Tenable verwijst naar drie misalignments die de toxic cloud triad vormen

Publiekelijk toegankelijke, extreem kwetsbare en zeer geprivilegieerde cloud workloads. Volgens het Tenable Cloud Risk Report 2024 vormen deze drie wanverhoudingen de “toxic cloud triad”.

Elk van deze wanverhoudingen vormt op zichzelf een risico voor cloudgegevens, maar de combinatie van alle drie verhoogt de kans op toegang tot gegevens door cyberaanvallers aanzienlijk.

38% van de organisaties heeft cloud workloads die voldoen aan alle drie de criteria van de “toxic cloud triad”. In de woorden van Shai Morag, Chief Product Officer bij Tenable, vertegenwoordigt dit “een perfecte storm van blootstelling voor cyberaanvallers”. Wanneer kwaadwillende actoren misbruik maken van deze blootstelling, zijn de incidenten meestal uitval van applicaties, volledige systeemovernames en DDoS-aanvallen, die vaak in verband worden gebracht met ransomware.

Buitensporige machtigingen

De Israëlische cloudbeveiligingsspecialist ontdekte ook dat 84% van de organisaties riskante toegangssleutels voor cloudbronnen heeft, ongebruikte of al lang bestaande toegangssleutels met buitensporig hoge of kritische autorisaties. 23% van de cloud-identiteiten heeft buitensporig hoge of kritische autorisaties.

Bovendien blijven er kritieke kwetsbaarheden bestaan. In het bijzonder CVE-2024-21626, een ernstig ontsnappingslek in containers dat kan leiden tot de compromittering van de serverhost, is zelfs 40 dagen na publicatie nog niet gepatcht in meer dan 80% van de werklasten.

Volgens het onderzoek heeft in totaal 74% van de bedrijven publiekelijk blootgestelde gegevens opgeslagen in de cloud, waarvan sommige, zo bleek uit het onderzoek, gevoelige informatie bevatten. Deze blootstelling is vaak te wijten aan onnodige of overmatige autorisaties. Bovendien, “nu bedrijven steeds meer gebruik maken van cloud-native applicaties, neemt de hoeveelheid gevoelige gegevens die ze daarin opslaan ook toe, waaronder informatie over klanten en werknemers, maar ook intellectueel eigendom van het bedrijf, wat zeer aantrekkelijk is voor hackers”.

Configuratiefouten en overgeprivilegieerde toegang

Tot slot heeft 78% van de organisaties Kubernetes API-servers die toegankelijk zijn voor het publiek. 41% van hen staat ook inkomende internettoegang toe. Daarnaast heeft 58% van de organisaties cluster administrator role bindings, wat betekent dat bepaalde gebruikers onbeperkte controle hebben over alle Kubernetes-omgevingen.

“We zien dat een overweldigend aantal organisaties toegangsrisico’s heeft in hun cloud workloads waar ze zich misschien niet eens bewust van zijn,” concludeert Shai Morag. Het zijn niet altijd kwaadwillende actoren die nieuwe aanvallen lanceren. In veel gevallen vormen configuratiefouten en overgeprivilegieerde toegang het grootste risico op blootstelling van cloudgegevens…”.