根据Sysdig的一份报告,两个最大的云安全风险仍然是错误配置和漏洞,这些错误配置和漏洞正在通过软件供应链大量引入。

虽然零信任是重中之重,但数据显示,作为零信任体系结构基础的最小特权访问权限没有得到正确执行。报告指出,几乎90%的授予权限未被使用,这为窃取凭据的攻击者留下了许多机会。

这些数据来自对 Sysdig 客户每天运行的 700 多万个容器的分析。该报告还考虑了从GitHub,Docker Hub和CNCF等公共数据源中提取的数据。该报告分析了北美和南美、澳大利亚、欧盟、英国和日本的客户数据。边缘计算网关


87% 的容器映像存在高漏洞或严重漏洞 

发现近 87% 的容器映像包含高漏洞或严重漏洞,高于去年报告的 75%。发现某些映像具有多个漏洞。Sysdig指出,组织已经意识到了这种危险,但在保持软件发布的快节奏的同时,还要努力解决漏洞。

尽管有修复,漏洞仍然存在的原因是因为带宽和优先级问题。当生产环境中运行的 87% 的容器映像存在严重或高严重性漏洞时,DevOps 或安全工程师可以登录并查看数百甚至数千个存在漏洞的映像。

“浏览清单并解决问题需要时间。对于大多数开发人员来说,为新应用程序编写代码是他们被评估的内容,因此他们花在应用修复上的每一分钟都是没有时间开发可以出售的新应用程序,“Sysdig威胁研究工程师Crystal Morin说。

只有 15% 具有可用修复程序的关键漏洞和高漏洞位于运行时加载的包中。通过过滤掉那些实际使用的易受攻击的软件包,企业可以将精力集中在代表真正风险的可修复漏洞的一小部分上。

image.png

Java 软件包风险最高

在按包类型测量运行时加载的包中的漏洞百分比以衡量哪种语言、库或文件类型的漏洞风险最大时,Sysdig 发现 Java 包占正在运行的包中超过 61,320 个漏洞中的 000%。Java 包占运行时加载的包的 24%。

运行时公开的包中的漏洞越多,泄露或攻击的风险就越高。Java 在运行时暴露的漏洞数量最多。虽然 Java 不是所有容器映像中最受欢迎的包类型,但它在运行时使用起来最常用。

“出于这个原因,我们相信好人和坏人都专注于Java包,以获得最大的收益。由于它的受欢迎程度,bug猎人可能更专注于Java语言漏洞,“Morin说。

虽然更新或不太常见的软件包类型似乎更安全,但Morin表示,这可能是因为漏洞尚未被发现,或者更糟的是,它们已经被发现,但尚未披露。

应用左移、盾右概念

左移是在开发生命周期的早期移动测试、质量和性能评估的做法。但是,即使采用完美的左移安全实践,生产中也可能会出现威胁。

组织应该遵循左移和右移策略,Sysdig建议。屏蔽权安全性强调保护和监视正在运行的服务机制。“使用防火墙和入侵防御系统(IPS)等工具的传统安全实践是不够的。它们留下了空白,因为它们通常无法提供对容器化工作负载和周围云原生上下文的洞察力,“Morin说。

运行时可见性可以帮助组织改进左移实践。容器投入生产后,将运行时发现的问题与底层代码相关联的反馈循环可帮助开发人员知道应关注的位置。静态安全测试也可以通过运行时智能来通知,以查明在运行应用程序的容器中执行的包。

“这使开发人员能够降低未使用软件包的漏洞优先级,而是专注于修复可利用的正在运行的漏洞。每个网络安全计划的目标都应该是全生命周期安全,“Morin补充道。

配置错误是云安全事件的最大罪魁祸首

虽然漏洞是一个问题,但配置错误仍然是云安全事件中最大的参与者,因此应该是组织中引起关注的最大原因之一。根据Gartner的数据,到2023年,75%的安全故障将导致身份、访问和特权管理不善,高于50年的2020%。

来自 Sysdig 的数据显示,在 10 天的窗口内进行分析时,授予非管理员用户的权限中只有 90% 被利用。

Sysdig的同比分析显示,组织要么向更多员工授予访问权限,要么使其身份和访问管理(IAM)实践成熟。这家网络安全公司指出,人类用户数量的增长可能是将更多业务转移到云环境中或由于业务增长而增加人员的副产品。

今年,Sysdig客户云环境中58%的身份被发现是非人类角色,低于去年的88%。

非人类角色通常是临时使用的,如果不再使用且未删除它们,它们将为恶意参与者提供轻松的访问点。“角色类型转变的原因可能是组织的云使用正在增长,随着采用,更多的员工被授予云访问权限,从而改变了人类和非人类角色的平衡,”Morin说。

授予非人类身份的权限中,超过 98% 至少 90 天未使用。“通常,这些未使用的权限被授予孤立身份,例如过期的测试帐户或第三方帐户,”Sysdig指出。

将最小特权原则应用于非人类身份

安全团队应将最低特权原则应用于非人类标识,就像管理人类标识一样。他们还应尽可能删除未使用的测试帐户,以防止访问风险。Sysdig指出,虽然手动确定这可能很繁琐,但使用中的权限过滤器和自动生成的建议可以使此过程更有效率。

最小特权原则对于非人类和人类是相同的。组织需要授予人类完成工作所需的最低访问权限。这同样适用于非人类,例如需要访问才能完成工作的应用程序、云服务或商业工具。这些操作类似于手机上请求访问联系人、照片、相机、麦克风等权限的应用程序。

“有了这个,我们还必须考虑对这些非人类实体进行访问管理。授予过多的权限而不定期管理授予的权限为恶意行为者提供了额外的初始访问、横向移动和权限提升选项,“Morin 说。