Cerca de 87% das imagens de contêineres incluem uma vulnerabilidade alta ou crítica, enquanto 90% das permissões concedidas não são usadas, de acordo com a Sysdig. Segundo a empresa de segurança cibernética, os dois maiores riscos de segurança na nuvem continuam sendo configurações incorretas e vulnerabilidades, que estão sendo introduzidas em maior número por meio de cadeias de suprimentos de software.
Embora o modelo de confiança zero seja prioridade máxima, os dados mostraram que os direitos de acesso com privilégios mínimos, uma base da arquitetura de confiança zero, não são devidamente aplicados. Quase 90% das permissões concedidas não são usadas, o que deixa muitas oportunidades para invasores que roubam credenciais, observa o relatório.
Os dados foram compilados de uma análise de mais de 7 milhões de contêineres que os clientes da Sysdig estão executando diariamente. O relatório também considerou dados extraídos de fontes de dados públicas, como GitHub, Docker Hub e CNCF. Dados de clientes na América do Norte e do Sul, Austrália, UE, Reino Unido e Japão foram analisados para elaboração do relatório.
Quase 87% das imagens de contêineres incluíam uma vulnerabilidade alta ou crítica, acima dos 75% relatados no ano passado. Algumas imagens foram encontradas com mais de uma vulnerabilidade. As organizações estão cientes do perigo, mas lutam com a tensão de lidar com as vulnerabilidades enquanto mantêm o ritmo acelerado dos lançamentos de software, observa a Sysdig.
A razão pela qual as vulnerabilidades persistem apesar de terem sido corrigidas é devido a problemas de largura de banda e priorização. Quando 87% das imagens de contêiner em execução na produção têm uma vulnerabilidade crítica ou de alta gravidade, um DevOps ou engenheiro de segurança pode fazer login e ver centenas, senão milhares de imagens com vulnerabilidades.
“Leva tempo para percorrer a lista e consertar as coisas. Para a maioria dos desenvolvedores, escrever código para novos aplicativos é o que eles avaliam, portanto, cada minuto gasto na aplicação de correções é tempo que não está desenvolvendo novos aplicativos que possam ser vendidos”, disse Crystal Morin, engenheira de pesquisa de ameaças da Sysdig.
Apenas 15% das vulnerabilidades críticas e altas com uma correção disponível estão em pacotes carregados em tempo de execução. Ao filtrar os pacotes vulneráveis que estão realmente em uso, as empresas podem concentrar seus esforços em uma fração menor das vulnerabilidades corrigíveis que representam verdadeiro risco.
Pacotes Java são os mais arriscados
Ao medir a porcentagem de vulnerabilidades em pacotes carregados em tempo de execução por tipo de pacote para avaliar qual idioma, bibliotecas ou tipos de arquivo apresentavam o maior risco de vulnerabilidade, a Sysdig descobriu que os pacotes Java eram responsáveis por 61% das mais de 320 mil vulnerabilidades em pacotes em execução . Os pacotes Java compõem 24 por cento dos pacotes carregados em tempo de execução.
Mais vulnerabilidades em pacotes expostos em tempo de execução resultam em maior risco de comprometimento ou ataque. Java tem o maior número de vulnerabilidades expostas em tempo de execução. Embora Java não seja o tipo de pacote mais popular em todas as imagens de contêiner, é o mais comum em tempo de execução.
“Por esse motivo, acreditamos que tanto os mocinhos quanto os bandidos se concentram nos pacotes Java para obter o melhor retorno possível. Devido à sua popularidade, os caçadores de bugs provavelmente se dedicam mais às vulnerabilidades da linguagem Java”, disse Crystal.
Embora os tipos de pacotes mais novos ou menos comuns possam parecer mais seguros, ela disse que isso pode ocorrer porque as vulnerabilidades não foram descobertas ou, pior ainda, elas foram encontradas, mas não foram divulgadas.
Má configuração é o maior risco de segurança na nuvem
Embora as vulnerabilidades sejam uma preocupação, as configurações incorretas ainda são o maior fator nos incidentes de segurança na nuvem e, portanto, devem ser uma das maiores causas de preocupação nas organizações. Até 2023, 75% das falhas de segurança resultarão do gerenciamento inadequado de identidades, acesso e privilégios, contra 50% em 2020, de acordo com o Gartner.
Dados do Sysdig mostraram que apenas 10% das permissões concedidas a usuários não administradores foram utilizadas quando analisadas em uma janela de 90 dias. A análise ano a ano da empresa revelou que as organizações estão concedendo acesso a mais funcionários ou amadurecendo suas práticas de gerenciamento de identidade e acesso (IAM).
O crescimento da população de usuários pode ser um subproduto de mover mais negócios para ambientes de nuvem ou aumentar a equipe devido ao crescimento dos negócios, observou a empresa de segurança cibernética. Este ano, 58% das identidades no ambiente de nuvem dos clientes Sysdig foram consideradas funções não humanas, abaixo dos 88% do ano passado. As funções não humanas geralmente são usadas temporariamente e, se não forem mais usadas e não forem removidas, elas fornecem pontos de acesso fáceis para atores mal-intencionados.
“A razão para a mudança nos tipos de funções pode ser que o uso da nuvem pelas organizações está crescendo e, com a adoção, mais funcionários estão recebendo acesso à nuvem, mudando, portanto, o equilíbrio das funções humanas e não humanas”, disse Crystal.
Veja isso
Má configuração causou maioria de incidentes de nuvem em 2021
Configuração e políticas evitariam violações de nuvem
Mais de 98% das permissões concedidas a identidades não humanas não foram usadas por pelo menos 90 dias. “Muitas vezes, essas permissões não utilizadas são concedidas a identidades órfãs, como contas de teste expiradas ou contas de terceiros”, observou Sysdig. Por isso, ela recomenda que as equipes de segurança devem aplicar princípios de privilégio mínimo a identidades não humanas da mesma forma que gerenciam identidades humanas. “Eles também devem remover contas de teste não utilizadas sempre que possível para evitar riscos de acesso. Embora isso possa ser tedioso para determinar manualmente, os filtros de permissão em uso e as recomendações geradas automaticamente podem tornar esse processo mais eficiente”, observou a empresa.
O princípio do menor privilégio é o mesmo para os não-humanos e para os humanos. As organizações precisam conceder o acesso mínimo de que um ser humano precisa para fazer o trabalho. O mesmo se aplica a não humanos, como aplicativos, serviços em nuvem ou ferramentas comerciais que precisam de acesso para realizar seu trabalho. Eles funcionam de maneira semelhante a aplicativos de telefone celular que solicitam permissões para acessar contatos, fotos, câmera, microfone e muito mais.