24
 Fugue與Sonatype的調查報告揭露錯誤雲端配置的原因。
連結，而要在正常的IT程序外部署 一個可公開存取的雲端環境，簡直 出乎意料地容易。這表示他們通常 沒有使用足夠的預設安全設置，或 者 根 本 忘 記。」
部分的雲端安全問題源自於 特定雲端平台或其他軟體的漏 洞。在維基百科(Wikipedia)有一 篇關於SolarWinds駭客事件的 文章，直指微軟(Microsoft)希望 使用者忘記他們的一個軟體漏洞 Zerologon。這是微軟認證協定 NetLogon中存在的一個漏洞， 可以讓駭客輕易入侵微軟網路竊 取使用者名稱和密碼。
在 8 月，F i r e E y e 旗 下 的 Mandiant部門安全研究人員揭 露了Kalay雲端平台核心元件中 的一個重大漏洞。有多達數百萬 的物聯網裝置使用Kalay的服務， 該漏洞讓它們全部都暴露於潛在 的遠端攻擊風險下。FireEye在一 篇部落格文章中指出:「由於許多 受影響的裝置都是視訊監視產品 ──包括網路攝影機、嬰幼兒監 視器以及數位視訊錄影機--利 用該漏洞，駭客可以攔截即時音、 視訊資料」。
有大多數企業會在多雲環境下營 運，但根據美國軟體業者Tripwire 於7月發表的一份報告顯示，98% 受訪者指出，不同供應商帶來了 更嚴峻的安全性挑戰。大多數人 表示，關於誰應該做什麼，共同責 任模型通常不夠明確;也有大多數 人表示，希望雲端服務供應商在安 全方面多加把勁。
脆弱的雲端軟體
《EETimes》先前曾經報導， 網路安全業者Wiz的研究人員最近 在微軟Azure雲端平台的中央資料 庫ChaosDB發現了一個漏洞。這 個容易攻擊的弱點可以讓駭客取 得「完整、無限制的存取權」，入侵 數千個使用Cosmos DB的組織帳 戶及資料庫;駭客也可以將資料刪 除、下載或做其他運用，還能提供 進入Cosmos DB底層架構的讀/寫 存取權。Wiz將之形容為:「你想得 到最糟的雲端安全漏洞」。
渴望組織數位轉型的企業高 層都有一顆迫切達成的心，只是幾 乎所有的雲端調查都證實，公有雲 和混合雲的快速採用，讓安全維護 變得更加困難。如同我們已經指出 的，疫情的推波助瀾加速了企業數 位轉型熱潮。
倉促的數位轉型步伐，也讓 惡名昭彰的Microsoft Exchange Server (MES)攻擊事件增加。今 年稍早，網路安全業者Palo Alto Networks研究人員發現，MES的 風險暴露情形有79%發生在雲端; 他們在一篇官方部落格文章中寫 道:「雲端環境本來就和網際網路
這個漏洞讓駭客可以存取 必要的額外憑證，竊取網路中任 何合法使用者的使用權限，並最 終讓他們可以入侵微軟Office 365的電子郵件帳戶。「此外， 微軟Outlook網頁版應用程式 裡的一個缺陷，也讓駭客可以繞
我的老天!
www.eettaiwan.com | 2021年11月 
過多重要素認證(multi-factor authentication);」該篇文章也 指出，駭客使用偽造的身分令牌 (token)欺騙微軟的認證系統。
雲端安全業者Accurics的 開發人員Jon Jarboe接受《EE Times》採訪時表示，Cosmos DB 事件提醒了我們「要保護好自己， 得做的事還很多。雲端服務供應商 怎麼處理我們的資料，以及雲端使
INDUSTRY TRENDS