據(jù)Palo Alto Networks稱�,云基礎(chǔ)設(shè)施中使用的絕大多數(shù)第三方代碼都包含漏洞和配置錯(cuò)誤,這可能會(huì)使組織面臨攻擊�����。
安全供應(yīng)商的Unite 42云威脅報(bào)告2H 2021使用來(lái)自各種公共來(lái)源的數(shù)據(jù)來(lái)更好地了解來(lái)自云軟件供應(yīng)鏈的威脅����。
調(diào)查顯示,用于構(gòu)建云基礎(chǔ)設(shè)施的63%的第三方代碼模板包含不安全配置�,而部署在云基礎(chǔ)設(shè)施中的96%的第三方容器應(yīng)用程序包含已知漏洞����。
未經(jīng)審查的第三方代碼可能會(huì)引入威脅參與者故意插入的漏洞和惡意軟件。本月早些時(shí)候的一項(xiàng)Sonatype研究表明���,這種性質(zhì)的上游供應(yīng)鏈攻擊激增了650%�����。
為了突出這一挑戰(zhàn)��,第42單元分析了公共Terraform模塊�����,發(fā)現(xiàn)2500多個(gè)模塊在加密�����、日志記錄���、網(wǎng)絡(luò)����、備份和恢復(fù)以及身份和訪問(wèn)管理等領(lǐng)域配置錯(cuò)誤��。
“團(tuán)隊(duì)繼續(xù)忽視DevOps的安全��,部分原因是缺乏對(duì)供應(yīng)鏈威脅的關(guān)注��。云原生應(yīng)用程序有一長(zhǎng)串依賴項(xiàng),這些依賴項(xiàng)有自己的依賴項(xiàng)�,”供應(yīng)商解釋道。
“DevOps和安全團(tuán)隊(duì)需要了解每個(gè)云工作負(fù)載中的材料清單���,以評(píng)估依賴鏈每個(gè)階段的風(fēng)險(xiǎn)并建立護(hù)欄���������!
除了分析公共數(shù)據(jù)源外�,42單元最近還受帕洛阿爾托網(wǎng)絡(luò)的SaaS客戶委托,在其環(huán)境中進(jìn)行紅色團(tuán)隊(duì)演習(xí)�����。它揭示了其軟件開(kāi)發(fā)過(guò)程中的關(guān)鍵缺陷���,這些缺陷使該公司面臨類似于SolarWinds和Kaseya的攻擊�����。
供應(yīng)商聲稱:“在紅色團(tuán)隊(duì)練習(xí)中測(cè)試開(kāi)發(fā)環(huán)境的客戶擁有大多數(shù)人會(huì)認(rèn)為成熟的云安全姿勢(shì)�����!薄叭欢麄兊拈_(kāi)發(fā)環(huán)境包含幾個(gè)嚴(yán)重的配置錯(cuò)誤和漏洞��,使Unit 42團(tuán)隊(duì)能夠在幾天內(nèi)接管客戶的云基礎(chǔ)設(shè)施����。”
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
