Een nieuw rapport van Palo Alto Networks' Unit 42 schetste de manieren waarop de toeleveringsketen een opkomende bedreiging voor de cloudbeveiliging is geworden.
Unit 42 voerde een rode teamoefening uit met een grote SaaS-provider die een klant van Palo Alto Networks is en binnen drie dagen kon het team kritieke softwareontwikkelingsfouten ontdekken die de organisatie hadden kunnen blootstellen aan een aanval vergelijkbaar met SolarWinds en Kaseya.
Unit 42 ontdekte dat 63% van de code van derden die werd gebruikt bij het bouwen van cloudinfrastructuur onveilige configuraties bevatte. Als een aanvaller externe ontwikkelaars compromitteert, is het volgens het rapport mogelijk om de cloudinfrastructuren van duizenden organisaties te infiltreren.
De organisatie analyseerde gegevens uit verschillende openbare gegevensbronnen over de hele wereld om te tekenen conclusies over de groeiende bedreigingen waarmee organisaties tegenwoordig worden geconfronteerd in hun softwaretoeleveringsketens.
Ze ontdekten dat 96% van de containerapplicaties van derden die in cloudinfrastructuur zijn geïmplementeerd bekende kwetsbaarheden bevatten.
In het rapport ontdekten Unit 42-onderzoekers dat zelfs voor een klant die een 'volwassen' cloudbeveiligingshouding had, er verschillende kritieke misconfiguraties en kwetsbaarheden waren waardoor het Unit 42-team de cloudinfrastructuur van de klant in een kwestie kon overnemen. dagen.
“Bij de meeste aanvallen op de toeleveringsketen compromitteert een aanvaller een leverancier en voegt kwaadaardige code toe aan software die door klanten wordt gebruikt. de cloudomgeving. Bovendien, tenzij organisaties bronnen verifiëren, kan code van derden van iedereen komen, inclusief een Advanced Persistent Threat”, schreef Unit 42.
“Teams blijven DevOps-beveiliging verwaarlozen, deels vanwege gebrek aan aandacht voor supply chain-bedreigingen. Cloud-native applicaties hebben een lange keten van afhankelijkheden en die afhankelijkheden hebben hun eigen afhankelijkheden. DevOps- en beveiligingsteams moeten inzicht krijgen in de rekening van materialen in elke cloudworkload om risico's in elke fase van de afhankelijkheidsketen te evalueren en vangrails te creëren.”
Unit 42
BreachQuest CTO Jake Williams noemde het onderzoek “belangrijk” en zei dat het anekdotes van incidentresponders vervangt door actuele gegevens over hoe vaak het is om configuratieproblemen en niet-gepatchte kwetsbaarheden in de openbare softwaretoeleveringsketen te vinden.
“Bij BreachQuest zijn we gewend aan het werken met incidenten waarbij code en apps worden gebouwd op basis van Docker Hub-images met vooraf gebouwde beveiligingsproblemen. Hoewel deze meestal patches missen, is het ook niet ongewoon om misconfiguraties van de beveiliging in deze images te vinden,” zei Williams.
“Dit is een probleem waarmee de beveiligingsgemeenschap sinds het begin van de openbare cloud te maken heeft gehad. Uit eerder onderzoek bleek dat de overgrote meerderheid van de openbaar beschikbare Amazon Machine-afbeeldingen ontbrekende patches en/of configuratieproblemen bevatte.”< /p>
Andere experts, zoals Valtix CTO Vishal Jain, merkten op dat de uitgaven aan de cloud al meer dan een jaar veel hoger zijn dan de uitgaven aan datacenters.
Jain voegde toe dat aanvallen meestal gaan waar het geld is, dus het grote, open beveiligingsfront voor ondernemingen is nu de cloud.
Hij suggereerde dat organisaties zich concentreren op beveiliging tijdens het bouwen — scannen van IaC-sjablonen die worden gebruikt bij het bouwen van cloudinfrastructuur — en beveiliging tijdens runtime.
“Het is niet of/of, het moet beide zijn. Wat nog belangrijker is, met dynamische infrastructuur en app-uitbreiding in de openbare cloud, is er een nieuwe reeks beveiligingsproblemen die in de cloud moeten worden aangepakt”, zei Jain.
Anderen zeiden dat code bijna onmogelijk te beveiligen was tegen snel veranderende functionele vereisten en bedreigingsmodellen. Mohit Tiwari, CEO van Symmetry Systems, vertelde ZDNet dat het efficiënter is om de infrastructuur te versterken dan bugs op applicatieniveau in honderden miljoenen regels code te achtervolgen.
Tiwari legde uit dat first-party code net zo waarschijnlijk bugs bevat als code van derden, zoals autorisatiefouten, en dat deze bugs klantgegevens blootleggen die worden beheerd door bedrijfslogica.
“Het beschuldigen van code van derden is een rode haring — software zoals Linux, Postgres, Django/Rails enz … omvat de meeste applicaties, dus bijna 100% van de applicaties heeft code van derden met bekende kwetsbaarheden, ' zei Tiwari.
“Organisaties in de praktijk zijn in plaats daarvan in beweging om de infrastructuur – cloud IAM, service meshes, enz … – op orde te krijgen, terwijl ze vertrouwen op code-analyse voor gerichte gebruiksgevallen (zoals de vertrouwde codebasis die beveiliging biedt voor het grootste deel van de applicatiecode ).”
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Cloudbeveiliging TV-gegevensbeheer CXO-datacenters 