“隐形”的企业安全盲区：虚拟设备安全

设备是虚拟的，但威胁却是真实的，而且已经兵临城下。

成都创新互联主要从事成都网站建设、成都网站设计、网页设计、企业做网站、公司建网站等业务。立足成都服务平果,十年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575

对于软件(包括网络安全)厂商而言，虚拟设备是一种廉价且高效的交付方式，很容易分发和部署在客户的公共和私有云环境中。

但是，根据Orca Security最新发布的《2020年虚拟设备安全报告》，随着各行业数字化转型加速向云迁移，虚拟设备安全防护已经脱节滞后。

该报告调查了企业虚拟设备安全性方面的主要问题，发现大量已知可利用并且可修复的漏洞正在快速传播。

为了帮助云安全行业提升防护并降低客户风险，报告对来自540个软件供应商的2,218个虚拟设备映像进行了分析，分析了已知漏洞和其他风险，以提供客观的评分和排名。

Orca Security首席执行官Avi Shua表示：客户认为虚拟设备没有安全风险，但是我们发现，漏洞泛滥和操作系统安全现状是令人不安的。

报告显示，企业在测试和管理虚拟设备漏洞方面还存在巨大差距，同时软件行业在保护其客户方面也还有很长的路要走。

已知漏洞泛滥

调查发现，大多数软件供应商都在分发含有已知漏洞，以及可利用和可修复的安全漏洞的虚拟设备。

研究发现，只有不到8%的虚拟设备(177)没有已知漏洞。在540个软件供应商的2,218个虚拟设备中，总共发现了401,571个漏洞。

报告揭示了17个关键漏洞，如果虚拟设备存在此类未修补漏洞，则被认为具有严重影响。其中一些老牌且易于利用的漏洞包括：

• EternalBlue
• DejaBlue
• BlueKeep
• DirtyCOW
• Heartbleed

如下图所示，超过一半的经过测试的虚拟设备低于平均等级，其中56%获得C或更低的等级评分，有15%的虚拟设备只获得了F级评分(未通过测试)。(F为15.1%、D为16.1%、C为25%)。

上述调查结果发布后，对相关软件供应商的287个安全更新进行了重新测试，发现这些虚拟设备的平均等级从B提高到了A。

过时的虚拟设备会增加风险

随着时间的流逝和缺乏更新，多个虚拟设备面临安全风险。研究发现，大多数供应商并未更新或终止其过时或报废(EOL)的产品。

研究发现，在过去三个月中，只有14%(312)个虚拟设备镜像文件获得更新。

同时，有47%(1,049)在去年没有更新;至少有5%(110)的问题被忽略了三年，而有11%(243)的版本或EOL操作系统已运行。

虽然，一些过时的虚拟设备已在初始测试后进行了更新。例如，Redis Labs的产品由于过时的操作系统和许多漏洞而得分为F，但现在更新后得分为A+。

一线希望

根据协调漏洞披露的原则，研究人员直接向每个供应商发送电子邮件，敦促其解决安全问题。幸运的是，云安全厂商们的态度和响应速度非常积极。

截至报告发布，多家老牌厂商已经通过修补或下架虚拟设备消除了401571个漏洞中的36259个。其中的一些关键更正或更新包括：

• Dell EMC针对其CloudBoost虚拟版发布了重要的安全公告;
• 思科发布了针对15个安全问题的修复程序，这些安全问题是在研究中扫描的其中一个虚拟设备中发现的;
• IBM在一周内更新或删除了三个虚拟设备;
• 赛门铁克下架了三项得分较低的产品;
• Splunk、Oracle、IBM、卡巴斯基实验室和Cloudflare也下架了产品;
• Zoho更新了一半的最脆弱产品;
• Qualys更新了一个有26个月历史的虚拟设备，其中包括Qualys本身在2018年发现并报告的用户枚举漏洞。

文章标题：“隐形”的企业安全盲区：虚拟设备安全
当前地址：http://www.gawzjz.com/qtweb/news13/209813.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联