提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

Palo Alto Networks第42单元的一份新报告概述了供应链已成为新兴云安全威胁的方式。

第42单元与Palo Alto Networks的一家大型SaaS供应商进行了一次红色团队演习，该供应商是Palo Alto Networks的客户，在三天内，该团队能够发现关键的软件开发缺陷，这些缺陷可能使公司面临类似SolarWinds和Kaseya的攻击。

第42单元发现，用于构建云基础设施的第三方代码中有63%包含不安全的配置。如果攻击者威胁到第三方开发者，就有可能渗透到数千家组织的云基础设施中，根据该报告。

该组织分析了来自世界各地各种公共数据源的数据，以得出关于当今组织在其软件供应链中面临的日益增长的威胁的结论。

他们发现，部署在云基础设施中的第三方容器应用程序中，96%包含已知的数据在报告中，第42单元的研究人员发现，即使对于一个拥有大多数“成熟”云安全态势的客户，也有几次严重的错误配置和漏洞，使得单元42团队在几天内接管了客户的云基础设施。“在大多数供应链攻击中，攻击者会危害供应商，并在客户使用的软件中插入恶意代码。云基础设施可能成为类似方法的牺牲品，未经授权的第三方代码可能会引入安全漏洞，并使攻击者能够访问云环境中的敏感数据。此外，除非组织验证来源，否则第三方代码可能来自任何人，包括高级持续威胁，”42单元写道。

“团队继续忽视DevOps安全，部分原因是缺乏对供应链威胁的关注。云本机应用程序有一长串依赖项，这些依赖项有自己的依赖项。DevOps和安全团队需要了解每个云工作负载中的物料清单，以便在依赖链的每个阶段评估风险并建立防护措施。”

首席技术官Jake Williams称这项研究“意义重大”“并说它用实际数据取代了事件响应者的轶事，这些数据表明在公共软件供应链中发现配置问题和未修补的漏洞是多么常见。”“在BreakeQuest，我们习惯于处理代码和应用程序是从Docker Hub图像生成的、带有预构建安全问题的事件。虽然这些通常都是缺失的补丁，但在这些图像中发现安全配置错误也并不罕见，”Williams说。

“这是自公共云诞生以来安全社区一直在处理的问题。之前的研究发现，绝大多数公开的亚马逊机器映像都包含缺失的补丁和/或配置问题。“

其他专家，如Valtix首席技术官Vishal Jain指出，一年多来，云计算上的支出远远超过了数据中心的支出。

Jain补充说，攻击通常会发生在资金到位的地方，因此规模巨大，现在，企业开放的安全前沿是云。

他建议企业关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。

“不是非此即彼，而是两者兼而有之。更重要的是，随着公共云中的动态基础设施和应用程序的蔓延，需要在云中解决一系列新的安全问题，“Jain说。

其他人说，针对快速变化的功能需求和威胁模型，代码几乎不可能安全。Symmetry Systems首席执行官Mohit Tiwari，告诉ZDNet，强化基础设施比在数亿行代码中追踪应用程序级错误更有效。

Tiwari解释说，第一方代码和第三方代码一样可能存在可利用的错误（如授权错误），这些错误会暴露由业务管理的客户数据逻辑。

提瓦里说：“指责第三方代码是一种危险的做法——像Linux、Postgres、Django/Rails等软件……构成了大多数应用程序，因此几乎100%的应用程序都有第三方代码和已知的漏洞。”“实际上，组织正在采取行动，使基础设施——云IAM、服务网格等——有序运行，同时依赖于针对目标用例的代码分析（例如为大部分应用程序代码提供安全性的可信代码库）。“

微软宣布与Bay网络保险公司建立多年合作关系

报告强调了弹性堆栈实施错误的网络安全危险

戴尔为ProSupport Suite增加了新的安全功能和自动化

苹果发布了一系列新的基调、页面和数字更新

2023-03-22 10:04:45