Palo Alto Networks(派拓網(wǎng)絡(luò))發(fā)布針對(duì)軟件供應(yīng)鏈攻擊的新版云威脅研究報(bào)告
2021年10月19日,北京——SolarWinds和Kaseya等備受矚目的軟件供應(yīng)鏈攻擊事件表明企業(yè)高估了其云基礎(chǔ)設(shè)施的安全性,這些供應(yīng)鏈中的威脅可能對(duì)業(yè)務(wù)產(chǎn)生災(zāi)難性影響。在Palo Alto Networks(派拓網(wǎng)絡(luò))安全咨詢部門Unit 42發(fā)布的最新《2021年下半年云威脅報(bào)告》中,研究人員深入研究了云端供應(yīng)鏈攻擊的范圍,并闡釋了其不為人知的細(xì)節(jié),同時(shí)提出企業(yè)可實(shí)時(shí)采用的可行建議,以著手保護(hù)云端軟件供應(yīng)鏈。
Unit 42團(tuán)隊(duì)分析了來(lái)自世界各地各種公開(kāi)數(shù)據(jù)源的數(shù)據(jù),得出企業(yè)在當(dāng)今軟件供應(yīng)鏈中面臨日益嚴(yán)峻威脅的結(jié)論。調(diào)查結(jié)果顯示,許多企業(yè)可能對(duì)云安全有錯(cuò)誤的認(rèn)知,實(shí)際上對(duì)面臨的威脅毫無(wú)準(zhǔn)備。
除了分析數(shù)據(jù)外,Unit 42的研究人員還受一家大型SaaS供應(yīng)商(派拓網(wǎng)絡(luò)的客戶之一)委托,對(duì)其軟件開(kāi)發(fā)環(huán)境進(jìn)行紅隊(duì)演練。僅僅三天時(shí)間, Unit 42研究人員就發(fā)現(xiàn)了軟件開(kāi)發(fā)過(guò)程中的重大漏洞,足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。
主要發(fā)現(xiàn)
不安全的供應(yīng)鏈危害云基礎(chǔ)設(shè)施
進(jìn)行紅隊(duì)演練的大型SaaS供應(yīng)商擁有許多人誤以為成熟的云安全態(tài)勢(shì)。然而,在演練期間,Unit 42研究人員能夠利用企業(yè)軟件開(kāi)發(fā)環(huán)境中的錯(cuò)誤配置,例如硬編碼IAM密鑰對(duì),控制整個(gè)開(kāi)發(fā)流程,從而成功發(fā)動(dòng)供應(yīng)鏈攻擊。
此外,Unit 42研究人員對(duì)客戶開(kāi)發(fā)環(huán)境進(jìn)行的安全掃描中,發(fā)現(xiàn)有21%的錯(cuò)誤配置或漏洞,這凸顯出流程差距和重大安全漏洞使企業(yè)暴露于風(fēng)險(xiǎn)中,并容易受到業(yè)務(wù)中斷攻擊。
第三方代碼不可輕信
Unit 42研究人員發(fā)現(xiàn),63%用于構(gòu)建云基礎(chǔ)設(shè)施的第三方代碼模板包含不安全的配置,96%部署在云基礎(chǔ)設(shè)施中的第三方容器型應(yīng)用包含已知漏洞。此等風(fēng)險(xiǎn)讓攻擊者可以輕松訪問(wèn)云端敏感數(shù)據(jù),甚至控制企業(yè)的軟件開(kāi)發(fā)環(huán)境。
Unit 42團(tuán)隊(duì)的調(diào)查結(jié)果明確顯示,未經(jīng)審核的代碼會(huì)迅速演變成安全漏洞,尤其是基礎(chǔ)設(shè)施漏洞會(huì)直接影響成千上萬(wàn)的云端工作負(fù)載。因此,企業(yè)必須了解其代碼來(lái)源,因?yàn)榈谌酱a可以來(lái)自任何人,包括高級(jí)持續(xù)性威脅(APT)。
圖1. 為了舉例證明錯(cuò)誤配置普遍存在,Unit 42研究人員按錯(cuò)誤配置的數(shù)量(左)和錯(cuò)誤配置的類型及其百分比(右)分析了公開(kāi)Terraform模塊
來(lái)源:Unit 42《2021年下半年云威脅報(bào)告》
結(jié)論:企業(yè)需要將安全方案加入到軟件開(kāi)發(fā)的早期階段,即實(shí)現(xiàn)安全左移
團(tuán)隊(duì)持續(xù)忽視 DevOps的安全性,部分原因在于缺乏對(duì)供應(yīng)鏈威脅的關(guān)注。云原生應(yīng)用附有一連串的依賴關(guān)系,DevOps和安全團(tuán)隊(duì)需要了解每個(gè)云端工作負(fù)載的物料清單(BOM),以便評(píng)估依賴關(guān)系鏈每個(gè)階段的風(fēng)險(xiǎn)并建立足夠的防護(hù)。
如欲詳細(xì)了解常見(jiàn)供應(yīng)鏈問(wèn)題如何破壞云安全,請(qǐng)瀏覽Unit 42《2021年下半年云威脅報(bào)告》。
20211019_616eba4fd915c__Palo Alto Networks(派拓網(wǎng)絡(luò))發(fā)布針對(duì)軟件供應(yīng)鏈攻擊的新版云威脅研究報(bào)告