SkyBox over de kwetsbaarheid van IaaS en het risico containers

      Reacties uitgeschakeld voor SkyBox over de kwetsbaarheid van IaaS en het risico containers

Het Amerikaanse SkyBox Security heeft voor het weekend een rapport gepubliceerd waarin IaaS centraal staat. De publicatie geeft antwoord op de vraag wat de trends zijn als we het hebben over security en kwetsbaarheden in de context van IaaS.

Eigen bevindingen

Veel rapporten die hier ter sprake komen hebben de input van klanten of deelnemers aan enquêtes als grondslag. Dit rapport is anders. Hier is sprake van de bevindingen van het de eigen onderzoeksafdeling van SkyBox, het Research Lab. De bevindingen baseren zich op wat daar tot en met eind september van dit jaar is gemeten en geconstateerd. Helaas is niet duidelijk of hierbij een mondiale focus is aangehouden, of dat men zich alleen heeft beperkt tot trends en meldingen op de Amerikaanse markt. Omdat er wordt verwezen naar “National Vulnerability Database (NVD) reports” van NIST lijkt het dat laatste het geval te zijn

Inkoppertjes

De key findings zijn – zoals te verwachten viel – vooral inkoppertjes. De grootste risico dat van IaaS uitgaat heeft te maken met verkeerde configuraties en het onvoldoende testen. De link tussen de twee is duidelijk en bijna dagelijks zijn er meldingen die aangeven dat het hier opvallend vaak fout gaat.

Met de groei van de vraag en het gebruik van IaaS neemt ook de kans op missers toe. Dat is eveneens een schot voor open doel. Dat voor containers het zelfde opgaat zal niet verbazen. Wel opvallend is dat de twee niet gelijk opgaan. SkyBox meet voor 2019 een groei van 50% bij het aantal IaaS incidenten. De teller bij containers staat op +82%.

Waarschuwing en uitleg

Die laatste score noopt SkyBox containers te voorzien van het label “key area of concern”. Dat is netjes verwoord om niet iedereen op de kast te krijgen, maar de boodschap is duidelijk: containers moeten beschouwd worden als een risico.

De uitleg die in het rapport staat is niet te technisch. Het voordeel daarvan is dat menig eindklant of C-level persoon kan begrijpen wat de risico’s zijn en waarop bij de leveranciers kan worden nagevraagd.

Afwezigheid

Of de adviseurs en leveranciers echt blij zullen zijn met een deel van de vragen is echter de vraag. SkyBox wijst namelijk redelijk nadrukkelijk op een partij die op basis van de NVD meldingen het nodige heeft uit te leggen. IBM wordt genoemd als bron van 49% van dit soort meldingen. Als verklaring daarvoor wordt gegeven dat IBM zelf veel meldingen doorgeeft. Met andere woorden: veel aandacht voor transparantie en communicatie bij Big Blue.

Als dat inderdaad het geval is dan moet de vraag zijn: en de rest dan? In de tabel van SkyBox gaat het dus niet zo zeer om wie er staat als wel welke IaaS spelers schitteren door afwezigheid in de NVD database.