行业新闻与博客

一份新报告揭示了关键的云风险，重点关注云技术债务日益增长的威胁。 

该文件由 Qualys 威胁研究单位 (TRU) 今天早些时候发布，取自 2023 年 4 月进行的匿名全球云扫描。

根据新数据，在研究期间，超过 6000 万个应用程序达到了支持终止和生命周期结束。数据库、网络服务器和安全软件等关键类别现在缺乏安全更新，这大大增加了潜在漏洞的风险。

云配置错误也成为一个重大问题，加剧了数据泄露和未经授权的访问。主要云提供商中超过一半的互联网安全中心 ( CIS ) 基准测试均失败。 

AWS、Microsoft Azure 和 Google Cloud Platform (GCP) 的故障率分别为 34%、57% 和 60%，其中加密、身份和访问管理以及面向互联网的资产是最严重的错误配置类别。

“AWS、GCP 和 Azure 不断升级和发展其安全建议。然而，这些组件并不总是得到正确实施或监控，” Keeper Security 产品主管 Zane Bond 评论道。

“管理员应始终确保他们使用安全的保管库和机密管理解决方案，并立即执行必要的补丁和更新。”

该报告还强调了面向外部的漏洞的惊人普遍性，大约 4% 的扫描云资产公开暴露给潜在攻击者。

武器化漏洞是另一个重要关注点，报告指出了 Log4Shell 构成的主要威胁。面向互联网的漏洞允许攻击者执行任意 Java 代码或泄露敏感信息，并且在面向互联网的云资产上检测到的 Log4Shell 漏洞中有 68.44% 仍未修补。

阅读有关此缺陷的更多信息：Over a Year of Log4j Lingering

此外，该研究还将恶意软件和加密货币挖矿确定为云资产的两大威胁，导致未经授权的访问和横向移动。

“云的核心特征之一是自助服务。这就是快速、大规模部署基础设施和资源的能力，而不受传统本地 IT 环境的限制。” XM Cyber 的 MSSP 解决方案架构师 Craig Boyle 解释道。

“虽然这通常被认为是云计算的核心优势之一，但它确实带来了重大的相关风险。”

该报告还强调了修复过程中自动化的重要性，可以显着减少未解决的漏洞并加快修补速度。自动化将非 Windows 修补率提高了近 8%，并将汇款时间缩短了两天。

Tigera 首席营销官 Utpal Bhatt 表示：“管理混合云和多云环境中的安全性需要能够在所有云供应商环境和本地部署中无缝运行的工具和技术。”

“自动化是云安全的核心，因为在云中，计算资源数量众多且不断变化。”

有关该报告的更多信息，请参阅 Qualys 今天发布的这篇博文。