设备是虚拟的,但威胁却是真实的,而且已经兵临城下。
对于软件(包括网络安全)厂商而言,虚拟设备是一种廉价且高效的交付方式,很容易分发和部署在客户的公共和私有云环境中。
但是,根据Orca Security最新发布的《2020年虚拟设备安全报告》,随着各行业数字化转型加速向云迁移,虚拟设备安全防护已经脱节滞后。
该报告调查了企业虚拟设备安全性方面的主要问题,发现大量已知可利用并且可修复的漏洞正在快速传播。
为了帮助云安全行业提升防护并降低客户风险,报告对来自540个软件供应商的2,218个虚拟设备映像进行了分析,分析了已知漏洞和其他风险,以提供客观的评分和排名。
Orca Security首席执行官Avi Shua表示:客户认为虚拟设备没有安全风险,但是我们发现,漏洞泛滥和操作系统安全现状是令人不安的。
报告显示,企业在测试和管理虚拟设备漏洞方面还存在巨大差距,同时软件行业在保护其客户方面也还有很长的路要走。
已知漏洞泛滥
调查发现,大多数软件供应商都在分发含有已知漏洞,以及可利用和可修复的安全漏洞的虚拟设备。
研究发现,只有不到8%的虚拟设备(177)没有已知漏洞。在540个软件供应商的2,218个虚拟设备中,总共发现了401,571个漏洞。
报告揭示了17个关键漏洞,如果虚拟设备存在此类未修补漏洞,则被认为具有严重影响。其中一些知名且易于利用的漏洞包括:
●EternalBlue
●DejaBlue
●BlueKeep
●DirtyCOW
●Heartbleed
如下图所示,超过一半的经过测试的虚拟设备低于平均等级,其中56%获得C或更低的等级评分,有15%的虚拟设备只获得了F级评分(未通过测试)。(F为15.1%、D为16.1%、C为25%)。
