Sysdig報告解讀:配置不當和漏洞是云安全的兩大風險
據Sysdig的報告顯示,兩個最大的云安全風險依然是配置不當和漏洞,漏洞日益通過軟件供應鏈被引入。
雖然零信任是當務之急,但數據顯示,零信任架構的基礎:最小特權訪問權限并未得到妥善執行。報告特別指出,幾乎90%的已授權限并未被使用,這就給竊取憑據的攻擊者留下了很多機會。
以上數據來自分析Sysdig客戶日常運行的700多萬個容器的報告。該報告還考慮了從GitHub、Docker Hub和CNCF等公共數據源獲取的數據。報告分析了南美/北美、澳大利亞、歐盟、英國和日本等國家的客戶的數據。
87%的容器鏡像存在高危漏洞或嚴重漏洞
幾乎87%的容器鏡像被發現含有高危漏洞或嚴重漏洞,比去年報告的75%%有所上升。一些鏡像還存在不止一個漏洞。Sysdig特別指出,許多組織意識到了這種危險,但難以在保持軟件發布快節奏的同時修復漏洞。
盡管有補丁,但漏洞依然存在的原因在于處理能力和優先級問題。當生產環境中運行的容器鏡像中87%存在高危漏洞或嚴重漏洞時,DevOps或安全工程師就要登錄并查看成百上千個存在漏洞的鏡像。
Sysdig的威脅研究工程師Crystal Morin表示,徹查一遍并修復漏洞需要花時間。對大多數開發人員而言,為新應用程序編寫代碼才是其工作重心,所以他們在打補丁上每花1分鐘,開發能賣錢的新應用程序的時間就少了1分鐘。
有相應補丁的高危漏洞或嚴重漏洞中只有15%存在于運行時加載的軟件包中。如果篩選出這些實際使用的危險軟件包,企業就能把精力集中在帶來真正風險的一小撮可以修復的漏洞上。
Java軟件包風險最高
Sysdig按軟件包類型估算運行時加載的軟件包中所含漏洞的百分比,以評估哪些編程語言、庫或文件類型帶來的漏洞風險最高。結果發現,Java軟件包在運行時加載的軟件包中所含的320000多個漏洞中占到了61%。Java軟件包占運行時加載的所有軟件包的24%。
運行時暴露的軟件包漏洞更多,導致泄密或攻擊的風險更高。Java在運行時暴露的漏洞數量最多。雖然Java不是所有容器鏡像當中最流行的軟件包類型,卻是運行時最常用的軟件包。
Morin說:“因此,我們認為好人和壞人都關注Java軟件包以獲得最大回報。由于Java大受歡迎,漏洞賞金獵手更側重于尋找Java語言漏洞。”
Morin表示,雖然更新穎或不太常見的軟件包類型似乎更安全,但這可能是由于漏洞尚未被發現,或者更為糟糕的是,漏洞已被發現,但還沒有沒披露。
采用安全左移、防護右移的概念
安全左移指這種實踐:將測試、質量和性能評估放到開發生命周期的早期階段。然而,即使采用了完美的左移安全實踐,威脅仍可能出現在生產環境中。
Sysdig建議,組織應奉行安全左移、防護右移的策略。防護右移安全強調保護和監測運行中服務的機制。Morin表示,光有借助防火墻和入侵防御系統(IPS)等工具的傳統安全實踐還不夠到位。這留下了安全缺口,因為它們通常無法深入了解容器化的工作負載和周圍的云原生環境。
運行時可見性可以幫助組織改善安全左移實踐。一旦容器進入到生產環境中,將運行時發現的問題與底層代碼關聯起來的反饋回路可以幫助開發人員了解該關注哪個方面。運行時可見性還可以幫助靜態安全測試工具精準地確定哪些軟件包在運行應用程序的容器內部執行。
Morin補充道,這使開發人員可以不用太關注未使用軟件包的漏洞,轉而專注于修復可利用的運行時漏洞。每項網絡安全計劃都應該旨在實現全面生命周期安全。
配置不當是導致云安全事件的最大元兇
雖然漏洞是個問題,但配置不當仍是導致云安全事件的首要原因,因此應該引起組織重視。據Gartner聲稱,到2023年,75%的安全問題是由身份、訪問和權限管理不到位造成的,而2020年這個比例是50%。
Sysdig的數據顯示,在為期90天的分析期間,授予非管理員用戶的權限僅10%被使用。
Sysdig的同比分析顯示,組織將訪問權授予更多的員工,或者完善身份和訪問管理(IAM)實踐。這家網絡安全公司特別指出,人員用戶數量增加可能是更多業務轉移到云環境或者因業務發展而增加人員配置的結果。
今年,Sysdig客戶的云環境中58%的身份歸屬非人員角色,去年這個比例是88%。
非人員角色常常臨時使用;如果不再使用卻沒刪除,惡意分子就很容易趁虛而入。Morin說:“角色類型的轉變可能是由于組織使用云的力度加大,隨之而來的是將云訪問權授予更多的員工,從而改變了人員角色和非人員角色的比重。”
授予非人員身份的權限中超過98%至少90天沒有被使用。Sysdig特別指出:“這些未被使用的權限常常被授予了孤立身份,比如到期失效的測試帳戶或第三方帳戶。”
對非人員身份實施最小權限原則
安全團隊應像管理人員身份一樣對非人員身份實施最小權限原則,還應該盡可能刪除未被使用的測試帳戶,以防止訪問風險。Sysdig特別指出,雖然人工排查很繁瑣,但所使用權限篩選器和自動生成的建議可以提高這個過程的效率。
與對待人員角色一樣,也應該對非人員角色實施最小權限原則。組織需要授予人員完成工作所需的最小權限。這個原則同樣適用于非人員,比如需要訪問權才能完成任務的應用程序、云服務或商業工具。這就好比手機上的應用程序請求權限,以訪問聯系人、相冊、攝像頭和麥克風等更多功能或內容。
Morin說:“除此之外,我們還必須考慮針對這些非人員實體的訪問管理。授予過大的權限、未定期管理所授權限,為惡意分子在初始訪問、橫向移動和權限提升等方面提供了更多機會。”
本文翻譯自:https://www.csoonline.com/article/3686579/misconfiguration-and-vulnerabilities-biggest-risks-in-cloud-security-report.html
