- Het rapport waarschuwt dat langlevende inloggegevens een aanzienlijk veiligheidsrisico blijven vormen
- Verouderde toegangssleutels vergroten de kwetsbaarheid op cloudplatforms
- Geautomatiseerd referentiebeheer is cruciaal voor cloudbeveiliging
Als cloud computing adoptie blijft stijgen, organisaties vertrouwen steeds meer op platforms zoals Amazone Webservices (AWS), Microsoft Azuur, en Googlen Cloud voor hun infrastructuur en diensten betekent echter dat hun veiligheidsrisico’s ook complexer worden.
De recente Datadog State of Cloud Security 2024 Het rapport onthult een bijzonder zorgwekkend probleem: het gebruik van langlevende inloggegevens, die aanzienlijke veiligheidsrisico’s vormen bij alle grote cloudproviders.
Ondanks de vooruitgang op het gebied van cloudbeveiligingstools en -praktijken, gebruiken veel organisaties nog steeds inloggegevens met een lange levensduur, die niet automatisch verlopen.
De prevalentie van langlevende geloofsbrieven
Inloggegevens met een lange levensduur, vooral de inloggegevens die niet langer actief worden beheerd, kunnen een gemakkelijk doelwit zijn voor aanvallers. Als ze lekken of gecompromitteerd zijn, kunnen ze ongeautoriseerde toegang bieden tot gevoelige gegevens of systemen. Hoe langer deze inloggegevens op hun plaats blijven zonder rotatie of monitoring, hoe groter het risico op een inbreuk op de beveiliging.
Uit het rapport van Datadog blijkt dat bijna de helft (46%) van de organisaties nog steeds onbeheerde gebruikers heeft met inloggegevens met een lange levensduur. Deze inloggegevens zijn vooral problematisch omdat ze vaak zijn ingebed in verschillende assets, zoals broncode, containerimages en buildlogboeken. Als deze inloggegevens niet goed worden beheerd, kunnen ze gemakkelijk worden gelekt of openbaar worden gemaakt, waardoor aanvallers een toegangspunt krijgen om toegang te krijgen tot kritieke systemen en gegevens.
Bijna tweederde van 62% van de Google Cloud-serviceaccounts, 60% van de AWS Identity and Access Management (IAM)-gebruikers en 46% van de Microsoft Entra ID-applicaties hebben toegangssleutels die meer dan een jaar oud zijn.
Als reactie op deze risico’s hebben cloudproviders stappen gezet in de richting van het verbeteren van de beveiliging. In het rapport van Datadog wordt opgemerkt dat de adoptie van cloudguardrails toeneemt. Deze vangrails zijn geautomatiseerde regels of configuraties die zijn ontworpen om best practices op het gebied van beveiliging af te dwingen en menselijke fouten te voorkomen.
Zo heeft 79% van de Amazon S3-buckets nu accountbrede of bucket-specifieke publieke toegangsblokkeringen ingeschakeld, vergeleken met 73% vorig jaar. Hoewel deze proactieve maatregelen een stap in de goede richting zijn, blijven langlevende referenties een belangrijke blinde vlek in de inspanningen op het gebied van cloudbeveiliging.
Bovendien voegt het rapport toe dat er een opvallend groot aantal cloudbronnen is met overdreven tolerante configuraties.
Ongeveer 18% van de AWS EC2-instanties en 33% van de Google Cloud VM’s bleken gevoelige rechten te hebben waardoor een aanvaller mogelijk de omgeving zou kunnen compromitteren. In gevallen waarin een cloudworkload wordt geschonden, kunnen deze gevoelige machtigingen worden misbruikt om bijbehorende inloggegevens te stelen, waardoor aanvallers toegang krijgen tot de bredere cloudomgeving.
Daarnaast bestaat het risico van integraties van derden, wat gebruikelijk is in moderne cloudomgevingen. Meer dan 10% van de in het rapport onderzochte integraties van derden bleken risicovolle cloudrechten te hebben, waardoor de leverancier mogelijk toegang kreeg tot gevoelige gegevens of de controle over het volledige AWS-account kon overnemen.
Bovendien dwingt 2% van deze rollen van derden het gebruik van externe ID’s niet af, waardoor ze vatbaar zijn voor een ‚verwarde plaatsvervangende‘ aanval, een scenario waarin een aanvaller een service misleidt om zijn privileges te gebruiken om onbedoelde acties uit te voeren.
“De bevindingen van de Staat van cloudbeveiliging 2024 suggereert dat het onrealistisch is om te verwachten dat langlevende inloggegevens veilig kunnen worden beheerd”, zegt Andrew Krug, hoofd van Security Advocacy bij Datadog.
“Naast dat langlevende inloggegevens een groot risico vormen, blijkt uit het rapport dat de meeste cloudbeveiligingsincidenten worden veroorzaakt door gecompromitteerde inloggegevens. Om zichzelf te beschermen moeten bedrijven hun identiteit met moderne middelen veiligstellen authenticatie mechanismen, maken gebruik van kortstondige inloggegevens en houden actief toezicht op wijzigingen in API’s die aanvallers vaak gebruiken”, aldus Krug.
