Palo Alto Networks(派拓网络)发布针对软件供应链攻击的新版云威胁研究报告
《2021 年下半年云威胁报告》揭示不安全的软件供应链危害云基础设施
2021年10月19日,北京——solarwinds和kaseya等备受瞩目的软件供应链攻击事件表明企业高估了其云基础设施的安全性,这些供应链中的威胁可能对业务产生灾难性影响。在palo alto networks(派拓网络)安全咨询部门unit 42发布的最新《2021年下半年云威胁报告》中,研究人员深入研究了云端供应链攻击的范围,并阐释了其不为人知的细节,同时提出企业可实时采用的可行建议,以着手保护云端软件供应链。
unit 42团队分析了来自世界各地各种公开数据源的数据,得出企业在当今软件供应链中面临日益严峻威胁的结论。调查结果显示,许多企业可能对云安全有错误的认知,实际上对面临的威胁毫无准备。
除了分析数据外,unit 42的研究人员还受一家大型saas供应商(派拓网络的客户之一)委托,对其软件开发环境进行红队演练。仅仅三天时间, unit 42研究人员就发现了软件开发过程中的重大漏洞,足以让客户轻易受到类似solarwinds和kaseya的攻击。
主要发现
不安全的供应链危害云基础设施
进行红队演练的大型saas供应商拥有许多人误以为成熟的云安全态势。然而,在演练期间,unit 42研究人员能够利用企业软件开发环境中的错误配置,例如硬编码iam密钥对,控制整个开发流程,从而成功发动供应链攻击。
此外,unit 42研究人员对客户开发环境进行的安全扫描中,发现有21%的错误配置或漏洞,这凸显出流程差距和重大安全漏洞使企业暴露于风险中,并容易受到业务中断攻击。
第三方代码不可轻信
unit 42研究人员发现,63%用于构建云基础设施的第三方代码模板包含不安全的配置,96%部署在云基础设施中的第三方容器型应用包含已知漏洞。此等风险让攻击者可以轻松访问云端敏感数据,甚至控制企业的软件开发环境。
unit 42团队的调查结果明确显示,未经审核的代码会迅速演变成安全漏洞,尤其是基础设施漏洞会直接影响成千上万的云端工作负载。因此,企业必须了解其代码来源,因为第三方代码可以来自任何人,包括高级持续性威胁(apt)。
图1. 为了举例证明错误配置普遍存在,unit 42研究人员按错误配置的数量(左)和错误配置的类型及其百分比(右)分析了公开terraform模块
来源:unit 42《2021年下半年云威胁报告》
结论:企业需要将安全方案加入到软件开发的早期阶段,即实现安全左移
团队持续忽视 devops的安全性,部分原因在于缺乏对供应链威胁的关注。云原生应用附有一连串的依赖关系,devops和安全团队需要了解每个云端工作负载的物料清单(bom),以便评估依赖关系链每个阶段的风险并建立足够的防护。
算力联网形成统一调度是大势所趋
蓝牙技术自适应跳频的工作原理解析
汇编语言的结构化设计及其在俄罗斯方块中的应用
大量特供HP4284ALCR测试仪HP4284A
SAN交换机的主要特点及选购时的注意事项
Palo Alto Networks(派拓网络)发布针对软件供应链攻击的新版云威胁研究报告
CB Insights 联合创始人:在人工智能领域,中美两国在全球的市场份额变化趋势
大容量电池超长续航 东芝T133仅4799
OPPO realme新款充电头,降低充电器体积,易于携带充电
AMD Ryzen处理器让Intel CPU不再挤牙膏?
人工智能在手机中的普及和应用
氢燃料电池车车规级一体成型电感的需求趋势
商旅人士必备的行李箱:不仅配LED屏还能定位
兽药残留定量检测仪的特点及技术参数
这家小米投资的传感器公司突传“CEO被从美国抓回”,回应来了
频振式杀虫灯的特点介绍
这家陶瓷3D打印公司陷入债务 无力支付员工工资
半导体光伏行业用的高纯PFA管有什么特点?
共建共享成5G网络建设重点
1块9和28块的手机壳有什么区别
2021年10月19日,北京——solarwinds和kaseya等备受瞩目的软件供应链攻击事件表明企业高估了其云基础设施的安全性,这些供应链中的威胁可能对业务产生灾难性影响。在palo alto networks(派拓网络)安全咨询部门unit 42发布的最新《2021年下半年云威胁报告》中,研究人员深入研究了云端供应链攻击的范围,并阐释了其不为人知的细节,同时提出企业可实时采用的可行建议,以着手保护云端软件供应链。
unit 42团队分析了来自世界各地各种公开数据源的数据,得出企业在当今软件供应链中面临日益严峻威胁的结论。调查结果显示,许多企业可能对云安全有错误的认知,实际上对面临的威胁毫无准备。
除了分析数据外,unit 42的研究人员还受一家大型saas供应商(派拓网络的客户之一)委托,对其软件开发环境进行红队演练。仅仅三天时间, unit 42研究人员就发现了软件开发过程中的重大漏洞,足以让客户轻易受到类似solarwinds和kaseya的攻击。
主要发现
不安全的供应链危害云基础设施
进行红队演练的大型saas供应商拥有许多人误以为成熟的云安全态势。然而,在演练期间,unit 42研究人员能够利用企业软件开发环境中的错误配置,例如硬编码iam密钥对,控制整个开发流程,从而成功发动供应链攻击。
此外,unit 42研究人员对客户开发环境进行的安全扫描中,发现有21%的错误配置或漏洞,这凸显出流程差距和重大安全漏洞使企业暴露于风险中,并容易受到业务中断攻击。
第三方代码不可轻信
unit 42研究人员发现,63%用于构建云基础设施的第三方代码模板包含不安全的配置,96%部署在云基础设施中的第三方容器型应用包含已知漏洞。此等风险让攻击者可以轻松访问云端敏感数据,甚至控制企业的软件开发环境。
unit 42团队的调查结果明确显示,未经审核的代码会迅速演变成安全漏洞,尤其是基础设施漏洞会直接影响成千上万的云端工作负载。因此,企业必须了解其代码来源,因为第三方代码可以来自任何人,包括高级持续性威胁(apt)。
图1. 为了举例证明错误配置普遍存在,unit 42研究人员按错误配置的数量(左)和错误配置的类型及其百分比(右)分析了公开terraform模块
来源:unit 42《2021年下半年云威胁报告》
结论:企业需要将安全方案加入到软件开发的早期阶段,即实现安全左移
团队持续忽视 devops的安全性,部分原因在于缺乏对供应链威胁的关注。云原生应用附有一连串的依赖关系,devops和安全团队需要了解每个云端工作负载的物料清单(bom),以便评估依赖关系链每个阶段的风险并建立足够的防护。
算力联网形成统一调度是大势所趋
蓝牙技术自适应跳频的工作原理解析
汇编语言的结构化设计及其在俄罗斯方块中的应用
大量特供HP4284ALCR测试仪HP4284A
SAN交换机的主要特点及选购时的注意事项
Palo Alto Networks(派拓网络)发布针对软件供应链攻击的新版云威胁研究报告
CB Insights 联合创始人:在人工智能领域,中美两国在全球的市场份额变化趋势
大容量电池超长续航 东芝T133仅4799
OPPO realme新款充电头,降低充电器体积,易于携带充电
AMD Ryzen处理器让Intel CPU不再挤牙膏?
人工智能在手机中的普及和应用
氢燃料电池车车规级一体成型电感的需求趋势
商旅人士必备的行李箱:不仅配LED屏还能定位
兽药残留定量检测仪的特点及技术参数
这家小米投资的传感器公司突传“CEO被从美国抓回”,回应来了
频振式杀虫灯的特点介绍
这家陶瓷3D打印公司陷入债务 无力支付员工工资
半导体光伏行业用的高纯PFA管有什么特点?
共建共享成5G网络建设重点
1块9和28块的手机壳有什么区别