Container-Images weisen oft hochriskante Schwachstellen auf

Der Sysdigs 2023 Cloud-Native Security and Usage Report zeigt anhand von Praxisdaten, wie globale Unternehmen aller Größen und Branchen Cloud- und Container-Umgebungen nutzen und sichern. Die Datensätze umfassen Milliarden von Containern, Tausende von Cloud-Konten und Hunderttausende von Anwendungen, die Sysdig-Kunden im vergangenen Jahr betrieben haben.

Die wichtigsten Ergebnisse

87 Prozent der Container-Images weisen erhebliche oder kritische Sicherheitslücken auf: Aufgrund des modernen Designs und der gemeinsamen Verwendung von Open-Source-Images stehen Sicherheitsteams vor einer großen Anzahl von Container-Sicherheitslücken. Es stellt sich heraus, dass diese Teams nicht alles beheben können und Schwierigkeiten haben, die richtigen Parameter zu finden, um die Lücken zu priorisieren und ihre Arbeitslast zu reduzieren.

Der Bericht gibt Sicherheitsteams aber auch Hoffnung: Nur 15 Prozent der kritischen und schwerwiegenden Schwachstellen, für die eine Lösung verfügbar ist, befinden sich tatsächlich in Paketen, die, während der Runtime geladen werden. Durch das Filtern der tatsächlich genutzten Schwachstellenpakete können Organisationsteams ihre Bemühungen auf den kleinen Teil der behebbaren Schwachstellen konzentrieren, die ein echtes Risiko darstellen. Wenn die Anzahl der zu behandelnden Schwachstellen von insgesamt 85 Prozent auf 15 Prozent reduziert wird, die eine echte Bedrohung darstellen, ergibt sich für die Cybersicherheitsteams eine deutlich besser handhabbare Aufgabe.

90 Prozent der erteilten Berechtigungen werden nicht genutzt: Die Grundsätze der Zero Trust-Architektur betonen, dass Unternehmen es vermeiden sollten, übermäßig freizügige Zugriffsrechte zu gewähren. Die Daten aus dem Bericht zeigen, dass 90 Prozent aller Berechtigungen ungenutzt sind. Wenn Angreifer Anmeldedaten von Identitäten mit privilegiertem Zugriff oder übermäßigen Berechtigungen kompromittieren, erhalten sie umfangreiche Einblicke in eine Cloud-Umgebung.

Für 59 Prozent der Container sind keine CPU-Limits definiert. 69 Prozent der angeforderten CPU-Ressourcen bleiben zudem ungenutzt: Ohne Informationen zur Auslastung von Kubernetes-Umgebungen wissen Entwickler nicht, wo ihre Cloud-Ressourcen über- oder unterbelegt sind. Unternehmen aller Größenordnungen könnten daher 40 Prozent zu viel ausgeben. Bei großen Bereitstellungen könnte die Optimierung einer Umgebung im Schnitt 10 Millionen US-Dollar an Cloud-Kosten einsparen.

72 Prozent der Container leben weniger als fünf Minuten: Das Sammeln von Informationen zur Fehlerbehebung, nachdem ein Container verschwunden ist, ist fast unmöglich. Dazu kommt, dass die Lebensdauer eines Containers sich dieses Jahr um 28 Prozent verkürzt hat. Dieser Rückgang deutet darauf hin, dass die Unternehmen die Container-Orchestrierung immer besser nutzen und unterstreicht den Bedarf an Sicherheitsmaßnahmen, die mit der flüchtigen Natur der Cloud Schritt halten können.

„Ein Rückblick auf den letztjährigen Bericht zeigt, dass die Einführung von Containern weiter erfolgt, was durch den Rückgang der Lebensspanne von Containern deutlich wird. Allerdings werden Cloud-Umgebungen weiterhin von Fehlkonfigurationen und Schwachstellen heimgesucht. Lieferketten verstärken dabei die Manifestation von Sicherheitsproblemen. Die Verwaltung von Berechtigungen, sowohl für Benutzer als auch für Dienste, ist ein weiterer Bereich, in dem ich gerne eine strengere Vorgehensweise sehen würde“, erklärt Michael Isbitski, Director of Cybersecurity Strategy bei Sysdig. „Der diesjährige Bericht zeigt ein großes Wachstum und skizziert außerdem Best Practices, von denen ich hoffe, dass die Teams sie bis zum Bericht 2024 übernehmen. Dazu gehört beispielsweise die Betrachtung der tatsächlichen Gefährdung, um das eigentliche Risiko zu verstehen, und die Priorisierung der Behebung von Schwachstellen, die wirklich Auswirkungen haben.“

Den vollständigen Report (in englischer Sprache) gibt es hier.