新报告称，云技术债务使数百万应用程序面临风险

一份新的报告揭示了关键的云风险，重点是云技术债务日益增长的威胁。

周二Qualys威胁研究部门(TRU)发布了这份文件，该文件取材于2023年4月进行的匿名全球云扫描。

根据新的数据，在研究期间，超过6000万个应用程序达到了支持终止和生命终止。关键类别，如数据库、网络服务器和安全软件，现在缺乏安全更新，这大大增加了潜在违规的风险。

云的错误配置也成为了一个重大问题，扩大了数据泄露和未经授权的访问。超过一半的互联网安全中心(CIS)基准测试在主要云提供商中失败。

AWS、微软Azure和谷歌云平台(GCP)的失败率分别为34%、57%和60%，其中加密、身份和访问管理以及面向互联网的资产是最严重的配置错误类别。

Keeper Security的产品主管赞恩·邦德(Zane Bond)评论道：“AWS、GCP和Azure不断升级和发展他们的安全建议。然而，这些组件并不总是被正确地实现或监控。管理员应该始终确保他们使用的是安全的保险库和机密管理解决方案，并立即执行必要的补丁和更新。”

该报告还强调了外部漏洞的普遍程度，约有4%的扫描云资产公开暴露给潜在的攻击者。

武器化漏洞是另一个重要的焦点，报告提到了Log4Shell构成的主要威胁。面向互联网的漏洞允许攻击者执行任意Java代码或泄露敏感信息，在面向互联网的云资产上检测到的Log4Shell漏洞中有68.44%仍未修补。

此外，该研究还将恶意软件和加密挖矿列为云资产的前两大威胁，它们会导致未经授权的访问和横向移动。

XM Cyber的MSSP解决方案架构师Craig Boyle解释说：“云的核心特征之一是自助服务。这就是快速大规模部署基础设施和资源的能力，而不受传统本地IT环境的限制。虽然这通常被认为是云计算的核心优势之一，但它确实伴随着重大的相关风险。”

该报告还强调了在修复过程中自动化的重要性，可以显著减少未解决的漏洞并加快修补。自动化将非windows补丁率提高了近8%，并将汇款时间缩短了两天。

Tigera首席营销官Utpal Bhatt表示:“在混合云和多云环境中管理安全需要在所有云供应商环境和内部部署中无缝工作的工具和技术。自动化是云安全的核心，因为在云中，计算资源数量众多且不断变化。”