En ny rapport fra Palo Alto Networks 'Unit 42 skitserede måderne, hvorpå forsyningskæden er blevet en ny cloud -trussel.
Enhed 42 gennemførte en rød teamøvelse med en stor SaaS -udbyder, der er kunde i Palo Alto Networks, og inden for tre dage kunne teamet opdage kritiske softwareudviklingsfejl, der kunne have udsat organisationen for et angreb, der ligner SolarWinds og Kaseya.
Enhed 42 fandt ud af, at 63% af tredjepartskode, der blev brugt til at bygge cloud-infrastruktur, indeholdt usikre konfigurationer. Hvis en angriber kompromitterer tredjepartsudviklere, er det muligt at infiltrere tusinder af organisationers cloud-infrastrukturer ifølge rapporten.
Organisationen analyserede data fra en række offentlige datakilder rundt om i verden for at tegne konklusioner om de voksende trusler, organisationer står over for i dag i deres softwareforsyningskæder.
De fandt ud af, at 96% af tredjeparts containerprogrammer, der er implementeret i cloud-infrastruktur, indeholder kendte sårbarheder.
I rapporten opdagede Unit 42 -forskere, at selv for en kunde, der havde, hvad de fleste ville betragte som en “moden” cloud -sikkerhedsstilling, var der flere kritiske fejlkonfigurationer og sårbarheder, der gjorde det muligt for Unit 42 -teamet at overtage kundens cloud -infrastruktur i et spørgsmål dage.
“I de fleste forsyningskædeangreb kompromitterer en angriber en sælger og indsætter ondsindet kode i software, der bruges af kunder. Cloud-infrastruktur kan falde i bytte for en lignende tilgang, hvor ukendt tredjepartskode kan indføre sikkerhedsfejl og give angribere adgang til følsomme data i cloudmiljøet. Medmindre organisationer verificerer kilder, kan tredjepartskode komme fra alle, herunder en avanceret vedvarende trussel, “skrev enhed 42.
“Hold forsømmer fortsat DevOps -sikkerhed, blandt andet på grund af manglende opmærksomhed på trusler i forsyningskæden. Cloud native -applikationer har en lang kæde af afhængigheder, og disse afhængigheder har deres egne afhængigheder. DevOps og sikkerhedsteam skal få synlighed i regningen materialer i hver cloud-arbejdsbyrde for at evaluere risiko på alle trin i afhængighedskæden og etablere beskyttelsesværn. “
Enhed 42
BreachQuest CTO Jake Williams kaldte forskningen “betydelig” og sagde, at den erstatter anekdoter fra hændelsessvarere med faktiske data om, hvor almindeligt det er at finde konfigurationsproblemer og upatchede sårbarheder i den offentlige softwareforsyningskæde.
“Hos BreachQuest er vi vant til at arbejde med hændelser, hvor kode og apps er bygget fra Docker Hub-billeder med forudindbyggede sikkerhedsproblemer. Selvom disse normalt mangler patches, er det heller ikke ualmindeligt at finde fejlkonfigurationer i disse billeder,” sagde Williams.
“Dette er et problem, som sikkerhedssamfundet har håndteret siden den offentlige skyens begyndelse. Tidligere undersøgelser viste, at langt de fleste offentligt tilgængelige Amazon Machine Images indeholdt manglende patches og/eller konfigurationsproblemer.” < /p>
Andre eksperter, som Valtix CTO Vishal Jain, bemærkede, at forbrug på skyen i mere end et år nu oversteg udgifterne til datacentre betydeligt.
Jain tilføjede, at angreb typisk går, hvor pengene er, så den store, åbne sikkerhedsfront for virksomheder er nu skyen.
Han foreslog, at organisationer fokuserer på sikkerhed på byggetid – scanning af IaC -skabeloner, der bruges til opbygning af skyinfrastruktur – og sikkerhed i løbetid.
“Det er ikke enten/eller, det skal være begge dele. Endnu vigtigere er det med dynamisk infrastruktur og appspredning i den offentlige sky, at der er et nyt sæt sikkerhedsproblemer, der skal løses i skyen,” sagde Jain.
Andre sagde, at kode var næsten umulig at sikre mod hurtige funktionelle krav og trusselsmodeller. Mohit Tiwari, CEO hos Symmetry Systems, fortalte ZDNet, at det er mere effektivt at hærde infrastrukturen end at jage fejl på applikationsniveau i hundredvis af millioner af kodelinjer.
Tiwari forklarede, at førstepartskode lige så sandsynligt som tredjepartskode har fejl, der kan udnyttes-f.eks. Autorisationsfejl-og disse fejl afslører kundedata, der administreres af forretningslogik.
“At bebrejde tredjepartskode er en rød sild-software som Linux, Postgres, Django/Rails osv … omfatter de fleste applikationer, så næsten 100% af applikationerne har tredjepartskode med kendte sårbarheder, “Sagde Tiwari.
“Organisationer i praksis bevæger sig i stedet for at få infrastruktur-cloud-IAM, servicemasker osv.-i orden, mens de er afhængige af kode-analyse til målrettede brugssager (f.eks. Den pålidelige kodebase, der giver sikkerhed for størstedelen af applikationskoden ). “
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Cloud Security TV Data Management CXO Data Centers 