Eigen bevindingen
Veel rapporten die hier ter sprake komen hebben de input van klanten of deelnemers aan enquêtes als grondslag. Dit rapport is anders. Hier is sprake van de bevindingen van het de eigen onderzoeksafdeling van SkyBox, het Research Lab. De bevindingen baseren zich op wat daar tot en met eind september van dit jaar is gemeten en geconstateerd. Helaas is niet duidelijk of hierbij een mondiale focus is aangehouden, of dat men zich alleen heeft beperkt tot trends en meldingen op de Amerikaanse markt. Omdat er wordt verwezen naar “National Vulnerability Database (NVD) reports” van NIST lijkt het dat laatste het geval te zijn
Inkoppertjes
De key findings zijn – zoals te verwachten viel – vooral inkoppertjes. De grootste risico dat van IaaS uitgaat heeft te maken met verkeerde configuraties en het onvoldoende testen. De link tussen de twee is duidelijk en bijna dagelijks zijn er meldingen die aangeven dat het hier opvallend vaak fout gaat.
Met de groei van de vraag en het gebruik van IaaS neemt ook de kans op missers toe. Dat is eveneens een schot voor open doel. Dat voor containers het zelfde opgaat zal niet verbazen. Wel opvallend is dat de twee niet gelijk opgaan. SkyBox meet voor 2019 een groei van 50% bij het aantal IaaS incidenten. De teller bij containers staat op +82%.
Waarschuwing en uitleg
Die laatste score noopt SkyBox containers te voorzien van het label “key area of concern”. Dat is netjes verwoord om niet iedereen op de kast te krijgen, maar de boodschap is duidelijk: containers moeten beschouwd worden als een risico.
De uitleg die in het rapport staat is niet te technisch. Het voordeel daarvan is dat menig eindklant of C-level persoon kan begrijpen wat de risico’s zijn en waarop bij de leveranciers kan worden nagevraagd.
Afwezigheid
Als dat inderdaad het geval is dan moet de vraag zijn: en de rest dan? In de tabel van SkyBox gaat het dus niet zo zeer om wie er staat als wel welke IaaS spelers schitteren door afwezigheid in de NVD database.
