Yeni araştırmalar Google Cloud ve daha küçük sağlayıcıların AWS ve Azure ile karşılaştırıldığında en yüksek bulut güvenlik açığı oranlarına sahip olduğunu gösteriyor.
Cycognito’nun yeni bir raporu, Google Cloud ve birkaç küçük oyuncu Amazon Web Services (AWS) veya Microsoft Azure’dan önemli ölçüde daha yüksek savunmasız varlık oranları gösteren bulut sağlayıcıları arasında güvenlikte geniş farklılıklar ortaya koyuyor.
Yaklaşık beş milyon internete maruz kalan varlığa dayanan araştırma, bulut güvenliğinin birçok kuruluş için akılda olduğu bir zamanda geliyor. Palo Alto Networks kısa bir süre önce, çoklu bulut ortamlarının artan karmaşıklığı ve artan maruz kalan çevrimiçi varlıklar tarafından yönlendirilen bulut güvenlik uyarılarında yıllık% 388’lik bir artış bildirdi.
Saldırı Yüzey Yönetimi Platformu ile bilinen Cycognito, AWS, Azure ve Google Cloud dahil olmak üzere en büyük üç bulut platformunun barındırdığı varlıkların yanı sıra bir grup daha küçük bulut sağlayıcısı ve büyük barındırma şirketleri. Amaç, hangi ortamların müşterileri güvenlik açıkları ve yanlış yapılandırmalar yoluyla daha fazla riske attığını değerlendirmekti.
Google Cloud, genel pozlamada liderlik ediyor
Çalışma, Google bulutta barındırılan varlıkların% 38’inin AWS için sadece% 15 ve Azure için% 27’ye kıyasla en az bir güvenlik sorunu olduğunu buldu. Bu, Google Cloud’u bu önlemle AWS’nin iki katından fazla riskli hale getiriyor.
Aynı% 38 rakam Oracle Cloud, Digitalocean ve Linode gibi daha küçük bulut sağlayıcılarına da uygulandı. Bu arada, Godaddy, Hetzner ve Dreamhost gibi büyük barındırma şirketleri%33 oldu.
Azure, kritik güvenlik açıklarından daha yüksek paya sahiptir
Özellikle 9.0 veya daha yüksek bir CVSS skoru ile tanımlanan kritik konulara bakarken, Azure büyük üç arasında en yüksek oranı%0.07 ile gösterdi. AWS ve Google Cloud%0.04 kaydetti.
Bu sayılar küçük görünse de, ölçekte önemli maruziyeti temsil ederler. Milyonlarca varlık arasında, yüzde bir kısmı bile yüzlerce zayıf noktaya dönüşebilir.
Bu kategoride daha küçük bulut platformları daha çok ilgiliydi. Çoğunlukla olmayan bulutlar tarafından barındırılan varlıkların yaklaşık% 0,5’inin kritik güvenlik açıkları vardı, bu da AWS veya Google Cloud’dan on kat daha yüksek bir oran. Barındırma sağlayıcıları çok geride değildi, varlıklarının% 0,32’si bu kategoriye düştü.
Kolay hedefler hala yaygın
Cycognito ayrıca bu güvenlik açıklarının ne kadar kullanılabilir olduğuna baktı, sadece kağıda ne kadar şiddetli göründüklerini değil. Şirket, saldırganların kullanması en kolay olacağını değerlendirmek için tehdit istihbarat ve saldırgan davranışını hesaba kattı.
Burada yine, daha küçük sağlayıcılar kötü bir şekilde ilerledi. Daha küçük bulutlardaki varlıkların% 13’ünden fazlası kolayca yararlanabilir. Barındırma sağlayıcıları için sayı%10’a yakındı.
Big Three arasında Google Cloud, tekrar kullanımı kolay olarak sınıflandırılan varlıkların% 5,35’i ile yol açtı. Bu, AWS (%1.98) veya Azure (%2.37) oranının iki katından fazla.
Büyük sağlayıcılarda kombine risk hala düşük
Bu risk türlerinin her biri kendi başına önemli olsa da, Cycognito, varlıkların hem kritik hem de sömürülmesi kolay sorunlarla örtüştüğü yerlerde de ölçüldü. AWS, Azure ve Google bulut varlıklarının% 0,1’inden azı bu yüksek riskli kategoriye girdi.
Ama büyük oyuncuların dışında işler daha çok ilgiliydi. Daha küçük bulutlarda barındırılan varlıkların yaklaşık% 0,3’ü ve barındırma sağlayıcılarına sahip olanların% 0,25’i hem kritik hem de kolayca sömürülebilir güvenlik açıklarından etkilenmiştir. AWS’de görülen oranın yaklaşık on katı.
Hangi güvenlik ekipleri yapmalı
Daha fazla kuruluş altyapılarını birden fazla bulut ortamına yayarken, görünürlük büyük bir endişe haline gelmiştir. Varlıklar unutulur, yanlış yapılandırılır veya iç envanterlerin dışında bırakılır, saldırganların bulabileceği ve kullanabileceği gölge yaratır.
Cycognito, kuruluşların geleneksel envanter araçlarından daha ileri gitmesini ve dahili belgelere dayanmayan “çekirdeksiz” keşif tekniklerini benimsemelerini önerir. Ayrıca, sadece geliştirme sırasında değil, uygulamalar dağıtıldıktan sonra dinamik güvenlik testlerinin kullanılmasını da çağırır.