně vystaven na internet, obsahuje kritickou zranitelnost a navíc v něm jsou uložena vysoce privilegovaná přístupová data. Počet firem, u kterých byla nalezena alespoň jedna takováto časovaná bomba, klesl z 38 % na 29 %.

Obrázek: Pexels

Zdroj: ciodive.com

Zdroj: B2B NETWORK NEWS