草庐IT

Sysdig报告解读:配置不当和漏洞是云安全的两大风险

布加迪 2023-03-28 原文
据Sysdig的报告显示,两个最大的云安全风险依然是配置不当和漏洞,漏洞日益通过软件供应链被引入。

虽然零信任是当务之急,但数据显示,零信任架构的基础:最小特权访问权限并未得到妥善执行。报告特别指出,几乎90%的已授权限并未被使用,这就给窃取凭据的攻击者留下了很多机会。

以上数据来自分析Sysdig客户日常运行的700多万个容器的报告。该报告还考虑了从GitHub、Docker Hub和CNCF等公共数据源获取的数据。报告分析了南美/北美、澳大利亚、欧盟、英国和日本等国家的客户的数据。

87%的容器镜像存在高危漏洞或严重漏洞

几乎87%的容器镜像被发现含有高危漏洞或严重漏洞,比去年报告的75%%有所上升。一些镜像还存在不止一个漏洞。Sysdig特别指出,许多组织意识到了这种危险,但难以在保持软件发布快节奏的同时修复漏洞。

尽管有补丁,但漏洞依然存在的原因在于处理能力和优先级问题。当生产环境中运行的容器镜像中87%存在高危漏洞或严重漏洞时,DevOps或安全工程师就要登录并查看成百上千个存在漏洞的镜像。

Sysdig的威胁研究工程师Crystal Morin表示,彻查一遍并修复漏洞需要花时间。对大多数开发人员而言,为新应用程序编写代码才是其工作重心,所以他们在打补丁上每花1分钟,开发能卖钱的新应用程序的时间就少了1分钟。

有相应补丁的高危漏洞或严重漏洞中只有15%存在于运行时加载的软件包中。如果筛选出这些实际使用的危险软件包,企业就能把精力集中在带来真正风险的一小撮可以修复的漏洞上。

Java软件包风险最高

Sysdig按软件包类型估算运行时加载的软件包中所含漏洞的百分比,以评估哪些编程语言、库或文件类型带来的漏洞风险最高。结果发现,Java软件包在运行时加载的软件包中所含的320000多个漏洞中占到了61%。Java软件包占运行时加载的所有软件包的24%。

运行时暴露的软件包漏洞更多,导致泄密或攻击的风险更高。Java在运行时暴露的漏洞数量最多。虽然Java不是所有容器镜像当中最流行的软件包类型,却是运行时最常用的软件包。

Morin说:“因此,我们认为好人和坏人都关注Java软件包以获得最大回报。由于Java大受欢迎,漏洞赏金猎手更侧重于寻找Java语言漏洞。”

Morin表示,虽然更新颖或不太常见的软件包类型似乎更安全,但这可能是由于漏洞尚未被发现,或者更为糟糕的是,漏洞已被发现,但还没有没披露。

采用安全左移、防护右移的概念

安全左移指这种实践:将测试、质量和性能评估放到开发生命周期的早期阶段。然而,即使采用了完美的左移安全实践,威胁仍可能出现在生产环境中。

Sysdig建议,组织应奉行安全左移、防护右移的策略。防护右移安全强调保护和监测运行中服务的机制。Morin表示,光有借助防火墙和入侵防御系统(IPS)等工具的传统安全实践还不够到位。这留下了安全缺口,因为它们通常无法深入了解容器化的工作负载和周围的云原生环境。

运行时可见性可以帮助组织改善安全左移实践。一旦容器进入到生产环境中,将运行时发现的问题与底层代码关联起来的反馈回路可以帮助开发人员了解该关注哪个方面。运行时可见性还可以帮助静态安全测试工具精准地确定哪些软件包在运行应用程序的容器内部执行。

Morin补充道,这使开发人员可以不用太关注未使用软件包的漏洞,转而专注于修复可利用的运行时漏洞。每项网络安全计划都应该旨在实现全面生命周期安全。

配置不当是导致云安全事件的最大元凶

虽然漏洞是个问题,但配置不当仍是导致云安全事件的首要原因,因此应该引起组织重视。据Gartner声称,到2023年,75%的安全问题是由身份、访问和权限管理不到位造成的,而2020年这个比例是50%。

Sysdig的数据显示,在为期90天的分析期间,授予非管理员用户的权限仅10%被使用。

Sysdig的同比分析显示,组织将访问权授予更多的员工,或者完善身份和访问管理(IAM)实践。这家网络安全公司特别指出,人员用户数量增加可能是更多业务转移到云环境或者因业务发展而增加人员配置的结果。

今年,Sysdig客户的云环境中58%的身份归属非人员角色,去年这个比例是88%。

非人员角色常常临时使用;如果不再使用却没删除,恶意分子就很容易趁虚而入。Morin说:“角色类型的转变可能是由于组织使用云的力度加大,随之而来的是将云访问权授予更多的员工,从而改变了人员角色和非人员角色的比重。”

授予非人员身份的权限中超过98%至少90天没有被使用。Sysdig特别指出:“这些未被使用的权限常常被授予了孤立身份,比如到期失效的测试帐户或第三方帐户。”

对非人员身份实施最小权限原则

安全团队应像管理人员身份一样对非人员身份实施最小权限原则,还应该尽可能删除未被使用的测试帐户,以防止访问风险。Sysdig特别指出,虽然人工排查很繁琐,但所使用权限筛选器和自动生成的建议可以提高这个过程的效率。

与对待人员角色一样,也应该对非人员角色实施最小权限原则。组织需要授予人员完成工作所需的最小权限。这个原则同样适用于非人员,比如需要访问权才能完成任务的应用程序、云服务或商业工具。这就好比手机上的应用程序请求权限,以访问联系人、相册、摄像头和麦克风等更多功能或内容。

Morin说:“除此之外,我们还必须考虑针对这些非人员实体的访问管理。授予过大的权限、未定期管理所授权限,为恶意分子在初始访问、横向移动和权限提升等方面提供了更多机会。”

本文翻译自:https://www.csoonline.com/article/3686579/misconfiguration-and-vulnerabilities-biggest-risks-in-cloud-security-report.html

不当Sysdig非人安全应用安全$配置不当云安全漏洞

有关Sysdig报告解读:配置不当和漏洞是云安全的两大风险的更多相关文章

  1. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  2. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  3. 报告回顾丨模型进化狂飙,DetectGPT能否识别最新模型生成结果? - 2

    导读语言模型给我们的生产生活带来了极大便利,但同时不少人也利用他们从事作弊工作。如何规避这些难辨真伪的文字所产生的负面影响也成为一大难题。在3月9日智源Live第33期活动「DetectGPT:判断文本是否为机器生成的工具」中,主讲人Eric为我们讲解了DetectGPT工作背后的思路——一种基于概率曲率检测的用于检测模型生成文本的工具,它可以帮助我们更好地分辨文章的来源和可信度,对保护信息真实、防止欺诈等方面具有重要意义。本次报告主要围绕其功能,实现和效果等展开。(文末点击“阅读原文”,查看活动回放。)Ericmitchell斯坦福大学计算机系四年级博士生,由ChelseaFinn和Chri

  4. Tomcat AJP 文件包含漏洞(CVE-2020-1938) - 2

    目录1.漏洞简介2、AJP13协议介绍Tomcat主要有两大功能:3.Tomcat远程文件包含漏洞分析4.漏洞复现 5、漏洞分析6.RCE实现的原理1.漏洞简介2020年2月20日,公开CNVD的漏洞公告中发现ApacheTomcat文件包含漏洞(CVE-2020-1938)。ApacheTomcat是Apache开源组织开发的用于处理HTTP服务的项目。ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控

  5. ruby - 用 YAML.load 解析 json 安全吗? - 2

    我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("

  6. ruby-on-rails - 安全地显示使用回形针 gem 上传的图像 - 2

    默认情况下:回形针gem将所有附件存储在公共(public)目录中。出于安全原因,我不想将附件存储在公共(public)目录中,所以我将它们保存在应用程序根目录的uploads目录中:classPost我没有指定url选项,因为我不希望每个图像附件都有一个url。如果指定了url:那么拥有该url的任何人都可以访问该图像。这是不安全的。在user#show页面中:我想实际显示图像。如果我使用所有回形针默认设置,那么我可以这样做,因为图像将在公共(public)目录中并且图像将具有一个url:Someimage:看来,如果我将图像附件保存在公共(public)目录之外并且不指定url(同

  7. ruby - gsub 替换不当 - 2

    我正在尝试使用gsub方法将电子邮件中的所有字母数字字符替换为“#”字符,但Ruby在“@”字符之前插入了一个反斜杠。例如:"john@doe.com".gsub(/[a-z0-9]/,"#")返回"###\#@###.###"而不是"####@###.###"。 最佳答案 它按预期返回"####@###.###",尝试:puts"john@doe.com".gsub(/[a-z0-9]/,"#")您在IRB/Pry中看到的是防止#@被解释为字符串插值。另请参阅下面@Stefan的非常有值(value)的评论。

  8. ruby - 使写入文件线程安全 - 2

    我在一个ruby​​文件中有一个函数可以像这样写入一个文件File.open("myfile",'a'){|f|f.puts("#{sometext}")}这个函数在不同的线程中被调用,使得像上面这样的文件写入不是线程安全的。有谁知道如何以最简单的方式使这个文件写入线程安全?更多信息:如果重要的话,我正在使用rspec框架。 最佳答案 您可以通过File#flock给锁File.open("myfile",'a'){|f|f.flock(File::LOCK_EX)f.puts("#{sometext}")}

  9. ruby-on-rails - 最灵活的 Rails 密码安全实现 - 2

    关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于StackOverflow来说是偏离主题的,因为它们往往会吸引自以为是的答案和垃圾邮件。相反,describetheproblem以及迄今为止为解决该问题所做的工作。关闭8年前。Improvethisquestion我需要实现具有各种灵活需求的密码安全。这些要求基本上取自Sanspasswordpolicy:Strongpasswordshavethefollowingcharacteristics:Containatleastthreeofthe

  10. 什么是0day漏洞?如何预防0day攻击? - 2

    什么是0day漏洞?0day漏洞,是指已经被发现,但是还未被公开,同时官方还没有相关补丁的漏洞;通俗的讲,就是除了黑客,没人知道他的存在,其往往具有很大的突发性、破坏性、致命性。0day漏洞之所以称为0day,正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功率极高,往往可以达到目的并全身而退,而防守方却一无所知,只有在漏洞公布之后,才后知后觉,却为时已晚。“后知后觉、反应迟钝”就是当前安全防护面对0day攻击的真实写照!为了方便大家理解,中科三方为大家梳理当前安全防护模式下,一个漏洞从发现到解决的三个时间节点:T0:此时漏洞即0day漏洞,是已经被发现,还未被公开,官方还没有相

随机推荐