42-ე ერთეულმა აღმოაჩინა, რომ ღრუბლოვანი ინფრასტრუქტურის მშენებლობაში გამოყენებული მესამე მხარის კოდის 63% შეიცავდა არასაიმედო კონფიგურაციებს.
ა ახალი ანგარიში Palo Alto Networks' Unit 42-დან გამოკვეთა გზები, რომლითაც მიწოდების ჯაჭვი გახდა ღრუბლოვანი უსაფრთხოების განვითარებადი საფრთხე.
ღრუბელი
- რა არის ციფრული ტრანსფორმაცია? ყველაფერი რაც თქვენ უნდა იცოდეთ
- საუკეთესო ღრუბლოვანი პროვაიდერები შედარებით: AWS, Azure, Google Cloud და სხვა
- ტოპ 6 იაფი ვებ ჰოსტინგის სერვისი: იპოვნეთ ხელმისაწვდომი ვარიანტი
- რა არის ღრუბლოვანი გამოთვლა? აქ არის ყველაფერი, რაც უნდა იცოდეთ
42-ე ერთეულმა ჩაატარა წითელი გუნდის ვარჯიში SaaS დიდ პროვაიდერთან, რომელიც არის Palo Alto Networks-ის მომხმარებელი. სამი დღის განმავლობაში, გუნდმა შეძლო აღმოეჩინა პროგრამული უზრუნველყოფის განვითარების კრიტიკული ხარვეზები, რამაც შესაძლოა ორგანიზაცია გამოავლინოს მსგავსი შეტევა. SolarWinds და კასეია.
42-ე ერთეულმა აღმოაჩინა, რომ ღრუბლოვანი ინფრასტრუქტურის მშენებლობაში გამოყენებული მესამე მხარის კოდის 63% შეიცავდა არასაიმედო კონფიგურაციებს. მოხსენების თანახმად, თუ თავდამსხმელი მესამე მხარის დეველოპერებს კომპრომეტირებს, შესაძლებელია ათასობით ორგანიზაციის ღრუბლოვან ინფრასტრუქტურაში შეღწევა.
ორგანიზაციამ გააანალიზა მონაცემები სხვადასხვა საჯარო მონაცემთა წყაროებიდან მთელს მსოფლიოში, რათა გამოეტანა დასკვნები იმ მზარდი საფრთხეების შესახებ, რომლებსაც დღეს აწყდებიან ორგანიზაციები პროგრამული უზრუნველყოფის მიწოდების ჯაჭვებში.
მათ აღმოაჩინეს, რომ ღრუბლოვან ინფრასტრუქტურაში განლაგებული მესამე მხარის კონტეინერების აპლიკაციების 96% შეიცავს ცნობილ დაუცველობას.
მოხსენებაში, განყოფილების 42-ე მკვლევარებმა აღმოაჩინეს, რომ მომხმარებლისთვისაც კი, რომელსაც აქვს ის, რაც ყველაზე მეტად მიიჩნევს ღრუბლის უსაფრთხოების „მომწიფებულ“ პოზას, იყო რამდენიმე კრიტიკული არასწორი კონფიგურაცია და დაუცველობა, რამაც საშუალება მისცა Unit 42-ის გუნდს დაეუფლა მომხმარებლის ღრუბლოვან ინფრასტრუქტურას რამდენიმე საკითხში. დღეები.
„მომარაგების ჯაჭვის თავდასხმების უმეტესობაში, თავდამსხმელი არღვევს გამყიდველს და აყენებს მავნე კოდს კლიენტების მიერ გამოყენებულ პროგრამულ უზრუნველყოფაში. ღრუბლოვანი ინფრასტრუქტურა შეიძლება გახდეს მსგავსი მიდგომის მსხვერპლი, რომლის დროსაც მესამე მხარის შეუმოწმებელმა კოდმა შეიძლება შემოიღოს უსაფრთხოების ხარვეზები და თავდამსხმელებს მისცეს წვდომა ღრუბლოვან გარემოში მგრძნობიარე მონაცემებზე. გარდა ამისა, თუ ორგანიზაციები არ ამოწმებენ წყაროებს, მესამე მხარის კოდი შეიძლება მოდიოდეს ნებისმიერისგან, მათ შორის მოწინავე მუდმივი საფრთხის ჩათვლით“, - წერს განყოფილება 42.
”გუნდები აგრძელებენ DevOps უსაფრთხოების უგულებელყოფას, ნაწილობრივ მიწოდების ჯაჭვის საფრთხეებისადმი ყურადღების ნაკლებობის გამო. Cloud-ის მშობლიურ აპლიკაციებს აქვთ დამოკიდებულებების გრძელი ჯაჭვი და ამ დამოკიდებულებებს აქვთ საკუთარი დამოკიდებულებები. DevOps-მა და უსაფრთხოების გუნდებმა უნდა მოიპოვონ ხილვადობა მასალების ანგარიშში ყოველ ღრუბლოვან დატვირთვაში, რათა შეაფასონ რისკი დამოკიდებულების ჯაჭვის ყველა ეტაპზე და დაამყარონ დამცავი რელსები.
BreachQuest-ის CTO ჯეიკ უილიამსმა კვლევას "მნიშვნელოვანი" უწოდა. მისი თქმით, ის ცვლის ინციდენტების რეაგირების ანეკდოტებს რეალური მონაცემებით იმის შესახებ, თუ რამდენად ხშირია კონფიგურაციის პრობლემებისა და გაუხსნელი დაუცველობის პოვნა საჯარო პროგრამული უზრუნველყოფის მიწოდების ჯაჭვში.
„BreachQuest-ში ჩვენ მიჩვეულები ვართ სამუშაო ინციდენტებთან, სადაც კოდი და აპლიკაციები აგებულია Docker Hub-ის სურათებიდან წინასწარ ჩაშენებული უსაფრთხოების პრობლემებით. მიუხედავად იმისა, რომ ეს ჩვეულებრივ აკლია პატჩებს, არცთუ იშვიათია ამ სურათებში უსაფრთხოების არასწორი კონფიგურაციის პოვნა“, - თქვა უილიამსმა.
„ეს არის პრობლემა, რომელსაც უსაფრთხოების საზოგადოება უმკლავდება საჯარო ღრუბლის გარიჟრაჟიდან. წინა კვლევამ დაადგინა, რომ საჯაროდ ხელმისაწვდომი Amazon Machine Images-ის აბსოლუტური უმრავლესობა შეიცავდა გამოტოვებულ პატჩებს და/ან კონფიგურაციის პრობლემებს.
Valtix CTO Vishal Jain-ის მსგავსად, სხვა ექსპერტებმა აღნიშნეს, რომ უკვე ერთ წელზე მეტია, რაც ღრუბელზე დახარჯული ხარჯები მნიშვნელოვნად აღემატება მონაცემთა ცენტრებზე დახარჯულ ხარჯებს.
ჯაინმა დაამატა, რომ თავდასხმები, როგორც წესი, მიდის იქ, სადაც ფულია, ამიტომ საწარმოებისთვის უსაფრთხოების დიდი, ღია ფრონტი ახლა ღრუბელია.
მან შესთავაზა ორგანიზაციებს კონცენტრირება მოახდინონ უსაფრთხოებაზე აშენების დროს - IaC შაბლონების სკანირებაზე, რომლებიც გამოიყენება ღრუბლოვანი ინფრასტრუქტურის მშენებლობაში - და უსაფრთხოებაზე მუშაობის დროს.
„არ არის არც/ან; ეს უნდა იყოს ორივე. რაც მთავარია, დინამიური ინფრასტრუქტურისა და აპლიკაციების გავრცელებით საჯარო ღრუბელში, არის უსაფრთხოების პრობლემების ახალი ნაკრები, რომლებიც უნდა გადაიჭრას ღრუბელში“, - თქვა ჯაინმა.
სხვებმა თქვეს, რომ კოდი თითქმის შეუძლებელი იყო სწრაფად მოძრავი ფუნქციონალური მოთხოვნებისა და საფრთხის მოდელებისგან დაცვა. უთხრა მოჰიტ ტივარმა, Symmetry Systems-ის აღმასრულებელმა დირექტორმა ZDNet ინფრასტრუქტურის გამკაცრება უფრო ეფექტურია, ვიდრე აპლიკაციის დონის შეცდომების გამოდევნა ასობით მილიონი კოდის ხაზში.
ტივარიმ განმარტა, რომ პირველი მხარის კოდს ისეთივე სავარაუდოა, რომ მესამე მხარის კოდს ჰქონდეს ექსპლუატირებადი შეცდომები - როგორიცაა ავტორიზაციის შეცდომები - და ეს შეცდომები ავლენს მომხმარებლის მონაცემებს, რომლებიც იმართება ბიზნეს ლოგიკით.
”მესამე მხარის კოდის დადანაშაულება არის წითელი ქაშაყი - პროგრამული უზრუნველყოფა, როგორიცაა Linux, Postgres, Django/Rails და ა.შ.… მოიცავს უმეტესობას ნებისმიერი აპლიკაცია, ასე რომ, აპლიკაციების თითქმის 100%-ს აქვს მესამე მხარის კოდი ცნობილი დაუცველობით,” - თქვა ტივარიმ.
„ორგანიზაციები პრაქტიკაში სანაცვლოდ მიდიან ინფრასტრუქტურის მოსაპოვებლად - ღრუბლოვანი IAM, სერვისული ბადეები და ა.შ.. კოდის ანალიზზე მიზნობრივი გამოყენების შემთხვევებისთვის (როგორიცაა სანდო კოდის ბაზა, რომელიც უზრუნველყოფს აპლიკაციის კოდის უმეტესობის უსაფრთხოებას).
უსაფრთხოება
- უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
- როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
- საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
- როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ