《電子技術(shù)應用》
您所在的位置:首頁 > 模擬設(shè)計 > 業(yè)界動態(tài) > Palo Alto Networks(派拓網(wǎng)絡(luò))發(fā)布針對軟件供應鏈攻擊的新版云威脅研究報告

Palo Alto Networks(派拓網(wǎng)絡(luò))發(fā)布針對軟件供應鏈攻擊的新版云威脅研究報告

2021-10-19
來源:Palo Alto Networks
關(guān)鍵詞: APT DevOps SolarWinds

  《2021 年下半年云威脅報告》揭示不安全的軟件供應鏈危害云基礎(chǔ)設(shè)施

  SolarWinds和Kaseya等備受矚目的軟件供應鏈攻擊事件表明企業(yè)高估了其云基礎(chǔ)設(shè)施的安全性,,這些供應鏈中的威脅可能對業(yè)務(wù)產(chǎn)生災難性影響。在Palo Alto Networks(派拓網(wǎng)絡(luò))安全咨詢部門Unit 42發(fā)布的最新《2021年下半年云威脅報告》中,,研究人員深入研究了云端供應鏈攻擊的范圍,,并闡釋了其不為人知的細節(jié),同時提出企業(yè)可實時采用的可行建議,,以著手保護云端軟件供應鏈,。

  Unit 42團隊分析了來自世界各地各種公開數(shù)據(jù)源的數(shù)據(jù),得出企業(yè)在當今軟件供應鏈中面臨日益嚴峻威脅的結(jié)論,。調(diào)查結(jié)果顯示,,許多企業(yè)可能對云安全有錯誤的認知,實際上對面臨的威脅毫無準備,。

  除了分析數(shù)據(jù)外,,Unit 42的研究人員還受一家大型SaaS供應商(派拓網(wǎng)絡(luò)的客戶之一)委托,對其軟件開發(fā)環(huán)境進行紅隊演練,。僅僅三天時間,, Unit 42研究人員就發(fā)現(xiàn)了軟件開發(fā)過程中的重大漏洞,足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊,。

  主要發(fā)現(xiàn)

  不安全的供應鏈危害云基礎(chǔ)設(shè)施

  進行紅隊演練的大型SaaS供應商擁有許多人誤以為成熟的云安全態(tài)勢,。然而,在演練期間,,Unit 42研究人員能夠利用企業(yè)軟件開發(fā)環(huán)境中的錯誤配置,,例如硬編碼IAM密鑰對,,控制整個開發(fā)流程,從而成功發(fā)動供應鏈攻擊,。

  此外,,Unit 42研究人員對客戶開發(fā)環(huán)境進行的安全掃描中,發(fā)現(xiàn)有21%的錯誤配置或漏洞,,這凸顯出流程差距和重大安全漏洞使企業(yè)暴露于風險中,,并容易受到業(yè)務(wù)中斷攻擊。

  第三方代碼不可輕信

  Unit 42研究人員發(fā)現(xiàn),,63%用于構(gòu)建云基礎(chǔ)設(shè)施的第三方代碼模板包含不安全的配置,,96%部署在云基礎(chǔ)設(shè)施中的第三方容器型應用包含已知漏洞。此等風險讓攻擊者可以輕松訪問云端敏感數(shù)據(jù),,甚至控制企業(yè)的軟件開發(fā)環(huán)境,。

  Unit 42團隊的調(diào)查結(jié)果明確顯示,未經(jīng)審核的代碼會迅速演變成安全漏洞,,尤其是基礎(chǔ)設(shè)施漏洞會直接影響成千上萬的云端工作負載,。因此,企業(yè)必須了解其代碼來源,,因為第三方代碼可以來自任何人,包括高級持續(xù)性威脅(APT),。

  

1634627052864646.png

  圖1. 為了舉例證明錯誤配置普遍存在,,Unit 42研究人員按錯誤配置的數(shù)量(左)和錯誤配置的類型及其百分比(右)分析了公開Terraform模塊

  來源:Unit 42《2021年下半年云威脅報告》

  結(jié)論:企業(yè)需要將安全方案加入到軟件開發(fā)的早期階段,即實現(xiàn)安全左移

  團隊持續(xù)忽視 DevOps的安全性,,部分原因在于缺乏對供應鏈威脅的關(guān)注,。云原生應用附有一連串的依賴關(guān)系,DevOps和安全團隊需要了解每個云端工作負載的物料清單(BOM),,以便評估依賴關(guān)系鏈每個階段的風險并建立足夠的防護,。

  如欲詳細了解常見供應鏈問題如何破壞云安全,請瀏覽Unit 42《2021年下半年云威脅報告》,。




圖片.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。