信息化觀察網(wǎng)

設(shè)備是虛擬的，但威脅卻是真實的，而且已經(jīng)兵臨城下。

對于軟件（包括網(wǎng)絡(luò)安全）廠商而言，虛擬設(shè)備是一種廉價且高效的交付方式，很容易分發(fā)和部署在客戶的公共和私有云環(huán)境中。

但是，根據(jù)Orca Security最新發(fā)布的《2020年虛擬設(shè)備安全報告》，隨著各行業(yè)數(shù)字化轉(zhuǎn)型加速向云遷移，虛擬設(shè)備安全防護已經(jīng)脫節(jié)滯后。

該報告調(diào)查了企業(yè)虛擬設(shè)備安全性方面的主要問題，發(fā)現(xiàn)大量已知可利用并且可修復(fù)的漏洞正在快速傳播。

為了幫助云安全行業(yè)提升防護并降低客戶風(fēng)險，報告對來自540個軟件供應(yīng)商的2,218個虛擬設(shè)備映像進行了分析，分析了已知漏洞和其他風(fēng)險，以提供客觀的評分和排名。

Orca Security首席執(zhí)行官Avi Shua表示：客戶認為虛擬設(shè)備沒有安全風(fēng)險，但是我們發(fā)現(xiàn)，漏洞泛濫和操作系統(tǒng)安全現(xiàn)狀是令人不安的。

報告顯示，企業(yè)在測試和管理虛擬設(shè)備漏洞方面還存在巨大差距，同時軟件行業(yè)在保護其客戶方面也還有很長的路要走。

已知漏洞泛濫

調(diào)查發(fā)現(xiàn)，大多數(shù)軟件供應(yīng)商都在分發(fā)含有已知漏洞，以及可利用和可修復(fù)的安全漏洞的虛擬設(shè)備。

研究發(fā)現(xiàn)，只有不到8％的虛擬設(shè)備（177）沒有已知漏洞。在540個軟件供應(yīng)商的2,218個虛擬設(shè)備中，總共發(fā)現(xiàn)了401,571個漏洞。

報告揭示了17個關(guān)鍵漏洞，如果虛擬設(shè)備存在此類未修補漏洞，則被認為具有嚴重影響。其中一些知名且易于利用的漏洞包括：

●EternalBlue

●DejaBlue

●BlueKeep

●DirtyCOW

●Heartbleed

如下圖所示，超過一半的經(jīng)過測試的虛擬設(shè)備低于平均等級，其中56％獲得C或更低的等級評分，有15％的虛擬設(shè)備只獲得了F級評分（未通過測試）。（F為15.1％、D為16.1％、C為25％）。