Sysdig的報告指出,軟體供應鏈的錯誤配置和漏洞仍是兩個最大的雲端安全風險。
儘管零信任是當務之急,資料卻顯示,零信任架構的基礎——最小存取權限,並未得到妥善執行。報告指出,幾乎90%的授權未被使用,讓盜取憑證的攻擊者留下了很多機會。
以上資料出自對Sysdig客戶日常運行的700多萬個容器的分析報告。該報告還考慮了從GitHub、Docker Hub和CNCF等來源的資料,區域包含南北美、澳洲、歐盟、英國和日本的使用者。
87%容器鏡像存在高危險或嚴重漏洞
87%的容器鏡像被發現含有高危漏洞,比去年報告的75%有所上升。有些鏡像還不止一個漏洞。Sysdig指出,企業注意到了這種危險,但難以在保持快速發佈軟體的同時解決漏洞。
補也補不完的漏洞點出了優先順序的重要。據統計,尚在開發中的容器鏡像高達87%存在高危險漏洞,DevOps工程師或安全工程師需記錄和查看的脆弱鏡像難以計數。然而,對大多數開發人員而言,編碼產出新應用程式才是自己的價值所在。因此,開發人員傾向把精力放在開發新應用程式而非修補漏洞。
該報告還發現,只有15% 的嚴重漏洞和高漏洞具有可用的修補程式,這給團隊帶來了希望,這些漏洞存在於運行時加載的包中。專家建議將精力集中在實際運行的套件漏洞,降低風險。
Java套件風險最高
Sysdig按套件類型分析漏洞,希望了解哪些程式設計語言、資料庫或檔案類型會帶來較高漏洞風險。結果顯示,運行時載入的套件中含有32萬多個漏洞,其中61%屬於Java套件。而Java套件占所有運行套件的24%,是最常被使用的工具。
目前由於Java套件普及,許多的漏洞賞金獵人都專注在挖掘Java相關的漏洞。
安全左移,防護右移
安全左移指的是將測試、品質和性能評估放到開發生命週期早期階段。然而,即使採用了完美的左移安全實踐,威脅仍有可能在生產中出現。
Sysdig建議,企業應該遵循安全左移和防護右移策略。
防護右移安全性原則強調採取各種機制保護和監測運行中的服務。使用防火牆和入侵防禦系統(IPS)等工具的傳統安全實踐不足以做到全面雲端安全防護。因為這些工具無法洞察容器工作負載,也無法探知周圍雲原生環境。
運行可視性有助於企業改善安全左移實踐。一旦容器投入生產,將運行時發現的問題與底層程式碼連結的循環可幫助開發人員瞭解該關注哪些地方。靜態安全測試也可借助運行時情報確定運行應用的容器內部在執行什麼套件。Sysdig表示,這有助於開發人員判斷漏洞優先順序,專注修復運行漏洞。
錯誤配置是雲端安全事件的最大元兇
儘管漏洞是個問題,但錯誤配置仍是雲端安全事件的首要原因根據Gartner的預測,到2023年,75%的安全失效問題是身份、許可權和特權管理不足引發的。
零信任架構原則強調組織應避免授予過於寬鬆的存取權限。Sysdig報告顯示 90% 的授權未被真正使用。如果攻擊者破壞具有特權存取或過度權限的身份憑證,他們將掌握雲端安全的關鍵。
Sysdig表示需要關注雲端環境中機器身分以及孤兒身分的存取權限,如過期測試帳戶或協力廠商帳戶。機器身分包含需要許可權才能完成自身任務的應用程式、雲端服務或商業工具。這類似手機應用程式請求授權存取連絡人、相簿、相機、麥克風等。
授予過多的許可權和沒有定期管理權限,都會成為惡意駭客初始存取、橫向移動和許可權提升的攻擊機會。
此外,Sysdig報告也指出:
- 59%容器沒有定義 CPU 限制,69% 的請求 CPU 資源未被使用:沒有 Kubernetes 環境的利用率信息,開發人員無法了解他們的雲資源在哪里分配過多或分配不足。各種規模的組織都可能超支 40%,對於大型部署,優化環境平均可以節省 1000 萬美元的雲消費費用。
- 72% 的容器壽命不到五分鐘:在容器消失後收集故障排除資訊幾乎不可能,今年容器的壽命縮短了 28%。這種減少表明組織在使用容器編排方面日趨成熟,並強化了對安全性的需求,以上雲的短暫性。