Компания Accurics, специализирующаяся на разработке средств для защиты облачных сред, обнародовала свежий выпуск отчета «State of DevSecOps». В данном исследовании компания Accurics указывает на то, что подавляющее число облачных сред, развернутых организациями, уязвимы для взлома.

По мнению специалистов Accurics, скорость распространения имеющихся в облачных сервисах уязвимостей будет расти, а в месте с ней и их масштаб, и они, вероятно, распространятся в среды, в которых есть хотя бы одна сетевая конфигурация, не закрытая ИБ-командой. В течение последних двух лет было раскрыто более 200 таких брешей.

Изучая наиболее распространенные угрозы, Accurics обнаружила, что доступ через интернет к базам данных или другим частным подсетям, содержащим конфиденциальные ресурсы, в той или иной мере открыт у всех компаний, принявших участие в исследовании. Кроме того, несмотря на широкую доступность таких инструментов, как AWS Key Management Service (KMS) и HashiCorp Vault, эксперты обнаружили, что в 72% из всех проанализированных облачных развертываний содержатся жестко зашитые приватные ключи.

Что касается контейнеров, то, как выяснилось, наиболее распространенной проблемой стало то, что 84% компаний хранили учетные данные в файлах конфигурации контейнеров в незащищенном виде, в то время как 41% связал высокие привилегии для предоставления вычислительных ресурсов с жестко зашитыми ключами. Как следствие, любая связанная с этим уязвимость могла бы поставить под удар все задействованные ресурсы.

Еще одной проблемой, возникающей в облачных развертываниях, является событийная усталость (alert fatigue). Она вызвана автоматическим обнаружением рисков в сочетании с ручным подходом к их решению, при этом решаются только 6% выявленных проблем. Однако новая исправления кода (Remediation of Code), позволяет организациям устранять 80% рисков с помощью автоматически генерируемого кода.

«С одной стороны, внедрение собственной облачной инфраструктуры, такой как контейнеры, серверы и сервисные сетки, стимулирует инновации, они же, с другой стороны, становятся причиной неправильно выставленных конфигураций. Это становится обычным явлением и создает серьезную угрозу для организаций, — сказал CTO Accurics Ом Мулчандани. — Поскольку облачная инфраструктура становится все более программируемой, мы считаем, что наиболее эффективной защитой является кодификация и внедрение защиты в конвейеры разработки на протяжении всего жизненного цикла инфраструктуры. Сообщество разработчиков готово к принятию возросшей ответственности за безопасность, что вселяет оптимизм и является важным шагом в правильном направлении».

Accurics рекомендует управлять рисками на ранних этапах цикла разработки, внедряя зашифрованные базы данных, ротационные ключи доступа и многофакторную аутентификацию. Помимо этого стоит прибегнуть к автоматическому моделированию угроз, чтобы получить более ясное представление о влиянии изменений привилегий или маршрутов на риски возникновения уязвимостей при облачном развертывании. Кроме того, поскольку компании начинают использовать подход IaC (Infrastructure as Code), кодификация безопасности в конвейеры разработки позволит значительно уменьшить площадь атак на развертываемую инфраструктуру.


Источник: ITWeek