虚拟设备安全困扰组织的主要差距

进化到云 Orca安全透露,跨行业的数字化转型加速了虚拟设备的安全性。

虚拟设备安全

虚拟设备安全

该报告阐明了虚拟设备安全性方面的主要漏洞,发现其中许多漏洞以已知,可利用和可修复的漏洞进行分发,并且已在过时或不受支持的操作系统上发布。

为了帮助将云安全行业推向更加安全的未来并降低客户风险,对来自540个软件供应商的2,218个虚拟设备映像进行了分析,分析了已知漏洞和其他风险,以提供客观的评估评分和排名。

对于软件供应商而言,虚拟设备是一种廉价且相对容易的方式,可以为客户分发其产品以供客户部署在公共和私有云环境中。

“客户认为虚拟设备没有安全风险,但是我们发现,漏洞泛滥和操作系统无法维护令人不安,” 阿维·舒, CEO, Orca安全.

“ Orca安全 2020虚拟设备安全状态报告显示了组织必须如何保持警惕来测试和消除任何漏洞差距,并且软件行业在保护其客户方面还有很长的路要走。”

已知漏洞泛滥

大多数软件供应商都在分发具有已知漏洞以及可利用和可修复的安全漏洞的虚拟设备。

  • 研究发现,只有不到8%的虚拟设备(177)没有已知漏洞。在540个软件供应商的2,218个虚拟设备中,总共发现了401,571个漏洞。
  • 对于本研究,确定了17个关键漏洞,如果在虚拟设备中未解决这些漏洞,则被认为具有严重影响。其中一些知名的
    容易利用的漏洞包括: 永恒之蓝,DejaBlue, BlueKeep,DirtyCOW和 伤心欲绝.
  • 同时,有15%的虚拟设备获得了F级(被认为未通过研究测试)。
  • 超过一半的经过测试的虚拟设备低于平均等级,其中56%的计算机获得C或更低的评分(F为15.1%; D为16.1%; C为25%)。
  • 但是,由于在收到调查结果后对软件供应商进行的287个更新进行了重新测试,因此这些重新扫描的虚拟设备的平均等级从B提高到A。

过时的电器会增加风险

随着时间的流逝和缺乏更新,多个虚拟设备面临安全风险。研究发现,大多数供应商并未更新或终止其过时或报废的产品(停产)产品。

  • 研究发现,在过去三个月中,只有14%(312)个虚拟设备映像已更新。
  • 同时,有47%(1,049)在去年没有更新;至少有5%(110)的问题被忽略了三年,而有11%(243)的版本或EOL操作系统已运行。
  • 虽然,一些过时的虚拟设备已在初始测试后进行了更新。例如,Redis Labs的产品由于过时的操作系统和许多漏洞而得分为F,但现在在更新后得分为A +。

一线希望

根据协调漏洞披露的原则,研究人员直接向每个供应商发送电子邮件,从而使他们有机会解决他们的安全问题。幸运的是,这些测试已经开始推动云安全行业的发展。

作为这项研究的直接结果,供应商报告说,通过修补或停止发布其虚拟设备已消除了401571个漏洞中的36259个。其中的一些关键更正或更新包括:

  • Dell EMC针对其CloudBoost虚拟版发布了重要的安全公告
  • 思科发布了针对在研究中扫描的一种虚拟设备中发现的15个安全问题的修复程序
  • IBM在一周内更新或删除了三个虚拟设备
  • 赛门铁克删除了三项得分较低的产品
  • Splunk,Oracle,IBM,卡巴斯基实验室和Cloudflare也删除了产品
  • Zoho更新了一半的最脆弱产品
  • Qualys更新了一个具有26个月历史的虚拟设备,其中包括Qualys本身在2018年发现并报告的用户枚举漏洞

维护虚拟设备

对于关注报告中阐明的问题的客户和软件供应商,可以采取纠正和预防措施。软件供应商应确保其虚拟设备得到良好维护,并在发现漏洞后提供新补丁。

发现漏洞时,应打补丁或停止使用该产品。与此同时, 漏洞管理工具 还可以发现虚拟设备并扫描它们以了解已知问题。最后,公司还应使用这些工具在所有软件供应商提供的使用之前扫描所有虚拟设备的漏洞。

分享这个