พบบริษัท/องค์กรส่วนใหญ่ ไม่สนใจแก้ไขช่องโหว่ที่มีอยู่บน cloud

เมื่อวันพฤหัสบดีที่ผ่านมาทาง RedLock ได้ออกมาเผยแพร่รายงานการวิจัยเกี่ยวกับความปลอดภัยบน cloud ซึ่งได้ทำการตรวจสอบองค์กร/บริษัทใหญ่ๆ อย่างน้อย 250 แห่ง โดยส่วนใหญ่มีขนาดใหญ่กว่า SMEs
การวิจัยในครั้งนี้เป็นการวิจัยเกี่ยวกับการรั่วไหลของ “access keys and secrets” บนระบบ cloud

หลังจากวิเคราะห์ระบบขององค์กร/บริษัทแล้วพบว่า ประมาณร้อยละ 38 เปอร์เซนต์ขององค์กรในบริษัทมีบัญชีผู้ใช้งานที่อาจเสี่ยงต่อการถูกแฮกได้ ส่วนฐานข้อมูลที่อยู่บน cloud ขององค์กร/บริษัทร้อยละ 37 เปอร์เซนต์มีการอนุญาตให้เชื่อมต่อแบบขาเข้า (inbound connection) จากเว็บไซต์ได้ วิธีนี้เป็นการรักษาความปลอดภัยที่ไม่ค่อยดีเท่าไหร่ นอกจากนี้ยังพบว่า ร้อยละ 7 เปอร์เซนต์ของฐานข้อมูลเหล่านี้ยังสงสัยว่าอาจจะโดนบุกรุก เพราะมีการอนุญาตคำขอจาก IP ที่คาดว่าจะเป็นอันตรายอีกด้วย

ในรายงานยังบอกอีกว่า 53 เปอร์เซนต์ของบริษัททั้งหมดเก็บข้อมูลไว้บน cloud, 45 เปอร์เซนต์ของบริษัททั้งหมดไม่มีศูนย์กลางด้านความปลอดภัยในอินเทอร์เน็ต (Center Center for Internet Security-CIS) ที่เป็นมาตรฐานและไม่มีการตรวจสอบ, 46 เปอร์เซนต์ของบริษัททั้งหมดพบปัญหาการบุกรุกอยู่ในระดับสูง โดยมีการตั้งค่าระบบเครือข่ายที่อนุญาตให้เชื่อมต่อขาเข้า SSH (inbound SSH connection) จากอินเตอร์เนต, การตรวจสอบมาตรฐานความปลอดภัยของผู้ใช้ในระดับองค์เมื่อเทียบกับค่าเฉลี่ยมาตรฐานความปลอดภัยข้อมูล PCI อยู่ในเกณฑ์ที่ไม่ผ่านเกณฑ์ที่กำหนด โดยคิดเป็น 48 เปอร์เซนต์ของบริษัททั้งหมด และ 19 เปอร์เซนต์ของบริษัททั้งหมดไม่มีการป้องกันใดๆ เลย ยกตัวอย่างเช่น ไม่มีการเข้ารหัสของฐานข้อมูล

ทางทีมวิจัยชี้แจงว่ามีหลายๆ องค์กร/บริษัทที่ไม่มีการเข้ารหัสของฐานข้อมูลทำให้เกิดการรั่วไหลของข้อมูล โดยคิดเป็น 64 เปอร์เซนต์ของบริษัททั้งหมด ซึ่งเกิดจากการตั้งค่าบริการผิด เช่น การตั้งค่าปลั๊กอิน Kubernetes กับ Jenkins

จากการตรวจสอบนักวิจัยได้พบว่า คอนโซลในหน้าแอดมินของ Kubernetes ที่ติดตั้งบน AWS Microsoft Azure และ the Google Cloud Platform ไม่มีการใส่รหัสผ่านเพื่อป้องกัน และในบาง container พบว่าถูกแฮกเกอร์เข้าควบคุมเพื่อขุด bitcoin หรืออาจถูกแฮกเกอร์เปลี่ยนฐานข้อมูลทางธุรกิจไปเป็น bot เพื่อสร้างรายได้ให้ตนเอง อีกทั้ง access keys กับ secret tokens ใน Kubernetes ยังถูกเก็บไว้ในรูปแบบ cleartext (ข้อความที่ไม่มีการเข้ารหัส) อีกด้วย

สรุปว่า องค์กร/บริษัทไม่สามารถจัดการกับช่องโหว่ที่มีอยู่บน cloud ได้ ซึ่งคิดเป็น 81 เปอร์เซนต์ของบริษัททั้งหมด แม้ว่าจะมีเครื่องมือที่ช่วยในการสแกนหาช่องโหว่ แต่ข้อมูลที่ได้นั้นไม่สามารถสร้างภาพเนื้อหาบน cloud ที่ต้องการ และรูปแบบของภัยคุกคามได้ ที่อาจเป็นภัยได้

สำหรับวิธีการป้องกันทาง RedLock แนะนำว่าให้ใช้เครื่องมือที่สามารถปรับเปลี่ยนการตั้งค่าได้ตามความต้องการ ใช้การควบคุมแบบ CSP (Content Security Policy-เป็นมาตรการที่ช่วยป้องกันหรือบรรเทาความรุนแรงของการโจมตีแบบ Cross-site Scripting (XSS) และ Data Injection) เมื่อมีการอนุญาตคำขอ และมั่นใจได้ว่าโซลูชั่นของ 3rd party นั้นตรงตามข้อกำหนด API ของ cloud-native API

สำหรับรายละเอียดของรายงานสามารถดูได้ที่ cloud security report

ที่มา: ZD Net