Компания Tenable®, занимающаяся управлением рисками, опубликовала отчет о рисках для облачной безопасности за 2025 год, в котором говорится, что 9% общедоступных облачных хранилищ содержат конфиденциальные данные. Девяносто семь процентов таких данных являются ограниченными или конфиденциальными, что делает их легкой мишенью для злоумышленников.
Облачные среды подвергаются значительно повышенному риску из–за раскрытия конфиденциальных данных, неправильных настроек, основных уязвимостей и плохо хранимых секретов, таких как пароли, API-ключи и учетные данные. В отчете о рисках облачной безопасности за 2025 год подробно рассматриваются наиболее важные проблемы облачной безопасности, влияющие на данные, идентификационные данные, рабочую нагрузку и ресурсы искусственного интеллекта, а также предлагаются практические стратегии их устранения, которые помогут организациям активно снижать риски и устранять критические пробелы.
Основные выводы, содержащиеся в докладе, включают:
Секреты, хранящиеся в различных облачных ресурсах, подвергают организации риску: более половины организаций (54%) хранят по крайней мере один секрет непосредственно в определениях задач Amazon Web Services (AWS) Elastic Container Service (ECS), что создает прямой путь для атаки. Аналогичные проблемы были обнаружены в организациях, использующих облачную платформу Google Cloud Platform (GCP) (52%) и рабочие процессы Microsoft Azure Logic Apps (31%). Вызывает тревогу тот факт, что 3,5% всех инстансов AWS Elastic Compute Cloud (EC2) содержат секретные данные пользователей — серьезный риск, учитывая, насколько широко используется EC2.
Безопасность облачных вычислений улучшается, но опасные сочетания сохраняются: хотя число организаций с “токсичной облачной трилогией” – рабочей нагрузкой, которая является общедоступной, критически уязвимой и высокоприоритетной, – сократилось с 38% до 29%, это опасное сочетание по-прежнему представляет значительный и распространенный риск.
Использование поставщиков идентификационных данных (IDP) само по себе не устраняет риск: хотя 83% организаций AWS применяют передовые методы использования IDP-сервисов для управления своими облачными идентификационными данными, чрезмерно широкие настройки по умолчанию, чрезмерные права и постоянные разрешения по-прежнему подвергают их угрозам, связанным с идентификационными данными.
“Несмотря на инциденты с безопасностью, свидетелями которых мы стали за последние несколько лет, организации продолжают оставлять важные облачные ресурсы, от конфиденциальных данных до секретов, незащищенными из-за неправильных настроек, которых можно избежать”, – сказал Ари Эйтан, директор по исследованиям в области облачной безопасности Tenable.
“Путь для злоумышленников часто прост: воспользоваться открытым доступом, украсть встроенные секреты или злоупотребить правами доступа к сверхпривилегированным учетным данным. Чтобы устранить эти пробелы, специалистам по безопасности необходима полная видимость в своих средах и возможность определять приоритеты и автоматизировать устранение неполадок до того, как угрозы усилятся. Облако требует непрерывного, проактивного управления рисками, а не реактивного лоскутного шитья”.
Отчет отражает выводы исследовательской группы Tenable Cloud Research, основанные на данных телеметрии, полученных от рабочих нагрузок в различных общедоступных облачных и корпоративных средах, проанализированных с октября 2024 по март 2025 года.
Узнайте больше на странице tenable.com.