Eine große Zahl Prozent der Container-Images weist hochriskante Schwachstellen auf. Das ist ein großes Risiko für die Lieferkette (English version below).
Sysdig zeigt in der Studie Sysdig 2023 Cloud-Native Security and Usage Report, dass Supply Chain-Risiken und die Bereitschaft zur Implementierung einer Zero Trust-Architektur die größten ungelösten Sicherheitsprobleme in Cloud- und Container-Umgebungen darstellen. Cloud-Ausgaben werden in zweistelliger Millionenhöhe durch übermäßig zugewiesene Kapazitäten verschwendet.
Highlights des Berichts
87 Prozent der Container-Images weisen große oder kritische Schwachstellen auf: Aufgrund der Natur des modernen Designs und der gemeinsamen Nutzung von Open-Source-Images sind Sicherheitsteams mit einer großen Anzahl von Container-Schwachstellen konfrontiert. Die Realität sieht so aus, dass die Teams nicht alles beheben können. Sie kämpfen damit, die richtigen Parameter zu finden, um Schwachstellen zu priorisieren und ihre Arbeitslast zu reduzieren.
Der Bericht gibt Sicherheitsteams Hoffnung: Nur 15 Prozent der kritischen und schwerwiegenden Schwachstellen, für die eine Lösung verfügbar ist, befinden sich tatsächlich in Paketen, die, während der Runtime geladen werden. Durch das Filtern der tatsächlich genutzten Schwachstellenpakete können Organisationsteams ihre Bemühungen auf den kleinen Teil der behebbaren Schwachstellen konzentrieren, die ein echtes Risiko darstellen. Wenn die Anzahl der zu behandelnden Schwachstellen von insgesamt 85 Prozent auf 15 Prozent reduziert wird, die eine echte Bedrohung darstellen, ergibt sich für die Cybersicherheitsteams eine deutlich besser handhabbare Aufgabe.
90 Prozent der erteilten Berechtigungen werden nicht genutzt: Die Grundsätze der Zero Trust-Architektur betonen, dass Unternehmen es vermeiden sollten, übermäßig freizügige Zugriffsrechte zu gewähren. Die Daten aus dem Bericht zeigen, dass 90 Prozent aller Berechtigungen ungenutzt sind. Wenn Angreifer Anmeldedaten von Identitäten mit privilegiertem Zugriff oder übermäßigen Berechtigungen kompromittieren, erhalten sie umfangreiche Einblicke in eine Cloud-Umgebung.
Für 59 Prozent der Container sind keine CPU-Limits definiert. 69 Prozent der angeforderten CPU-Ressourcen bleiben zudem ungenutzt: Ohne Informationen zur Auslastung von Kubernetes-Umgebungen wissen Entwickler nicht, wo ihre Cloud-Ressourcen über- oder unterbelegt sind. Unternehmen aller Größenordnungen könnten daher 40 Prozent zu viel ausgeben. Bei großen Bereitstellungen könnte die Optimierung einer Umgebung im Schnitt 10 Millionen US-Dollar an Cloud-Kosten einsparen.
72 Prozent der Container leben weniger als fünf Minuten: Das Sammeln von Informationen zur Fehlerbehebung, nachdem ein Container verschwunden ist, ist fast unmöglich. Dazu kommt, dass die Lebensdauer eines Containers sich dieses Jahr um 28 Prozent verkürzt hat. Dieser Rückgang deutet darauf hin, dass die Unternehmen die Container-Orchestrierung immer besser nutzen und unterstreicht den Bedarf an Sicherheitsmaßnahmen, die mit der flüchtigen Natur der Cloud Schritt halten können.
„Ein Rückblick auf den letztjährigen Bericht zeigt, dass die Einführung von Containern weiter erfolgt, was durch den Rückgang der Lebensspanne von Containern deutlich wird. Allerdings werden Cloud-Umgebungen weiterhin von Fehlkonfigurationen und Schwachstellen heimgesucht. Lieferketten verstärken dabei die Manifestation von Sicherheitsproblemen. Die Verwaltung von Berechtigungen, sowohl für Benutzer als auch für Dienste, ist ein weiterer Bereich, in dem ich gerne eine strengere Vorgehensweise sehen würde“, erklärt Michael Isbitski, Director of Cybersecurity Strategy bei Sysdig. „Der diesjährige Bericht zeigt ein großes Wachstum und skizziert außerdem Best Practices, von denen ich hoffe, dass die Teams sie bis zum Bericht 2024 übernehmen. Dazu gehört beispielsweise die Betrachtung der tatsächlichen Gefährdung, um das eigentliche Risiko zu verstehen, und die Priorisierung der Behebung von Schwachstellen, die wirklich Auswirkungen haben.“
English version
Vulnerabilities in containers
A large percentage of container images have high-risk vulnerabilities. This is a major risk to the supply chain.
Sysdig 2023 Cloud-Native Security and Usage Report shows that supply chain risks and zero trust architecture implementation readiness are the biggest unresolved security issues in cloud and container environments. Cloud spend is wasted in the tens of millions of dollars due to over-allocated capacity.
Highlights of the report
87 percent of container images have major or critical vulnerabilities: Due to the nature of modern design and open source image sharing, security teams face a large number of container vulnerabilities. The reality is that teams can’t fix everything. They struggle to find the right parameters to prioritize vulnerabilities and reduce their workloads.
The report gives security teams hope: only 15 percent of critical and severe vulnerabilities for which a solution is available are actually in packages that, during runtime, are loaded. By filtering the vulnerability packages that are actually in use, organizational teams can focus their efforts on the small portion of remediable vulnerabilities that pose a real risk. Reducing the total number of vulnerabilities that need to be addressed from 85 percent to 15 percent that pose a real threat results in a much more manageable task for cybersecurity teams.
90 percent of granted privileges are not used: Zero Trust architecture principles emphasize that organizations should avoid granting overly permissive access rights. Data from the report shows that 90 percent of all permissions are unused. When attackers compromise credentials from identities with privileged access or excessive permissions, they gain extensive visibility into a cloud environment.
No CPU limits are defined for 59 percent of containers. 69 percent of requested CPU resources also go unused: Without information on the utilization of Kubernetes environments, developers do not know where their cloud resources are over- or under-utilized. Enterprises of all sizes could therefore be overspending by 40 percent. For large deployments, optimizing an environment could save an average of $10 million in cloud costs.
72 percent of containers live less than five minutes: Gathering troubleshooting information after a container is gone is nearly impossible. On top of that, the lifespan of a container has shortened by 28 percent this year. This drop indicates that enterprises are getting better at container orchestration and underscores the need for security measures that can keep up with the volatile nature of the cloud.
„A review of last year’s report shows that container adoption continues to occur, as evidenced by the decrease in container lifespan. However, cloud environments continue to be plagued by misconfigurations and vulnerabilities. Supply chains amplify the manifestation of security issues in this regard. Permissions management, both for users and services, is another area where I would like to see a more rigorous approach,“ said Michael Isbitski, director of cybersecurity strategy at Sysdig. „This year’s report shows a lot of growth and also outlines best practices that I hope teams will adopt by the 2024 report. These include, for example, looking at actual exposure to understand the real risk, and prioritizing remediation of vulnerabilities that have real impact.“
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de