ポートが開いているという理由だけでサーバーが危険にさらされていると考えるべきですか？

開示を読むと、開いているポートは実際にはランダムなポートではなく、外部の世界に直接公開されるように設計されたことのない特定の内部サービスがリッスンしていたポートであることが起こります。その内部サービスに脆弱性がある場合、攻撃者は指定された期間内にサービスを使用するユーザーのAPIキーを取得できる可能性があります。

彼らは攻撃が標的型攻撃ではなく自動化された攻撃のように見えることに注意していますが、高度な攻撃者は多くの場合、非常に目立つ自動化攻撃を使用して、発生している別の秘密の標的型攻撃からサーバーおよびシステム管理者の注意をそらすことを考慮する必要があります同時に、つまり、多くの注目を集める大きなDDoSは、単なる気晴らしです。

巧妙な攻撃者は、重要なデータを誰も侵害していないように見せかけるためにシステムへの特権を獲得できた場合、その痕跡を消してしまう可能性があります。そのため、実際にクエリされているデータの証拠が見つからなかったとしても、APIキーの変更を推奨しています。特に、これは侵害されたログサーバーであり、sysadminは通常ログを使用して侵害を検出するため、侵害されたログサーバーは実際に起こっていることを隠すことができます。

巧妙な攻撃者はまた、システムにバックドア/ルートキットを残して、後から誰もが落ち着いたと思ったときにシステムに再び入ることができるようにし、セキュリティ境界の内側からよりゆったりとしたペースで実際の攻撃を行うことができます。これは非常に危険です。これが、関係するマシンを廃止する理由です。

あるいは、セキュリティについての疑いがあるために購入の意思決定の垣根を握っている潜在的なセキュリティ意識の高い顧客へのショーとしてこれを行っているかもしれません。これにより、顧客に影響を与える可能性のある脆弱性がある場合に会社が母親を維持しないことが安心できるため、顧客がサービスを利用することを決定する可能性のある顧客の態度が変わる可能性があります。

ここで単にポートを開くだけで妥協の可能性があると考えられる理由はありますか？

はい、開いているポートは、外部で使用するように設計されていない内部サービスを公開します。サービスは信頼できるマシンからのみアクセス可能であると想定されていたため、内部使用を目的としたサービスは、一般に公開されているサービスのセキュリティ強化に欠けていることがよくあります。たとえば、内部サービスは、信頼済みネットワーク内での通信にSSLを使用しない場合や、信頼できる送信者がすでに必要な検証を行っていると想定しているため、入力を十分に検証しない場合や、認証なしで使用できる管理コマンドがある場合があります。必要な認証はすべて公衆向けサービスによって行われていると想定しているためです。