供应商忽略虚拟设备安全,将用户处于危险之中
DDOS在新西兰证券交易所第三天
谷歌致力于可持续性和擦除其碳足迹
AWS签署了三年英国政府云交易,帮助中小企业赢得更多的公共部门业务
github使代码漏洞扫描功能公开
危险的开发实践离开公司访问键暴露
爱立信部署了3DEXISIEN,将产品设计提升为ELISA墨水5G核心技术协议
CCS推出750万英镑的泛政府云计算服务框架
政府资金数字制造项目
500万英国家庭支付804米的费用,而不是宽带
在数据泄露的中心再次泄漏AWS S3桶
贷款费用:税务合规慈善机构要求刑事欺诈调查调查计划启动子
HMRC向上签署富士通两年的用户计算支持
Cisos努力跟上斜切竞技场和CK框架
SSE通过下一代连通性加强苏格兰的数字基础设施
2023年,DataceRe可持续发展倾向于成为Colo社区的竞争性差异化因素
绿色货物扩展了里米尼合约,以保持遗产SAP后端运行
O2需要5G到德国最大的城市
BT为英国客户带来RCS业务消息
RémyCointreau在Google Cloud上将SAP迁移到S / 4 HANA
软件AG捕获双敲击勒索软件
银行可以通过技术解决洗钱拼图吗?
Utility供应商人员的能源有全民客户列表被盗
Forrester:CIO必须为BREXIT数据传输做准备
斯托斯波特委员会推出数字培训倡议
沃达丰团队与IOT.NXT将企业IOT带到新级别
爱立信展望云增加了ran灵活性
ViaSAT检查Delta以提高空中连接
诺基亚与A1奥地利合作,使LTE,5G校园网络启用
连接的车辆关联可以致电无线频谱来开发用例
维克利亚的创始人Julian Assange有阿斯伯格综合征和抑郁症,法院听到
商业领袖必须使用现在的经验教训来获得未来准备
MEPS拒绝访问观察者到朱利安宣传引渡听证会
沙特阿拉伯当局与中国IT巨头合作的数字目标
爱立信获取摇篮加速企业5G
政府仍然在轨道上发展英国卫星
法律委员会为在线滥用的受害者提出了更大的保护
LAX And​​roid应用程序开发人员将数百万用户处于危险之中
明年IT战略的三种选择
如果他们帮助赎金软件受害者支付,则安全优势面临制裁
CityFibre奖£1.5亿英镑,以27个城镇和城市资助全纤维建筑
GSMA推出数字访问指南,以帮助残疾人
HMRC Shuns Gov.uk通知并寻求供应商统一通知
英国监管机构缺乏应对越来越多的算法的技能和专业知识
Comms Giants流到亚马逊的边缘,以提高5G企业,工业应用
CMA阐述了规范技术巨头的计划
社交媒体数据泄漏突出了Myky数据刮的世界
全球数据中心集线器分析揭示了65%的全球拼赠收入来自25个城市
沃达丰,爱立信试用连接无人机的自动飞行路径
在2020年的北欧故事中的十大企业
您的位置:首页 >行业动态 >

供应商忽略虚拟设备安全,将用户处于危险之中

2021-09-16 14:43:53 [来源]:

根据ORCA安全性的新研究,所有形状和大小的组织都留下了虚拟家电漏洞的供应商失败的风险,这揭示了虚拟家电安全的主要差距。

在4月20日和5月2020年的研究中,ORCA安全概率从540个软件供应商探测了2,218个虚拟设备图像,并揭示了401,751个漏洞,不到8%的虚拟设备,无众所周知的漏洞,不到5%漏洞和在过时或不支持的操作系统(OS)上运行。

如果恶意演员跌跌撞撞,共有17个漏洞都是至关重要的,并且可能会产生严重的影响。其中许多人都是众所周知的,很容易利用漏洞,包括Eternalblue,Dejablue,蓝色,脏污,嗡嗡声。

“客户假设虚拟电器免于安全风险,但我们发现猖獗的漏洞和未欣赏的操作系统的令人不安的组合,”Orca安全的首席执行官和联合创始人Avi Shua表示。

“ORCA安全2020虚拟设备状态安全报告显示组织必须警惕测试和关闭任何漏洞间隙,并且软件行业仍有很长的路要防保护其客户。”

Orca的研究人员表示,除了漏洞中,许多虚拟设备都受到庞大的年龄和缺乏更新的风险,许多供应商未能达到生命结束后未能更新或停止虚拟设备。

它说,只有14%的扫描虚拟家电图像已经在前三个月内更新,过去一年尚未更新47%,5%被忽视至少三年,11%的运行已达到的OSS生命尽头。

最具安全意识的软件供应商,在ORCA的矩阵上实现了“示范”分数,是VMware,NVIDIA,Hashicorp,BeyiteTrust,Pulse Secure,Trend Micro,Barracuda网络和VerseC。一些最高的故障包括来自CA Technologies,Firemon,A10网络,CloudFlare,Micro Focus和Software AG的产品。

ORCA表示,由于风险的警报供应商,总共更新了287个产品,并且完全从流通中删除了53个产品,其中已在报告的漏洞中达到37,000以下。

由于ORCA在其研究期间进行的披露,戴尔EMC为CloudBoost虚拟版发出了一个关键的安全咨询,思科推动了15个问题,IBM更新或删除了一周内的三个虚拟设备,Zoho更新了其产品的近一半, Qualys终于更新了一个包含它在2018年发现自己的漏洞的产品。

此外,CloudFlare,IBM,Kaspersky Labs,Oracle,Splunk和Symantec都删除了许多易受攻击的产品,以及一个供应商,Hailbytes,花时间在被联系后录制个性化的谢谢视频。

然而,ORCA还透露,在32起案件中,供应商表示,它取决于客户补丁虚拟设备,其中24个声称他们的虚拟家电漏洞并不是利用,他们不需要采取任何行动。其中一些甚至威胁着法律诉讼 - 这些它没有名称 - 因此,相当数量的产品仍然脆弱。

ORCA表示,对于报告调查结果相关的企业安全团队,即使供应商不适当支持虚拟家电安全,他们也可以采取措施。

首先,它说,适当的资产管理可以提供安全团队对部署在其遗产的虚拟设备的理解,这意味着这必须包括在公共云实例中持有的内部部署资产和那些。尤其是在大流行期间,它也很重要 - 特别是在大流行期间 - 因为它非常容易,如果技术,最终用户可以访问和部署自己的虚拟设备。

其次,漏洞管理工具应用于发现虚拟设备并扫描它们以获取已知漏洞。Orca表示,重要的是这些工具扫描了所有设备,因为您不能假设他们可以安全地用完盒子。

第三,漏洞管理过程需要适应最严重的漏洞优先考虑 - 无论是通过修复它们还是在必要时停止使用产品。

最后,ORCA推荐用户与供应商合作伙伴打开,接近他们的沟通线,并了解他们的支持流程以及它们如何解决泄漏披露的漏洞,如果供应商不衡量,则不会害怕寻求替代方案。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。