‘93 procent organisaties heeft onveilig geconfigureerde cloudopslag’

Cloudbeveiligingsbedrijf Accurics deduceert uit eigen onderzoek dat 93 procent van de organisaties slecht geconfigureerde cloudopslag gebruikt. Dat brengt grote beveiligingsrisico’s met zich mee.

93 procent van de organisaties die de cloud omarmen, heeft zijn opslag onvoldoende beveiligd. Dat blijkt uit onderzoek van Accurics, actief in de cloudbeveiligingssector. Het onderzoek stipt enkele interessante pijnpunten aan, al maken we ons vooraf enkele kwalitatieve bedenkingen. Zo analyseerde het bedrijf de cloudinfrastructuur van ‘honderden’ deployments, maar kennen we geen absoluut getal. Ook over het type van clouddeployment of het soort bedrijf dat erachter schuilgaat, hebben we geen informatie. Bovendien peilde Accurics enkel naar de situatie bij klanten en communitygebruikers.

Met die bedenkingen uit de weg kunnen we in de resultaten duiken. De onderzoekers stelden vast dat slecht geconfigureerde cloudopslagdiensten in 93 procent van de gevallen een probleem zijn. Denk daarbij aan een misgeconfigureerde S3-bucket waarlangs externe gebruikers zich toegang tot data kunnen verschaffen.

Hardgecodeerde sleutels

Dat is op zich al een risico, aangezien dergelijke opslagdiensten gevoelige data kunnen bevatten. Accurics merkt echter dat 72 procent van de onderzochte organisaties het nalaat om key management-diensten zoals de AWS KMS of HashiCorp Vault te gebruiken. In de plaats daarvan worden credentials al te vaak leesbaar opgeslagen in configuratiebestanden voor containers. Dergelijke combinaties van nalatigheden en vergissingen laat aanvallers toe om meer uit een aanval te halen dan gewoon wat data. Ze kunnen de gevonden credentials bijvoorbeeld misbruiken, of in sommige gevallen zelfs sleutels aanpassen en de werking van de infrastructuur naar hun hand zetten.

De onderzoekers vermoeden dat de steeds grotere complexiteit van cloudomgevingen aan de oorzaak ligt. Het cloudgebruik van bedrijven groeit, wat ze precies doen verandert, en voor je het weet staat er ergens een poort open. Accuris zelf stelt Infrastructure as Core en Policy as Core aan voor als oplossing om problemen te detecteren en te managen. Dat is weinig verwonderlijk, aangezien daar de specialisatie van de organisatie zelf ligt. Automatisering en overzicht zijn desalniettemin de beste wapens tegen misconfiguraties. Enkel wanneer je ziet wat er allemaal draait en wie er aan kan, is het mogelijk om problemen te verhelpen.