En ny rapport fra Palo Alto Networks 'Unit 42 skisserte måtene forsyningskjeden har blitt en voksende trussel om skysikkerhet.
Enhet 42 gjennomførte en rød teamøvelse med en stor SaaS -leverandør som er en Palo Alto Networks -kunde, og innen tre dager var teamet i stand til å oppdage kritiske programvareutviklingsfeil som kunne ha utsatt organisasjonen for et angrep som ligner SolarWinds og Kaseya.
Enhet 42 fant at 63% av tredjepartskoden som ble brukt til å bygge skyinfrastruktur inneholdt usikre konfigurasjoner. Hvis en angriper kompromitterer tredjepartsutviklere, er det mulig å infiltrere tusenvis av organisasjoners skyinfrastruktur, ifølge rapporten.
Organisasjonen analyserte data fra en rekke offentlige datakilder rundt om i verden for å tegne konklusjoner om de voksende truslene organisasjoner står overfor i dag i sine programvareforsyningskjeder.
De fant at 96% av tredjeparts containerprogrammer som er distribuert i skyinfrastruktur inneholder kjente sårbarheter.
I rapporten oppdaget Unit 42 -forskere at selv for en kunde som hadde det de fleste ville anse som en “moden” skysikkerhetsstilling, var det flere kritiske feilkonfigurasjoner og sårbarheter som gjorde at Unit 42 -teamet kunne overta kundens nettskyinfrastruktur i en sak dager.
“I de fleste angrep i forsyningskjeden kompromitterer en angriper en leverandør og setter inn ondsinnet kode i programvare som brukes av kunder. Cloud-infrastruktur kan bli byttedyr for en lignende tilnærming der uoppdaget tredjepartskode kan innføre sikkerhetsfeil og gi angriperne tilgang til sensitive data i skymiljøet. I tillegg, med mindre organisasjoner bekrefter kilder, kan tredjepartskode komme fra hvem som helst, inkludert en avansert vedvarende trussel, “skrev enhet 42.
“Team fortsetter å neglisjere DevOps -sikkerhet, delvis på grunn av manglende oppmerksomhet på trusler fra forsyningskjeden. Cloud native -applikasjoner har en lang kjede av avhengigheter, og disse avhengighetene har sine egne avhengigheter. DevOps og sikkerhetsteam må få innsyn i regningen materialer i hver skybelastning for å evaluere risiko i alle ledd i avhengighetskjeden og etablere rekkverk. “
Enhet 42
BreachQuest CTO Jake Williams kalte forskningen “signifikant” og sa at den erstatter anekdoter fra hendelsesresponsører med faktiske data om hvor vanlig det er å finne konfigurasjonsproblemer og upatchede sårbarheter i den offentlige programvareforsyningskjeden.
“På BreachQuest er vi vant til å arbeide hendelser der kode og apper er bygget fra Docker Hub-bilder med forhåndsbygde sikkerhetsproblemer. Selv om disse vanligvis mangler oppdateringer, er det ikke uvanlig å finne feilkonfigurasjoner i disse bildene heller,” sa Williams.
“Dette er et problem som sikkerhetssamfunnet har håndtert siden den offentlige skyens begynnelse. Tidligere undersøkelser viste at de aller fleste offentlig tilgjengelige Amazon Machine Images inneholdt manglende oppdateringer og/eller konfigurasjonsproblemer.” < /p>
Andre eksperter, som Valtix CTO Vishal Jain, bemerket at i mer enn et år nå har forbruket på skyen langt overskredet forbruket på datasentre.
Jain la til at angrep vanligvis går der pengene er, så den store, åpne sikkerhetsfronten for bedrifter er nå skyen.
Han foreslo at organisasjoner fokuserer på sikkerhet på byggetid – skanning av IaC -maler som brukes i å bygge skyinfrastruktur – og sikkerhet ved kjøretid.
“Det er ikke enten/eller, det må være begge deler. Enda viktigere, med dynamisk infrastruktur og apputbredelse i den offentlige skyen, er det et nytt sett med sikkerhetsproblemer som må løses i skyen,” sa Jain.
Andre sa at kode var nesten umulig å sikre mot raskt bevegelige funksjonskrav og trusselmodeller. Mohit Tiwari, administrerende direktør i Symmetry Systems, sa til ZDNet at det er mer effektivt å herde infrastrukturen enn å jage feil på applikasjonsnivå i hundrevis av millioner linjer med kode.
Tiwari forklarte at førstepartskode er like sannsynlig som tredjepartskode for å ha feil som kan utnyttes-som autorisasjonsfeil-og disse feilene avslører kundedata som administreres av forretningslogikk.
“Å skylde på tredjepartskode er en rød-sild-programvare som Linux, Postgres, Django/Rails etc … omfatter de fleste applikasjoner, så nesten 100% av programmene har tredjepartskode med kjente sårbarheter, “Sa Tiwari.
“I praksis beveger organisasjoner seg i stedet for å få infrastruktur-sky-IAM, servicemasker osv.-i orden mens de er avhengige av kode-analyse for målrettede brukstilfeller (for eksempel den pålitelige kodebasen som gir sikkerhet for hoveddelen av applikasjonskoden ). “
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for bedrifter og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Cloud Security TV Datahåndtering CXO datasentre 