ORCA Security’ye göre, AI’nın benimsenmesi artıyor, kuruluşların% 84’ü bulutta AI kullanıyor. Ancak bu yenilik yeni risklerle birlikte geliyor: Kuruluşların% 62’sinin en az bir savunmasız AI paketi var ve en yaygın AI ile ilgili CVE’lerden bazıları uzaktan kod yürütülmesini sağlıyor.
AI benimseme yeni risklerle birlikte gelir
ORCA Security, “Çoklu Kabul Mimarileri olağanüstü esneklik ve büyüme sunarken, ortamlarda tutarlı görünürlük ve kapsamı sürdürmeyi zorlaştırıyor. Bulutta savunmasız paketler çalıştırmak için acele eden kuruluşlar, organizasyonlara AI’nın evlat edinme ekleyin ve güvenlik profesyonelleri için benzersiz bir ortama sahipsiniz” dedi.
Kuruluşlar bulutta daha hassas veri depoladıkça, veri maruziyetinin yaygınlığı artmaktadır: veritabanlarında hassas verileri olan kuruluşların% 38’i de halka maruz kalan veritabanlarına sahiptir. Kuruluşların% 13’ünde 1000’den fazla saldırı yolunu destekleyen tek bir bulut varlığı vardır.
Bulut varlıkları genellikle ihmal edilir
Bulut benimseme ve bulut yerli teknolojileri de genişledikçe, bulut risklerinin hacmi ve şiddeti de artmaktadır. Bulut varlıklarının yaklaşık üçte biri ihmal edilir ve her varlık ortalama 115 güvenlik açığı içerir. Her ikisi de bu rahatsız edici eğilimi gösteren diğerleri arasında iki veri noktasıdır.
En çok ihmal edilen varlık türü sanal makinelerdir (kuruluşların% 95’inin en az bir tane vardır), en ihmal edilen işletim sistemi (OS) dağılımı Ubuntu’dur (kuruluşların% 88’inde en az bir örnek vardır). Ayrıca, bulgular kuruluşların beşte birinden fazlasının bulut varlıklarının en az% 40’ını ihmal ettiğini göstermektedir.
Kuruluşların% 89’unda internete maruz kalan en az bir ihmal bulut varlığı var, bu da her yıl% 7’lik bir artış var. Özellikle kamuya açık ihmal edilen varlıklara duyarlı endüstriler şunları içerir:
- Tüketici ve Üretim -% 97
- Teknoloji -% 94
- Kamu Sektörü -% 92
Saldırı yüzeyleri genişliyor
Kuruluşların% 76’sı, yanal hareketi sağlayan ve tek bir riski daha geniş bir uzlaşma fırsatına dönüştüren en az bir kamuoyuna dönük varlığa sahiptir.
Açıklamak gerekirse, kuruluşların% 36’sı 100’den fazla saldırı yolunu destekleyen en az bir bulut varlığına sahiptir ve saldırganlara yüksek değerli varlıkları tehlikeye atmak için doğrudan bir yol verdi.
Sağlık Hizmetleri, veritabanları için hassas veri maruziyetine en duyarlı olan sektördür, kuruluşlar için endişe verici bir gerçektir. Örneğin Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA), ABD’deki korunan sağlık bilgilerinin (PHI) gizliliğini düzenler ve suçluluğa bağlı olarak ihlaller için 1.5 milyon dolara kadar para cezası verebilir. Ancak risk, tüm endüstrilerdeki kuruluşların önemli bir kısmını etkilemektedir.
Bulut güvenliği riskleri çalışma zamanı ortamlarıyla sınırlı değildir, genellikle uygulama geliştirme yaşam döngüsünde daha önce ortaya çıkarlar. Kuruluşların% 85’inde kaynak kodu depolarına gömülü düz metin sırları vardır. Bir depo maruz kalırsa, saldırganlar sistemlere erişmek, verileri eklemek ve daha fazlasını çıkarmak için sırları çıkarabilir.
Kubernetes kullanımı ve riskleri
Çoğu kuruluş, bulut ortamlarında (%70) Kubernetes kullanır ve evlat edinme artan YOY (%15) kullanır. Kubernetes kullanan kuruluşların% 30’unda kamuya açık olan en az bir Kubernetes varlığı (örn., İş yükü, kimlik, yapılandırma) vardır. Diğer bulut varlıkları gibi, kamuya maruz kalma yetkisiz erişim ve ilgili güvenlik olayları riskini arttırır.
Kubernetes’in benimsenmesinin yanı sıra, Kubernetes riskleri olan kuruluşların da önemli bir payını görüyoruz. Her iki K8 kuruluşundan birinde, Kubernetes’in desteklenmeyen bir versiyonu olan en az bir kümeye sahip ve kümeyi bilinen istismarlara karşı savunmasız bırakıyor.
Buna ek olarak, K8 kuruluşlarının% 93’ü, saldırganların ayrıcalıkları artırmak, hassas verilere erişmek veya kümeyi bozmak için kullanabilecekleri aşırı ayrı bir hizmet hesabına sahiptir.
“İhmal edilen bulut varlıkları ve maruz kalan hassas veriler gibi geleneksel maruziyetler büyümeye devam ediyor. Aynı zamanda, insan olmayan kimliklerin hızlı yükselişinden artan sayıda AI ile ilgili güvenlik açıklarına kadar yeni zorluklar ortaya çıkıyor” dedi.