公有云中最关键的安全漏洞

​美国网络安全服务商Orca Security公司日前发布的云中《2022年公有云安全状况报告》报告的一个主要发现是，平均攻击路径距离企业的最关关键数据资产只有三步之遥 ，这意味着网络攻击者只需在云计算环境中找到三个相关且可利用的安全弱点，即可窃取数据或进行勒索。漏洞

该报告由Orca Research Pod编制，云中包括分析从2022年1月1日至7月1日由Orca云安全平台扫描的最关AWS、Azure和谷歌云平台上的免费模板安全数十亿个云计算资产中捕获的工作负载和配置数据。报告确定仍然存在一些关键安全漏洞 ，漏洞并就企业可以采取哪些步骤来减少网络攻击面和改善云安全状况提供了建议。云中

Orca Security公司首席执行官Avi Shua表示 ：“公有云的最关安全性不仅取决于提供安全云基础设施的云平台 ，而且在很大程度上取决于企业在云中的安全工作负载 、配置和身份状态 。漏洞我们最新的云中公有云安全状况报告表明，云计算在这个领域还有很多工作要做
，最关从未修补的安全漏洞和过度宽松的身份到开放的存储资产 。然而，重要的是要记住，企业永远无法消除其环境中的所有风险。他们根本没有人手来做这件事。亿华云这时，企业应该战略性地开展工作，并确保始终首先消除危及企业最关键资产的风险。”

企业关键的数据资产触手可及：平均攻击路径只需要三个步骤即可以获得企业的数据资产，这意味着网络攻击者只需在云计算环境中找到三个相关且可利用的弱点
，即可窃取数据或勒索赎金。

漏洞是首要的服务器租用初始攻击向量 ：78%的已存在的识别攻击路径使用已知漏洞(CVE)作为初始访问攻击向量 ，这凸显了企业需要更优先地进行漏洞修补。

存储资产通常处于不安全状态：在大多数云平台环境中都可以找到公开访问的S3 Bucket和Azure blob存储资产 ，这是一种高度可利用的错误配置 ，也是许多数据泄露的原因。源码下载

未遵循基本安全实践 ：例如多因素身份验证
、加密、强密码和端口安全性等许多基本安全措施仍未得到一致应用。

云原生服务被忽视：尽管云原生服务很容易启动，但它们仍然需要维护和正确配置：58%的企业拥有运行时不受支持的无服务器功能 ，70%的企业拥有的Kubernetes API服务器可公开访问 。