0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

olarWinds hack 暴露了云技术的缺陷

红旧衫 2022-07-21 09:46 次阅读

SolarWinds黑客利用了云网络安全漏洞,劫持了远程软件更新过程。

去年 12 月,当 FireEye 报告了大规模的SolarWinds 数据泄露事件时,如果没有云连接已经到位,这些泄露事件就不会发生,这一点并不明显。

SolarWinds 黑客利用云网络安全漏洞,劫持远程软件更新过程。他们还暴露了云技术和部署中的根本缺陷。

根据 Fugue 和 Sonatype 于 5 月发布的“ 2021 年云安全状况”调查,大约三分之一的公司在过去一年中经历了严重的云安全或数据泄露或数据泄露。研究发现,云配置错误仍然是导致云泄露的主要原因。在接受调查的 300 名云专业人士中,83% 的人表示他们的组织面临由错误配置导致的重大数据泄露风险。

大部分风险源于“庞大而复杂”的企业云基础设施环境及其动态特性,包括需要治理的多个 API接口。配置错误的其他主要原因是缺乏足够的控制和监督,以及对安全和政策的忽视。

点击查看完整大小的图片

poYBAGLO61SAO2l9AAZuxv2l3vs663.png


资料来源:赋格和 Sonatype。

在云共享责任模型下,错误配置通常归咎于云客户,而不是供应商。Aqua Security 的一项研究检查了数百名客户一年的云配置数据,发现 90% 的客户由于云配置错误而容易受到安全漏洞的影响。不到 1% 的企业修复了所有错误配置问题,而大型企业平均需要 88 天来修复已知问题,从而延长了攻击者可以利用它们的时间。

冲向云端

Verizon 最新的数据泄露年度报告发现,现在大多数网络安全事件都涉及云基础设施,更多的网络安全事件涉及外部而不是内部云资产。根据Thales的研究,一种可能的解释是,一半的企业将 40% 以上的数据存储在外部云环境中,但很少有人对敏感数据进行加密。

Vectra AI 8 月对亚马逊网络服务 (AWS) 用户进行的一项调查发现,去年 100% 的人在其公共云环境中至少遭受过一次安全事件。大多数企业现在都在多云环境中运营,但这些不同的供应商带来了更大的安全挑战,98% 的受访者在7 月份的 Tripwire 报告中表示。

大多数人表示,责任共担模式通常不清楚谁做什么。大多数人还希望云提供商增加他们的安全工作。

要求对其组织进行数字化改造的高管们正处于匆忙之中。几乎所有的云调查都证实了公共云和混合云的快速采用,这使得维护安全变得困难。正如我们所注意到的那样,疫情加剧了这一热潮。
仓促采用也增加了臭名昭著的Microsoft Exchange Server(MES)攻击。今年早些时候,Palo Alto Networks的研究人员观察到,有79%的MES暴露发生在云中。他们在一篇博客文章中写道:“云天生就与互联网相连,新的可公开访问的云部署在正常it流程之外很容易启动,这意味着它们通常使用的默认安全设置不足,甚至可能被忘记。”。
易受攻击的云软件

一些云安全问题源于特定云平台或其他软件中的漏洞。

维基百科的一篇文章——别笑!— 在 SolarWinds 黑客攻击中,微软希望你忘记其软件中的漏洞:Zerologon,“Microsoft 身份验证协议 NetLogon 中的一个漏洞,允许攻击者访问他们破坏的每个 Microsoft 网络中的所有有效用户名和密码。这使他们能够访问承担网络合法用户权限所需的其他凭据,这反过来又使他们能够破坏 Microsoft Office 365 电子邮件帐户。

“此外,微软 Outlook Web App 中的一个缺陷可能使攻击者能够绕过多重身份验证。”

文章还指出,攻击者使用伪造的身份令牌来欺骗微软的身份验证系统。

8 月,FireEye 的 Mandiant 安全研究人员在 Kalay 云平台的核心组件中发现了一个严重漏洞。Kalay 为数百万个物联网设备提供服务,该漏洞使所有设备都面临潜在的远程攻击。

“由于许多受影响的设备都是视频监控产品——包括 IP 摄像机、婴儿监视器和数字录像机——利用该漏洞可能允许攻击者拦截实时音频和视频数据,”FireEye 在博客文章中说。

正如我们报道的那样,Wiz 的研究人员最近在 Microsoft Azure 云平台的中央数据库 ChaosDB 中发现了一个漏洞。这个易于利用的漏洞让攻击者可以“完全、不受限制地访问”数千个使用 Cosmos DB 的组织的帐户和数据库。黑客还可以删除、下载或操作数据,以及提供对 Cosmos DB 底层架构的读/写访问权限。

Wiz 称其为“你能想象到的最严重的云漏洞”。

我的天啊!

Accurics 的开发者倡导者 Jon Jarboe 告诉EE Times,Cosmos DB “提醒我们,保护自己还有很多工作要做” 。“并不总是很清楚云提供商对我们的数据做了什么以及他们是如何做的,以及云用户在做什么,这使得保护起来很困难。”

poYBAGLO65aAXCccAD5EhnUMOcY767.png


乔恩·贾博

Jarboe 补充道:“我们知道云提供商正在保护静态数据,但传输中和使用中的数据呢?Cosmos DB 缺陷将我们的主键暴露给不应该拥有该访问权限的其他人。甚至没有让用户意识到这是可能的好方法。有更多的云提供商和组织可以做更多的事情来阐明更大的安全图景。”

就在我完成 ChaosDB 文章时,Palo Alto Networks 披露了另一个同样危险的 Azure 漏洞。“Azurescape”让攻击者可以控制任何用户的整个 Kubernetes 容器服务基础设施。几天后,Wiz 的 CosmosDB 研究人员在 Azure 中发现了更多关键、易于利用的远程代码执行漏洞,这次是在 OMI 软件代理中。“OMIGOD”影响“无数”Azure 客户。

尽管云提供商“正在努力做正确的事情,但他们必须保护自己的品牌,”Jarboe 说。“因此,在解释他们在做什么与不公开他们的商业机密之间总是存在紧张关系。组织尽其所能保护事物,最终不得不监控暗网以寻找数据泄露的迹象。

“也许这是我们在短期内解决这个问题的唯一方法,”他总结道。



审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59734
  • 云技术
    +关注

    关注

    1

    文章

    189

    浏览量

    18828
  • 安全漏洞
    +关注

    关注

    0

    文章

    151

    浏览量

    16711
收藏 人收藏

    评论

    相关推荐

    A/B型缺陷和D/V类缺陷介绍

    在直拉法(cz)和区熔法(Fz)制成的单晶硅锭中内生微缺陷都由V/G控制,其中,V是结晶前沿晶体生长速率,G是晶体中固液界面附近的轴向温度梯度。 如果V/G低于临界值,则形成的缺陷为A型漩涡缺陷或B
    的头像 发表于 11-14 16:41 238次阅读
    A/B型<b class='flag-5'>缺陷</b>和D/V类<b class='flag-5'>缺陷</b>介绍

    一文详解SiC的晶体缺陷

    SiC晶体中存在各种缺陷,对SiC器件性能有直接的影响。研究清楚各类缺陷的构成和生长机制非常重要。本文带你了解SiC的晶体缺陷及其如何影响SiC器件特性。
    的头像 发表于 11-14 14:53 590次阅读
    一文详解SiC的晶体<b class='flag-5'>缺陷</b>

    MATLAB Shorts Mini Hack大赛来袭

    2024 年 10 月 7 日 - 11 月 10 日,加入 MATLAB Shorts Mini Hack 大赛!
    的头像 发表于 10-14 10:38 362次阅读

    射频技术rfid干扰缺陷有哪些

    射频识别(RFID)技术是一种利用无线电波进行识别和跟踪物体的技术。它广泛应用于物流、零售、医疗、交通等多个领域。然而,尽管RFID技术具有许多优点,但它也存在一些干扰和缺陷。 一、引
    的头像 发表于 09-25 10:03 564次阅读

    如何理解计算?

    计算的工作原理是什么? 计算和传统IT技术的区别? 华纳如何帮助您实现计算? 什么是
    发表于 08-16 17:02

    基于AI深度学习的缺陷检测系统

    在工业生产中,缺陷检测是确保产品质量的关键环节。传统的人工检测方法不仅效率低下,且易受人为因素影响,导致误检和漏检问题频发。随着人工智能技术的飞速发展,特别是深度学习技术的崛起,基于AI深度学习的
    的头像 发表于 07-08 10:30 1398次阅读

    计算安全技术与信息安全技术之间的关系

    一、引言 随着信息技术的快速发展,计算已成为企业和个人存储、处理和分析数据的重要方式。然而,计算的普及也带来了一系列安全问题。本文旨在探讨计算安全
    的头像 发表于 07-02 09:30 744次阅读

    外观缺陷检测原理

    的结合应用加速渗透进工业产品的 外观缺陷检测 领域。思普泰克凭借深耕机器视觉多年沉淀的技术实力,建立以深度学习技术为核心的差异化发展优势,开发出视觉引擎等工业级视觉应用产品,全面赋能产品外观
    的头像 发表于 06-17 17:38 422次阅读
    外观<b class='flag-5'>缺陷</b>检测原理

    请问STM32硬件I2C存在什么缺陷

    我看野火的库函数开发手册里面感觉用I2C用的挺顺的呀 为什么张洋却说STM32的I2C有缺陷 不推荐用 请问下 各位在使用I2C的时候碰到过什么情况吗 我怎么都没感觉到I2C的缺陷 能否说下这个缺陷是什么
    发表于 05-16 07:46

    洞察缺陷:精准检测的关键

    缺陷检测是生产过程的重要组成部分。它有助于确保产品的高质量和满足客户的需求。缺陷检测有许多不同的解决方案,特定应用的最佳解决方案取决于所检测的缺陷类型、解决方案的成本以及解决方案的准确性。
    的头像 发表于 02-26 15:44 336次阅读
    洞察<b class='flag-5'>缺陷</b>:精准检测的关键

    基于深度学习的芯片缺陷检测梳理分析

    虽然表面缺陷检测技术已经不断从学术研究走向成熟的工业应用,但是依然有一些需要解决的问题。基于以上分析可以发现,由于芯片表面缺陷的独特性质,通用目标检测算法不适合直接应用于芯片表面缺陷
    发表于 02-25 14:30 1498次阅读
    基于深度学习的芯片<b class='flag-5'>缺陷</b>检测梳理分析

    机器视觉缺陷检测是工业自动化领域的一项关键技术

    机器视觉缺陷检测是工业自动化领域的一项关键技术
    的头像 发表于 02-22 13:59 530次阅读
    机器视觉<b class='flag-5'>缺陷</b>检测是工业自动化领域的一项关键<b class='flag-5'>技术</b>

    无纺布缺陷在线检测仪怎么用

    监测。那么,无纺布缺陷在线检测仪到底怎么用呢?它的检测效果又如何呢?本文将为您详细解答。 一、无纺布缺陷在线检测仪的基本原理 无纺布缺陷在线检测仪是一种利用光学成像技术对无纺布表面进行
    的头像 发表于 02-03 14:58 495次阅读
    无纺布<b class='flag-5'>缺陷</b>在线检测仪怎么用

    如何利用关联量子传感技术实现点缺陷的三维纳米成像

    近期,中国科学技术大学、中国科学院微观磁共振重点实验室杜江峰、王亚等人在量子精密测量领域取得重要进展,提出基于信号关联的新量子传感范式,实现对金刚石内点缺陷的高精度成像,并实时观测了点缺陷的电荷动力学。
    的头像 发表于 01-09 09:28 713次阅读
    如何利用关联量子传感<b class='flag-5'>技术</b>实现点<b class='flag-5'>缺陷</b>的三维纳米成像

    海思披露了公司聚焦行业专用和嵌入式AI技术的A²MCU

    在12月中,上海海思披露了公司聚焦行业专用(Application Specific)和嵌入式AI技术(Artificial Intelligence)的A²MCU。
    的头像 发表于 01-04 10:04 1236次阅读
    海思披<b class='flag-5'>露了</b>公司聚焦行业专用和嵌入式AI<b class='flag-5'>技术</b>的A²MCU