“隐形”的企业安全盲区:虚拟设备安全

设备是虚拟的,但威胁却是真实的,而且已经兵临城下。

对于软件(包括网络安全)厂商而言,虚拟设备是一种廉价且高效的交付方式,很容易分发和部署在客户的公共和私有云环境中。

[[349886]]

但是,根据Orca Security最新发布的《2020年虚拟设备安全报告》,随着各行业数字化转型加速向云迁移,虚拟设备安全防护已经脱节滞后。

该报告调查了企业虚拟设备安全性方面的主要问题,发现大量已知可利用并且可修复的漏洞正在快速传播。

为了帮助云安全行业提升防护并降低客户风险,报告对来自540个软件供应商的2,218个虚拟设备映像进行了分析,分析了已知漏洞和其他风险,以提供客观的评分和排名。

Orca Security首席执行官Avi Shua表示:客户认为虚拟设备没有安全风险,但是我们发现,漏洞泛滥和操作系统安全现状是令人不安的。

报告显示,企业在测试和管理虚拟设备漏洞方面还存在巨大差距,同时软件行业在保护其客户方面也还有很长的路要走。

已知漏洞泛滥

调查发现,大多数软件供应商都在分发含有已知漏洞,以及可利用和可修复的安全漏洞的虚拟设备。

研究发现,只有不到8%的虚拟设备(177)没有已知漏洞。在540个软件供应商的2,218个虚拟设备中,总共发现了401,571个漏洞。

报告揭示了17个关键漏洞,如果虚拟设备存在此类未修补漏洞,则被认为具有严重影响。其中一些知名且易于利用的漏洞包括:

  • EternalBlue
  • DejaBlue
  • BlueKeep
  • DirtyCOW
  • Heartbleed

如下图所示,超过一半的经过测试的虚拟设备低于平均等级,其中56%获得C或更低的等级评分,有15%的虚拟设备只获得了F级评分(未通过测试)。(F为15.1%、D为16.1%、C为25%)。

上述调查结果发布后,对相关软件供应商的287个安全更新进行了重新测试,发现这些虚拟设备的平均等级从B提高到了A。

过时的虚拟设备会增加风险

随着时间的流逝和缺乏更新,多个虚拟设备面临安全风险。研究发现,大多数供应商并未更新或终止其过时或报废(EOL)的产品。

研究发现,在过去三个月中,只有14%(312)个虚拟设备镜像文件获得更新。

同时,有47%(1,049)在去年没有更新;至少有5%(110)的问题被忽略了三年,而有11%(243)的版本或EOL操作系统已运行。

虽然,一些过时的虚拟设备已在初始测试后进行了更新。例如,Redis Labs的产品由于过时的操作系统和许多漏洞而得分为F,但现在更新后得分为A+。

一线希望

根据协调漏洞披露的原则,研究人员直接向每个供应商发送电子邮件,敦促其解决安全问题。幸运的是,云安全厂商们的态度和响应速度非常积极。

截至报告发布,多家知名厂商已经通过修补或下架虚拟设备消除了401571个漏洞中的36259个。其中的一些关键更正或更新包括:

  • Dell EMC针对其CloudBoost虚拟版发布了重要的安全公告;
  • 思科发布了针对15个安全问题的修复程序,这些安全问题是在研究中扫描的其中一个虚拟设备中发现的;
  • IBM在一周内更新或删除了三个虚拟设备;
  • 赛门铁克下架了三项得分较低的产品;
  • Splunk、Oracle、IBM、卡巴斯基实验室和Cloudflare也下架了产品;
  • Zoho更新了一半的最脆弱产品;
  • Qualys更新了一个有26个月历史的虚拟设备,其中包括Qualys本身在2018年发现并报告的用户枚举漏洞。

【本文是IDC.NET专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/123096.html<

(0)
管理的头像管理
上一篇2025-02-22 15:48
下一篇 2025-02-22 15:49

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注