根据来自Palo Alto Networks旗下Unit 42的一份新报告显示,供应链已经成为一种新型云安全威胁。
Unit 42与Palo Alto Networks的一家大型SaaS提供商客户进行了一次为期三天的红队演练,发现了可能使该组织遭受类似SolarWinds和Kaseya攻击的关键软件开发漏洞。
Unit 42发现,用于构建云基础设施的第三方代码中,有63%的代码都含有不安全的配置。报告称,如果攻击者攻击了第三方开发人员,就有可能渗透到数千个组织的云基础设施中。
Unit 42还分析了来自全球各地公共数据来源的数据,从而得出结论称,如今企业组织的软件供应链面临越来越多的威胁。
他们发现,云基础设施中部署的第三方容器应用中,有96%的应用含有已知的漏洞。
Unit 42研究人员发现,即使对于自认为已经制定了“成熟”的云安全措施的客户来说,也存在一些严重的错误配置和漏洞,让Unit 42团队能够以某种方式侵入并接管客户的云基础设施长达数天。
“在大多数供应链攻击行为中,攻击者会入侵供应商并在客户使用的软件中插入恶意代码。云基础设施可能会成为类似方法的牺牲品,未经审查的第三方代码可能存在安全漏洞并让攻击者能够趁机访问云环境中的敏感数据。此外,除非组织会验证来源,否则第三方代码可能是来自任何人的,包括高级持续威胁,”Unit 42在报告中这样写道。
“很多团队忽视了DevOps的安全性,一部分原因是他们缺乏对供应链威胁的关注。云原生应用有很长的依赖链,且彼此之间又是相互依赖的。DevOps团队和安全团队需要了解每个云工作负载,以评估这条依赖链每个阶段的风险,并采取防护措施。”
BreachQuest公司首席技术官Jake Williams称这项研究成果“意义重大”,并表示该研究揭示了公共软件供应链中如此普遍地存在配置问题和尚未解决的漏洞,并利用这些实际数据取代了事件响应者的各种猜测。
“在BreachQuest,我们习惯于处理利用Docker Hub映像构建的代码和应用等工作事件,其中存在很多预先构建的安全问题。虽然通常是缺少补丁的,但在这些映像中发现安全配置错误的情况并不少见,”Williams表示。
“这是自从有了公有云以来安全领域就在一直面对的问题。之前的研究发现,绝大多数公开可用的Amazon Machine Image都存在补丁缺失以及/或者配置问题。”
Valtix首席技术官Vishal Jain等专家也指出,一年多来,云相关的支出已经远远超过数据中心相关的支出。
Jain补充说,通常哪里最好赚钱攻击者就会涌向哪里,因此现在云变成了企业一个较大的、开放的安全入口。
他建议组织关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。
“这不是非此即彼,而是要两者兼而有之。更重要的是,随着公有云中的动态技术设施和应用不断蔓延,云中有很多新的安全问题需要解决,”Jain说。
其他人则表示,要保护代码免受快速变化的功能需求和威胁模式的影响,几乎是不可能的。Symmetry Systems公司首席执行官Mohit Tiwari表示,加强基础设施要比在数亿行代码中追踪应用漏洞更为有效。
Tiwari解释说,第一方代码与第三方代码一样,可能存在可被利用的漏洞(例如授权错误),并且这些漏洞会暴露由业务逻辑管理的客户数据。
“指责第三方代码是不令人信服的——Linux、Postgres、Django/Rails等软件……包含了大多数应用,因此几乎所有应用都包含具有已知漏洞的第三方代码,”Tiwari说。
另外,Tiwari表示,“实际上,组织正在转向让他们的基础设施——云IAM、服务网格等等——变得井井有条,同时依赖针对目标用例的代码分析(例如为大量应用代码提供安全性的可信代码库)。”
好文章,需要你的鼓励
生成式AI在电商领域发展迅速,但真正的客户信任来自可靠的购物体验。数据显示近70%的在线购物者会放弃购物车,主要因为结账缓慢、隐藏费用等问题。AI基础设施工具正在解决这些信任危机,通过实时库存监控、动态结账优化和智能物流配送,帮助商家在售前、售中、售后各环节提升可靠性,最终将一次性买家转化为忠实客户。
泰国SCBX金融集团开发的DoTA-RAG系统通过动态路由和混合检索技术,成功解决了大规模知识库检索中速度与准确性难以兼得的难题。系统将1500万文档的搜索空间缩小92%,响应时间从100秒降至35秒,正确性评分提升96%,为企业级智能问答系统提供了实用的技术方案。
存储供应商Qumulo发布多租户架构Stratus,为每个租户提供独立的虚拟环境,通过加密技术和租户专用密钥管理系统实现隔离。该统一文件和对象存储软件支持本地、边缘、数据中心及AWS、Azure等云环境部署。Stratus采用加密隔离技术确保敏感数据安全,同时提供任务关键操作所需的灵活性和效率,帮助联邦和企业客户满足合规要求。
中科院和字节跳动联合开发了VGR视觉锚定推理系统,突破了传统AI只能粗略"看图"的局限。该系统能在推理过程中主动关注图片关键区域,像人类一样仔细观察细节后再得出结论。实验显示VGR在图表理解等任务上性能大幅提升,同时计算效率更高,代表了多模态AI"可视化推理"的重要进展。