What is a Cloud Security Misconfiguration?

由於 SQL 注入或跨站點腳本 (XSS) 等易受攻擊的程式碼模式，應用程式可能具有固有的脆弱性，容易受到攻擊。然而，即使沒有這些常見脆弱性的應用程式如果部署和配置不正確也可能容易受到攻擊。根據奧瓦斯普，大約 4.5% 的應用程式的配置或部署方式使其容易受到攻擊。

雖然一般應用程式都是如此，但基於雲端的應用程式特別容易受到安全配置錯誤的影響。在一個最近雲端資安調查超過四分之一（27%）的受訪者曾經歷過公共雲端資安事件。其中，23％是由配置錯誤引起的，這比其他設置多得多雲端資安常見問題。這也比上一年增加了 10%。

雲端資安的錯誤配置預計將成為未來幾年的一個主要問題。根據加特納到 2025 年，99% 的雲端資安故障都是客戶的錯，而這些故障往往是由於安全配置錯誤造成的。快速預防、偵測和修正安全性錯誤設定的能力對企業至關重要雲端資安策略。

雲端資安配置錯誤的常見原因

雲端資安的責任共擔模式下，雲端客戶負責保護自己的雲端資源。然而，許多組織都在努力保護其基於雲端的基礎設施的安全。

這些使公司面臨風險的安全性錯誤配置的一些常見原因包括：

多重雲端複雜性： 大多數組織都擁有跨多個不同雲端供應商平台的多雲端部署。由於每個平台都有自己的安全設定陣列，因此在各個環境中正確設定和監控這些設定可能很難。此外，各種安全性設定之間的任何不一致性都會增加組織的風險。
未變更的預設值： 當部署新應用程式或擴展到新的雲端環境時，組織的新雲端基礎架構會為其安全性配置設定提供預設值。如果這些設定預設不是安全的，則無法重新設定這些設定，可能會使組織容易受到影響。
不安全的開發運作： 敏捷性是雲端基礎架構的主要賣點之一。為了嘗試快速部署新功能，管理員可以在測試期間設置「臨時」安全設定。如果發行後未變更這些組態，則會使組織面臨風險。
技能差距： 許多組織最近才過渡到雲端，並採用了複雜的多雲端環境。保護這些環境需要對每個平台的安全設置進行深入的經驗，由於現有的網絡安全技能差距，可能很難獲得這些環境。
陰影 IT： 雲端平台旨在用戶友好，可以輕鬆啟動應用程式、資料儲存和其他雲端服務。因此，員工可能在沒有適當授權和正確配置安全控制的情況下部署雲端資產。

企業雲端環境中可能存在各種安全錯誤配置。雲端資安配置錯誤的一些最常見的範例包括：

預設帳戶和密碼： 各種應用程式和服務使用的預設帳戶和密碼是公開的。未能停用預設帳戶或更改其密碼可能會使雲端基礎設施容易受到撞庫攻擊。
公開存取的資產： 許多雲端平台允許使用可公開存取的連結共享檔案、資料夾等。此連結共用允許任何知道或猜測連結的人存取潛在機密的公司資料。
過多的訪問權限： 在雲端環境中，使用者和應用程式經常被授予不必要的存取和權限。這種過度的存取權限會增加由入侵認證、錯誤使用權限或員工疏忽引起的安全事件的可能性和影響。
不必要的功能： 雲端服務，基於雲端的應用程式雲端環境可能帶有不必要的功能。無法停用組織不使用的功能會擴大數位攻擊面。
未加密儲存： 雲端資料儲存正在增加，這意味著大量資料儲存在通常與其他雲端客戶共享的第三方平台上。如果未加密存儲此數據，則未經授權的用戶可能會訪問它。
缺少更新和修補程式： 雖然雲端提供者維護底層基礎設施，雲端客戶負責對其應用程式和底層軟體元件應用更新。如果不這樣做，應用程式可能會遭受未打補丁的脆弱性的利用。