Le rapport, compilé par Orca Research Pod, comprend les principales conclusions de l’analyse des données de configuration et de charge de travail du cloud capturées à partir de milliards de ressources du cloud sur AWS, Azure et Google Cloud scannées par la plateforme de sécurité du cloud d’Orca du 1er janvier au 1er juillet 2022. Le rapport identifie les endroits où des lacunes de sécurité critiques sont encore constatées et fournit des recommandations sur les mesures que les organisations peuvent prendre pour réduire leur surface d’attaque et améliorer les postures de sécurité du cloud.

"La sécurité du cloud public ne dépend pas seulement des plateformes cloud qui fournissent une infrastructure cloud sûre, mais aussi beaucoup de l’état des charges de travail, des configurations et des identités d’une organisation dans le cloud ", a déclaré Avi Shua, PDG et cofondateur d’Orca Security. "Notre dernier rapport sur l’état de la sécurité du cloud public révèle qu’il y a encore beaucoup de travail à faire dans ce domaine, qu’il s’agisse de vulnérabilités non corrigées, d’identités trop permissives ou d’actifs de stockage laissés grand ouverts. Il est toutefois important de se rappeler que les organisations ne pourront jamais résoudre tous les risques dans leur environnement. Elles ne disposent tout simplement pas de la main-d’œuvre nécessaire pour le faire. Au lieu de cela, les organisations doivent travailler stratégiquement et s’assurer que les risques qui mettent en danger les actifs les plus critiques de l’organisation sont toujours corrigés en premier".

Principales conclusions du rapport

• Les joyaux de la couronne sont dangereusement à portée de main : Le chemin d’attaque moyen n’a besoin que de 3 étapes pour atteindre un actif de type "crown jewel", ce qui signifie qu’un attaquant n’a besoin que de trouver trois faiblesses connectées et exploitables dans un environnement cloud pour exfiltrer des données ou demander une rançon à une organisation.
• Les vulnérabilités sont le principal vecteur d’attaque initial : 78 % des chemins d’attaque identifiés utilisent des vulnérabilités connues (CVE) comme vecteur d’attaque d’accès initial, ce qui montre que les entreprises doivent accorder une priorité encore plus grande à la correction des vulnérabilités.
• Les ressources de stockage sont souvent laissées non sécurisées : Les actifs de stockage S3 Buckets et Azure blob accessibles au public sont présents dans la majorité des environnements cloud, ce qui constitue une mauvaise configuration très exploitable et la cause de nombreuses violations de données.
• Les pratiques de sécurité de base ne sont pas respectées : De nombreuses mesures de sécurité de base, telles que l’authentification multifactorielle (MFA), le chiffrement, les mots de passe forts et la sécurité des ports, ne sont toujours pas appliquées de manière cohérente.
• Les services natifs du cloud sont négligés : Même si les services cloud-native sont faciles à lancer, ils nécessitent toujours une maintenance et une configuration adéquate : 58 % des organisations ont des fonctions serverless avec des runtimes non pris en charge, et 70 % des organisations ont un serveur API Kubernetes accessible au public.