Runtime scans vinden in 91 procent van de gevallen een policy failure. Organisaties pikken daarmee potentiële kwetsbaarheden later dan gedacht op, blijkt uit een nieuw Sysdig-rapport.
Het Sysdig-rapport gaat in op de stand van zaken van cloud-native security. Daaruit blijkt dat cloud-omgevingen veelal vatbaar zijn voor cyber-aanvallen. Hoewel 70 procent van containers slechts 5 minuten bestaan, wijst Sysdig erop dat een cloud-aanval doorgaans 10 minuten nodig heeft. Als er in die 5 minuten tijd al een laterale beweging is gemaakt, is het verwijderen van de container niet meer genoeg.
Shift-left adoptie valt tegen
Een aanzienlijk aantal best practices wordt niet nageleefd. Zo zijn 98 procent van alle permissions ongebruikt, waardoor ze door een kwaadwillende kunnen worden gebruikt om toegang te verkrijgen tot gevoelige data. Slechts 20 procent prioriteert CIEM (Cloud infrastructure entitlement management), waardoor het voor de meerderheid zeer lastig is om het overzicht te bewaren over wie toegang hoort te hebben tot welke data en applicaties.
Ook zijn veel organisaties er simpelweg niet heel snel bij om potentiële gevaren op te sporen in hun applicaties. Shift-left testing houdt in dat IT-teams zo vroeg mogelijk in het ontwikkelproces problemen opsporen. Deze best practice wordt niet nageleefd, blijkt uit het onderzoek van Sysdig. Daar waar runtime scans 91 procent een policy failure, geldt dat bij CI/CD build pipelines slechts voor 71 procent. Volgens Sysdig zou het precies andersom moeten zijn: in dat geval worden problemen vroeger opgespoord.
Wel suggereert men dat deze discrepantie andere verklaringen kan hebben. Zo is het mogelijk dat extra dependencies niet in de CI/CD-scans worden meegenomen. Ook wordt gesteld dat runtime checks wellicht accurater zijn, met minder valse positieven die tot ruis leiden. Ten slotte worden packages niet continu gecheckt, zoals geldt voor middleware waarvan aangenomen wordt dat ze veilig zijn.
Van kritieke kwetsbaarheden naar exploiteerbare
De onderzoekers concluderen dat kwetsbaarheden doorgaans steeds effectiever worden verwijderd. Kritieke en hoog scorende kwetsbaarheden in gebruik zijn het afgelopen jaar gehalveerd ten opzichte van 2022. Wel haalt Sysdig hetzelfde punt aan dat we eerder aankaartten: niet kritieke, maar exploiteerbare kwetsbaarheden dienen geprioriteerd te worden.
Dergelijke kwetsbaarheden kunnen bijvoorbeeld met de software van PingSafe, recent overgenomen door SentinelOne, worden opgespoord. Daarmee worden security-teams een richting opgeduwd waarin men zich meer richt op wat aanvallers daadwerkelijk exploiteren in plaats van welke kwetsbaarheden vooral in theorie riskant zijn.
Ook Sysdig ziet dat cloud-security in rap tempo voorbij alleen detectie evolueert. Bijna 90 procent van het eigen klantenbestand maakt wekelijks gebruik van de bestaande threat detection & response-functionaliteit.
Lees ook: SentinelOne neemt PingSafe over en zet grote stap in cloud security
17 uur geleden
