SolarWinds和Kaseya等備受矚目的軟件供應(yīng)鏈攻擊事件表明企業(yè)高估了其云基礎(chǔ)設(shè)施的安全性,這些供應(yīng)鏈中的威脅可能對業(yè)務(wù)產(chǎn)生災(zāi)難性影響���。在Palo Alto Networks(派拓網(wǎng)絡(luò))安全咨詢部門Unit 42發(fā)布的最新《2021年下半年云威脅報告》中����,研究人員深入研究了云端供應(yīng)鏈攻擊的范圍,并闡釋了其不為人知的細節(jié)�����,同時提出企業(yè)可實時采用的可行建議���,以著手保護云端軟件供應(yīng)鏈。
Unit 42團隊分析了來自世界各地各種公開數(shù)據(jù)源的數(shù)據(jù)���,得出企業(yè)在當(dāng)今軟件供應(yīng)鏈中面臨日益嚴峻威脅的結(jié)論���。調(diào)查結(jié)果顯示,許多企業(yè)可能對云安全有錯誤的認知���,實際上對面臨的威脅毫無準(zhǔn)備�����。
除了分析數(shù)據(jù)外�����,Unit 42的研究人員還受一家大型SaaS供應(yīng)商(派拓網(wǎng)絡(luò)的客戶之一)委托����,對其軟件開發(fā)環(huán)境進行紅隊演練。僅僅三天時間���, Unit 42研究人員就發(fā)現(xiàn)了軟件開發(fā)過程中的重大漏洞�����,足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊��。
主要發(fā)現(xiàn)
01�����、不安全的供應(yīng)鏈危害云基礎(chǔ)設(shè)施
進行紅隊演練的大型SaaS供應(yīng)商擁有許多人誤以為成熟的云安全態(tài)勢����。然而��,在演練期間����,Unit 42研究人員能夠利用企業(yè)軟件開發(fā)環(huán)境中的錯誤配置,例如硬編碼IAM密鑰對�����,控制整個開發(fā)流程,從而成功發(fā)動供應(yīng)鏈攻擊���。
此外�����,Unit 42研究人員對客戶開發(fā)環(huán)境進行的安全掃描中�����,發(fā)現(xiàn)有21%的錯誤配置或漏洞,這凸顯出流程差距和重大安全漏洞使企業(yè)暴露于風(fēng)險中���,并容易受到業(yè)務(wù)中斷攻擊��。
02���、第三方代碼不可輕信
Unit 42研究人員發(fā)現(xiàn),63%用于構(gòu)建云基礎(chǔ)設(shè)施的第三方代碼模板包含不安全的配置���,96%部署在云基礎(chǔ)設(shè)施中的第三方容器型應(yīng)用包含已知漏洞��。此等風(fēng)險讓攻擊者可以輕松訪問云端敏感數(shù)據(jù)��,甚至控制企業(yè)的軟件開發(fā)環(huán)境�����。
Unit 42團隊的調(diào)查結(jié)果明確顯示��,未經(jīng)審核的代碼會迅速演變成安全漏洞����,尤其是基礎(chǔ)設(shè)施漏洞會直接影響成千上萬的云端工作負載。因此���,企業(yè)必須了解其代碼來源���,因為第三方代碼可以來自任何人,包括高級持續(xù)性威脅(APT)��。
為了舉例證明錯誤配置普遍存在���,Unit 42研究人員按錯誤配置的數(shù)量(左)和錯誤配置的類型及其百分比(右)分析了公開Terraform模塊(來源:Unit 42《2021年下半年云威脅報告》)
結(jié)論
企業(yè)需要將安全方案加入到軟件開發(fā)的早期階段���,即實現(xiàn)安全左移��。
團隊持續(xù)忽視 DevOps的安全性���,部分原因在于缺乏對供應(yīng)鏈威脅的關(guān)注。云原生應(yīng)用附有一連串的依賴關(guān)系����,DevOps和安全團隊需要了解每個云端工作負載的物料清單(BOM),以便評估依賴關(guān)系鏈每個階段的風(fēng)險并建立足夠的防護�����。
