Un nuovo rapporto dell'Unità 42 di Palo Alto Networks ha delineato i modi in cui la catena di approvvigionamento è diventata una minaccia emergente per la sicurezza del cloud.
L'Unità 42 ha condotto un'esercitazione del team rosso con un grande fornitore SaaS che è un cliente di Palo Alto Networks e in tre giorni il team è stato in grado di scoprire difetti critici nello sviluppo del software che avrebbero potuto esporre l'organizzazione a un attacco simile a SolarWinds e Kaseya.
L'Unità 42 ha rilevato che il 63% del codice di terze parti utilizzato nella creazione dell'infrastruttura cloud conteneva configurazioni non sicure. Se un utente malintenzionato compromette sviluppatori di terze parti, è possibile infiltrarsi nelle infrastrutture cloud di migliaia di organizzazioni, secondo il rapporto.
L'organizzazione ha analizzato i dati da una varietà di fonti di dati pubbliche in tutto il mondo per trarre conclusioni sulle crescenti minacce che le organizzazioni devono affrontare oggi nelle loro catene di fornitura del software.
Hanno scoperto che il 96% delle applicazioni container di terze parti distribuite nell'infrastruttura cloud contiene vulnerabilità note.
Nel rapporto, i ricercatori dell'Unità 42 hanno scoperto che anche per un cliente che aveva quello che la maggior parte considererebbe un atteggiamento di sicurezza cloud “maturo”, c'erano diverse configurazioni errate e vulnerabilità critiche che consentivano al team dell'Unità 42 di rilevare l'infrastruttura cloud del cliente in una questione di giorni.
“Nella maggior parte degli attacchi alla catena di approvvigionamento, un utente malintenzionato compromette un fornitore e inserisce codice dannoso nel software utilizzato dai clienti. L'infrastruttura cloud può essere preda di un approccio simile in cui il codice di terze parti non controllato potrebbe introdurre falle di sicurezza e fornire agli aggressori l'accesso a dati sensibili in l'ambiente cloud. Inoltre, a meno che le organizzazioni non verifichino le fonti, il codice di terze parti può provenire da chiunque, inclusa una minaccia persistente avanzata”, ha scritto Unit 42.
“I team continuano a trascurare la sicurezza DevOps, in parte a causa della mancanza di attenzione alle minacce della catena di approvvigionamento. Le applicazioni native del cloud hanno una lunga catena di dipendenze e tali dipendenze hanno dipendenze proprie. DevOps e i team di sicurezza devono ottenere visibilità sul conto di materiali in ogni carico di lavoro cloud per valutare il rischio in ogni fase della catena delle dipendenze e stabilire barriere.”
Unità 42
Il CTO di BreachQuest, Jake Williams, ha definito la ricerca “significativa” e ha affermato che sostituisce gli aneddoti dei soccorritori con dati reali su quanto sia comune trovare problemi di configurazione e vulnerabilità senza patch nella catena di fornitura del software pubblico.
“In BreachQuest, siamo abituati a lavorare in incidenti in cui il codice e le app sono creati da immagini Docker Hub con problemi di sicurezza predefiniti. Anche se di solito mancano patch, non è raro trovare errori di configurazione della sicurezza in queste immagini”, ha affermato Williams.
“Questo è un problema che la comunità della sicurezza ha affrontato sin dagli albori del cloud pubblico. Ricerche precedenti hanno rilevato che la stragrande maggioranza delle Amazon Machine Image disponibili pubblicamente conteneva patch mancanti e/o problemi di configurazione.”< /p>
Altri esperti, come il CTO di Valtix Vishal Jain, hanno notato che da più di un anno la spesa per il cloud ha ampiamente superato quella per i data center.
Jain ha aggiunto che gli attacchi in genere vanno dove sono i soldi, quindi il grande fronte di sicurezza aperto per le aziende è ora il cloud.
Ha suggerito alle organizzazioni di concentrarsi sulla sicurezza in fase di compilazione, ovvero sulla scansione dei modelli IaC utilizzati nella creazione dell'infrastruttura cloud, e sulla sicurezza in fase di esecuzione.
“Non è né l'uno né l'altro, devono essere entrambi. Ancora più importante, con l'infrastruttura dinamica e l'espansione delle app nel cloud pubblico, c'è una nuova serie di problemi di sicurezza che devono essere affrontati nel cloud”, ha affermato Jain.
Altri hanno affermato che il codice era quasi impossibile da proteggere contro requisiti funzionali e modelli di minaccia in rapida evoluzione. Mohit Tiwari, CEO di Symmetry Systems, ha dichiarato a ZDNet che è più efficiente rafforzare l'infrastruttura piuttosto che inseguire bug a livello di applicazione in centinaia di milioni di righe di codice.
Tiwari ha spiegato che il codice proprietario ha la stessa probabilità che il codice di terze parti contenga bug sfruttabili, come errori di autorizzazione, e questi bug espongono i dati dei clienti gestiti dalla logica aziendale.
“Incolpare il codice di terze parti è un'aringa rossa: software come Linux, Postgres, Django/Rails ecc… comprendono la maggior parte delle applicazioni, quindi quasi il 100% delle applicazioni ha codice di terze parti con vulnerabilità note, ” ha detto Tiwari.
“Le organizzazioni in pratica si stanno invece muovendo per ottenere un'infrastruttura – cloud IAM, mesh di servizi, ecc. ).”
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 