但是,根据Orca Security最近发布的《2020年虚拟设备安全报告》,随着各行业数字化转型加速向云迁移,虚拟设备的安全保护出现了延误。
本报告调查了企业虚拟设备安全的主要问题,发现可用和可修复的漏洞正在迅速扩大。
为了提高云安全行业的保护和降低客户风险,报告分析了来自540个软件供应商的2,218个虚拟设备映像,分析了已知的漏洞和其他风险,提供了客观的评估和排名。
Orca Security首席执行官Avi Shua认为虚拟设备没有安全风险,但发现漏洞泛滥和OS安全现状令人不安。
报告显示,企业在测试和管理虚拟设备的脆弱性方面存在很大差距,软件行业在保护顾客方面还有很长的路要走。
已知的脆弱性正在泛滥
据调查,许多软件供应商分发了包括已知漏洞和可用和可修复的安全漏洞的虚拟设备。
研究表明,只有不到8%的虚拟设备(177 )没有已知的漏洞。 在540家软件供应商的2,218个虚拟设备中,发现了总共401,571个漏洞。
过时的虚拟设备增加了风险
随着时间的推移和更新不足,多个虚拟设备面临着安全风险。 研究表明,许多供应商没有更新或终止过时或废弃(EOL )产品。
研究发现,在过去三个月中,只有14%(312 )个虚拟设备镜像文件被更新。
另外,47 % (1,049 )去年没有更新。 至少忽略了5%(110 )的问题三年,运行的是11%(243 )的版本或EOL操作系统。
但是,一些过时的虚拟设备在初始测试后进行了更新。 例如,Redis Labs的产品根据过时的操作系统和很多漏洞得分为f,但现在在更新后得分为a。
一线希望
根据协调漏洞披露的原则,研究者直接向各供应商发送电子邮件,促使解决安全问题。 幸运的是,云安全制造商的态度和应对速度非常积极。
在报告发表之前,许多知名制造商已经通过修补或底层虚拟设备消除了401571个漏洞中的36259个。 这些重要的修改或更新包括:
Dell EMC对其cloudboostvirtualedition发布了重要的安全公告。
思科宣布了针对在研究中扫描的虚拟设备之一中发现的15个安全问题的修复程序。IBM在一周内更新或删除了三个虚拟设备。
赛门铁克下架了得分低的三个产品。
Splunk、Oracle、IBM、卡巴斯基研究所和Cloudflare也下载了产品。
Zoho更新了一半最脆弱的产品。
Qualys更新了26个月历史的虚拟设备,包括2018年Qualys本身发现和报告的用户枚举漏洞。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
