提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

虽然云计算服务通常被吹捧为比构建应用程序并在内部托管它们更安全，但这并不意味着这些云服务没有自身的缺陷。随着黑客越来越多地希望通过软件供应链部署攻击，云安全再次成为人们关注的焦点。

网络安全研究人员发现，一家大型软件即服务提供商的基础设施存在漏洞，如果被攻击者利用，可能被网络罪犯用作基于云的供应链攻击的一部分。

未指明的SaaS提供商邀请Palo Alto Networks的网络安全研究人员对其开发软件管道进行红色团队演习，以识别供应链中的漏洞。

“在短短三天内，一名42部队的研究人员发现了关键的软件开发缺陷，使客户容易受到与SolarWinds和Kaseya VSA类似的攻击，“这家安全公司说。

在如此多的企业依赖云服务的时候，它表明，由于数百甚至数千家公司依赖于基础设施，如果管理不当，错误配置和漏洞会产生巨大影响。

请参阅：网络安全制胜战略（ZDNet特别报告）

最初，研究人员为承包商提供了有限的开发人员访问权限，他们设法将权限提升到能够获得更广泛的持续集成（CI）云环境的管理员权限的程度。

通过这种访问，研究人员检查了他们能够找到并获得26个身份和访问管理（IAM）密钥的所有环境。其中一些包含硬编码凭据，可提供对云环境其他区域的未经授权访问，可以利用它获得管理员访问权限–允许本应具有有限访问权限的帐户获得特权，从而打开整个环境。

而请求渗透测试的公司能够检测到研究人员参与的一些活动，只有在获得管理员访问权限后，情况才会如此——如果发生真正的攻击，那就太晚了，攻击者可能会破坏系统。

演习结束后，研究人员与该组织的安全运营中心DevOps合作，红色和蓝色团队制定了一项行动计划，以加强安全性，重点是早期识别其软件开发管道中的可疑或恶意操作。研究人员知道他们在寻找什么，因此能够轻松识别错误配置和漏洞进行攻击。虽然这可能涉及到对这些环境的高级知识以及如何利用它们，但勒索软件团伙或民族国家支持的高级持久性威胁组织（APT）等专业攻击行动也会熟悉这种情况，并在可能的情况下积极利用，最近的事件证明了这一点。

“由于攻击的广泛影响，成功的供应链攻击尤其具有破坏性，例如，可能会危及数千个下游客户环境。辐射条件的风险应要求增加用于保护供应链的安全机制和程序“，纳撒尼尔·奎斯特，Palo Alto Networks 42单元的首席研究员告诉ZDNet。

参见：2021年的云安全：基本工具和最佳实践的商业指南

这些环境可以被利用的部分原因是因为它们很复杂，很难安全保护——这不是一项简单的任务，而且存在漏洞和漏洞错误配置可能会滚雪球，只要有耐心和正确的技能，攻击者就可以利用对服务提供商的访问，并使客户容易受到攻击。

有许多方法可以帮助保护云环境免受未经授权的访问，包括在基于角色的基础上提供对系统和服务的访问。如果开发人员不需要访问访问管理密钥，那么他们就没有理由能够获得这些密钥。

“基于角色的访问控制（RBAC）在开发人员角色中，42单元的研究人员将无法访问所有的开发人员存储库。如果客户仅将开发人员用户帐户限制在执行其工作所需的存储库中，则会阻止红色团队识别所有26个硬编码IAM密钥。”Quist说。

作为开发生命周期的一部分，组织还应该实施安全检查和屏障。因为如果这一点得到正确实施，就有可能确定存在对系统的未经授权的访问，这可以防止攻击被发送给客户。

在这种情况下，仍然需要处理安全问题，但是在成百上千的客户受到影响之前处理它是一种更好的处理方法。

更多关于网络安全的信息

勒索软件攻击者瞄准了这家公司。网络安全研究人员警告说，防御者们发现了一些奇怪的事情，DDoS攻击正变得越来越多，越来越强大。在一次复杂的网络攻击发生四个月后，阿拉斯加卫生部仍在恢复网络钓鱼攻击：警方在瓦解网络欺诈集团时逮捕了106人

2023-03-22 10:04:44