设备是虚拟的,但威胁是真实的,已经到了城市。对于软件(包括网络安全)供应商而言,虚拟设备是一种廉价且高效的交付方式,可以轻松地在客户的公共和私有云环境中分发和部署。然而,根据OrcaSecurity最新发布的《2020年虚拟设备安全报告》,随着各行业数字化转型加速向云端迁移,虚拟设备的安全防护已经脱节和滞后。该报告检查了企业虚拟设备中的首要安全问题,发现大量已知的可利用和可修复的漏洞正在迅速传播。为帮助云安全行业提高防护水平,降低客户风险,该报告分析了来自540家软件供应商的2218个虚拟设备镜像,分析已知漏洞和其他风险,提供客观的评分和排名。OrcaSecurity首席执行官AviShua表示:“客户认为虚拟设备不存在安全风险,但我们发现漏洞的扩散和操作系统的安全状况令人不安。报告显示仍然存在巨大差距在企业测试和管理虚拟设备漏洞的方式中,而软件行业在保护其客户方面还有很长的路要走。已知漏洞泛滥调查发现,大多数软件供应商都在分发包含已知漏洞以及可利用漏洞的虚拟设备和可修复的安全漏洞。研究发现,不到8%的虚拟设备(177)没有已知漏洞。在来自540家软件供应商的2,218台虚拟设备中总共发现了401,571个漏洞。报告揭示了17个被认为是关键的严重漏洞如果虚拟设备中存在此类未修补的漏洞。其中一些众所周知且易于利用的v漏洞包括:EternalBlueDejaBlueBlueKeepDirtyCOWHeartbleed如下图所示,超过一半的测试虚拟设备低于平均水平,其中56%获得C或更低等级,15%虚拟设备仅获得F等级(失败考试)。(F为15.1%,D为16.1%,C为25%)。在上述调查结果公布后,对相关软件供应商的287个安全更新进行了重新测试,发现这些虚拟设备的平均等级从B提高到A。过时的虚拟设备增加了风险随着时间的推移和缺乏更新,多个虚拟设备面临安全风险。研究发现,大多数供应商没有更新或停止其过时或报废(EOL)产品。该研究发现,在过去三个月中,只有14%(312)的虚拟设备映像进行了更新。同时,47%(1,049)去年没有更新;5%(110)的问题至少被忽略了三年,而11%(243)的版本或EOL操作系统正在运行。虽然,一些过时的虚拟设备在初始测试后已经更新。例如,RedisLabs的产品由于过时的操作系统和许多错误而获得F,但现在更新为A+。一线希望在协调漏洞披露的原则下,研究人员直接向每个供应商发送电子邮件,敦促其修复安全问题。好在云安全厂商的态度和响应速度都非常积极。截至报告发布,多家知名厂商已通过修补或移除虚拟设备消除了401,571个漏洞中的36,259个。一些关键的更正或更新包括:DellEMC为其CloudBoost虚拟版本发布了重要的安全公告;思科针对在研究中扫描的其中一个虚拟设备中发现的15个安全问题发布了修复程序IBM在一周内更新或删除了三个虚拟设备;赛门铁克删除了三个得分较低的产品;Splunk、甲骨文、IBM、卡巴斯基实验室和Cloudflare也删除了产品;Zoho更新了一半最易受攻击的产品;Qualys更新了一个26个月大的虚拟设备,其中包含Qualys在2018年自己发现并报告的用户枚举漏洞。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信)获取授权id:gooann-sectv)转载】点此阅读更多本作者好文
