En ny rapport från Palo Alto Networks enhet 42 beskrev hur leveranskedjan har blivit ett växande molnsäkerhetshot.
Enhet 42 genomförde ett rött team med en stor SaaS -leverantör som är en Palo Alto Networks -kund och inom tre dagar kunde teamet upptäcka kritiska programvaruutvecklingsbrister som kunde ha utsatt organisationen för en attack liknande SolarWinds och Kaseya.
Enhet 42 fann att 63% av tredjepartskoden som används för att bygga molninfrastruktur innehöll osäkra konfigurationer. Om en angripare äventyrar tredjepartsutvecklare är det möjligt att infiltrera tusentals organisations molninfrastrukturer, enligt rapporten.
Organisationen analyserade data från en mängd offentliga datakällor runt om i världen för att dra slutsatser om de växande hot som organisationer står inför idag i sina programvarukedjor.
De fann att 96% av tredjepartscontainerprogram som distribueras i molninfrastruktur innehåller kända sårbarheter.
I rapporten upptäckte Unit 42 -forskare att även för en kund som hade det som mest skulle betrakta som en “mogen” molnsäkerhetsställning, fanns det flera kritiska felkonfigurationer och sårbarheter som gjorde det möjligt för Unit 42 -teamet att ta över kundens molninfrastruktur i en fråga dagar.
“I de flesta attacker i försörjningskedjan äventyrar en angripare en leverantör och infogar skadlig kod i programvara som används av kunder. Molninfrastruktur kan bli ett offer för en liknande metod där okontrollerad tredjepartskod kan införa säkerhetsbrister och ge angripare tillgång till känslig data i molnmiljön. Dessutom, om inte organisationer verifierar källor, kan tredjepartskod komma från vem som helst, inklusive ett avancerat ihållande hot ”, skrev enhet 42.
“Team fortsätter att försumma DevOps säkerhet, delvis på grund av bristande uppmärksamhet på hot i leveranskedjan. Molnprogram har en lång kedja av beroenden, och dessa beroenden har sina egna beroende. DevOps och säkerhetsteam måste få insyn i räkningen material i varje molnarbetsbelastning för att utvärdera risk i varje steg i beroendekedjan och etablera skyddsräcken. “
Enhet 42
BreachQuest CTO Jake Williams kallade forskningen “betydande” och sa att den ersätter anekdoter från incidentresponsörer med faktiska uppgifter om hur vanligt det är att hitta konfigurationsproblem och ouppdaterade sårbarheter i den offentliga programvaruförsörjningskedjan.
“På BreachQuest är vi vana vid att arbeta med incidenter där kod och appar är byggda från Docker Hub-bilder med förbyggda säkerhetsproblem. Även om dessa oftast saknar patchar är det inte ovanligt att man hittar säkerhetsfelkonfigurationer i dessa bilder heller”, säger Williams.
“Det här är ett problem som säkerhetsgemenskapen har hanterat sedan det offentliga molnets gryning. Tidigare forskning visade att de allra flesta offentligt tillgängliga Amazon Machine Images innehöll saknade patchar och/eller konfigurationsproblem.” < /p>
Andra experter, som Valtix CTO Vishal Jain, noterade att i mer än ett år nu har utgifterna på molnet överskridit utgifterna för datacenter mycket.
Jain tillade att attacker vanligtvis går där pengarna är, så den stora, öppna säkerhetsfronten för företag är nu molnet.
Han föreslog att organisationer fokuserar på säkerhet vid byggtid – skanning av IaC -mallar som används för att bygga molninfrastruktur – och säkerhet vid körning.
“Det är inte antingen/eller, det måste vara båda. Ännu viktigare, med dynamisk infrastruktur och apputbredning i det offentliga molnet finns det en ny uppsättning säkerhetsproblem som måste åtgärdas i molnet”, säger Jain.
Andra sa att koden var nästan omöjlig att säkra mot snabba funktionskrav och hotmodeller. Mohit Tiwari, VD på Symmetry Systems, berättade för ZDNet att det är mer effektivt att härda infrastrukturen än att jaga buggar på applikationsnivå i hundratals miljoner koderader.
Tiwari förklarade att första parts kod är lika sannolikt som tredjepartskod att ha exploaterbara buggar-som auktoriseringsfel-och dessa buggar avslöjar kunddata som hanteras av affärslogik.
“Skylla på tredjepartskod är en röd sill-programvara som Linux, Postgres, Django/Rails etc … omfattar de flesta applikationer, så nästan 100% av applikationerna har tredjepartskod med kända sårbarheter, “Sa Tiwari.
“Organisationer i praktiken flyttar istället för att skaffa infrastruktur-moln-IAM, servicemaskiner osv …-i ordning samtidigt som de förlitar sig på kodanalys för riktade användningsfall (t.ex. den betrodda kodbasen som ger säkerhet för huvuddelen av programkoden ). “
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Cloud Security TV Datahantering CXO -datacenter 