云安全中的最大风险仍然是错误配置和漏洞

近87%的容器映像被发现包含高度或严重漏洞，高于去年报告的75%。发现一些映像存在多个漏洞。Sysdig指出，组织意识到了这一风险，但快速地更新软件和解决漏洞之间依然存在着较大矛盾。

漏洞存在的原因是带宽和优先级问题。当87%的生产中运行的容器映像存在严重或高严重性漏洞时，DevOps或安全工程师可以登录并查看数百甚至数千个存在漏洞的映像， 可以有效解决漏洞。

Sysdig的威胁研究工程师Crystal Morin表示：“浏览映像列表并修复很耗费时间。对于大多数开发人员来说，为新应用程序编写代码与他们的绩效考核标准相关联，因此他们在修复漏洞上耗费的每一分钟都像是在开发不赚钱的产品。”

这些高危漏洞只有15%的存在于运行时加载的包中，将这些易受攻击的软件包过滤后，企业可以将精力集中在代表真正风险的可修复漏洞上。

以包的类型来测算在这些运行时加载的包中的漏洞，可以确定哪种语言、库或文件类型存在最大的漏洞风险。其中，Sysdig发现，在运行包中的320000多个漏洞中，61%是由Java包造成的。Java包占运行时加载的包的24%。

运行时加载的包中的漏洞会导致更高的泄露或攻击风险，而Java在运行时暴露的漏洞最多。虽然Java不是所有容器映像中最流行的类型，但它却是运行时最常用的类型。

Morin说：“出于这个原因，我们认为敌我双方都会关注Java包，以获得最大的回报。由于Java包的流行，bug猎人可能更专注于挖掘Java语言的漏洞。”。

虽然较新的或较不常见的包类型看起来更安全，但Morin表示，这可能是因为尚未发现漏洞，或者更糟的是，已经发现了漏洞，但尚未公开（0day）。

左移是在开发生命周期早期进行移动测试、质量和性能评估等实践。然而，即使采用完美的左移安全措施，生产中也可能出现威胁。

Sysdig建议，组织应该遵循左移右护的策略。右侧防护重点是保护和监视运行服务的机制

Morin表示：“防火墙和入侵防御系统（IPS）等安全工具在当下的安全环境中是不够的。它们会留下空白，因为它们通常无法深入了解容器化的工作负载和周围的云原生环境。”。

提升系统运行时的可见性可以帮助组织改进左移。一旦容器投入生产，将运行时发现的问题与底层代码关联起来的反馈循环可以帮助开发人员知道哪些点是需要重点关注的。静态安全测试也可以通过运行情报来通知，以确定在运行应用程序的容器中执行了哪些包。 

Morin补充道：“这使开发人员能够降低未使用软件包的漏洞优先级，转而专注于修复可利用的运行漏洞。每个网络安全计划的目标都应该是全生命周期安全。”。

尽管漏洞是一个令人担忧的问题，但错误配置仍然是云安全事件中最大的安全问题，这也是组织中最担忧的原因之一。根据Gartner的数据预测，到2023年，75%的安全风险将由身份、访问和权限管理不足导致，而这一比例在2020年仅为50%。

来自Sysdig的数据显示，在90天的窗口期内进行分析时，授予非管理员用户的权限只有10%被利用。

Sysdig的逐年分析显示，各组织要么正在授予更多的员工访问权限，要么正在建设其身份和访问管理（IAM）。一家网络安全公司指出，真实用户数量的增长可能是将更多业务转移到云环境或因业务增长而增加人员配置的副产品。

今年，Sysdig客户云环境中58%的身份被发现是非真实角色，低于去年的88%。

非真实角色通常是临时使用的，如果它们不再被使用或未被删除，它们就可能会为恶意行为者提供了方便的访问点。Morin表示：“角色类型转变的原因可能是，组织的云使用范围和幅度正在增长，随着云的采用，更多的员工被授予云访问权限，从而改变了真实与非真实角色的平衡。”。

授予的非真实身份权限中，有98%以上在90天没有使用。Sysdig指出：“通常，这些未使用的权限往往会被授予单独的身份，例如过期的测试帐户或第三方帐户。”。

安全团队应该以管理真实身份的方式，将最低权限原则应用于非真实身份。他们还应尽可能删除未使用的测试帐户，以防止访问风险的发生。Sysdig指出，虽然手动确定这一点很繁琐，但可以使用权限筛选器或自动生成的建议使这一过程更高效。

非真实和真实的最低特权原则应该是一样的。组织需要授予真实员工完成工作所需的最低访问权限，这同样适用于非真实员工。例如需要访问才能完成工作的应用程序、云服务或商业工具。这些应用程序的操作方式类似于手机上请求访问联系人、照片、相机、麦克风等权限的应用程序。

“因此，我们还必须考虑增加对这些非真实身份的访问管理。授予过多的权限、不定期管理授予的权限会为恶意行为者提供提供了额外的初始访问、横向移动和权限升级的选项，”Morin说。