Unit 42安全报告：云基础设施中的第三方容器应用有96%包含已知漏洞

根据来自Palo Alto Networks旗下Unit 42的一份新报告显示，供应链已经成为一种新型云安全威胁。

Unit 42与Palo Alto Networks的一家大型SaaS提供商客户进行了一次为期三天的红队演练，发现了可能使该组织遭受类似SolarWinds和Kaseya攻击的关键软件开发漏洞。

Unit 42发现，用于构建云基础设施的第三方代码中，有63%的代码都含有不安全的配置。报告称，如果攻击者攻击了第三方开发人员，就有可能渗透到数千个组织的云基础设施中。

Unit 42还分析了来自全球各地公共数据来源的数据，从而得出结论称，如今企业组织的软件供应链面临越来越多的威胁。

他们发现，云基础设施中部署的第三方容器应用中，有96%的应用含有已知的漏洞。

Unit 42研究人员发现，即使对于自认为已经制定了“成熟”的云安全措施的客户来说，也存在一些严重的错误配置和漏洞，让Unit 42团队能够以某种方式侵入并接管客户的云基础设施长达数天。

“在大多数供应链攻击行为中，攻击者会入侵供应商并在客户使用的软件中插入恶意代码。云基础设施可能会成为类似方法的牺牲品，未经审查的第三方代码可能存在安全漏洞并让攻击者能够趁机访问云环境中的敏感数据。此外，除非组织会验证来源，否则第三方代码可能是来自任何人的，包括高级持续威胁，”Unit 42在报告中这样写道。

“很多团队忽视了DevOps的安全性，一部分原因是他们缺乏对供应链威胁的关注。云原生应用有很长的依赖链，且彼此之间又是相互依赖的。DevOps团队和安全团队需要了解每个云工作负载，以评估这条依赖链每个阶段的风险，并采取防护措施。”

BreachQuest公司首席技术官Jake Williams称这项研究成果“意义重大”，并表示该研究揭示了公共软件供应链中如此普遍地存在配置问题和尚未解决的漏洞，并利用这些实际数据取代了事件响应者的各种猜测。

“在BreachQuest，我们习惯于处理利用Docker Hub映像构建的代码和应用等工作事件，其中存在很多预先构建的安全问题。虽然通常是缺少补丁的，但在这些映像中发现安全配置错误的情况并不少见，”Williams表示。

“这是自从有了公有云以来安全领域就在一直面对的问题。之前的研究发现，绝大多数公开可用的Amazon Machine Image都存在补丁缺失以及/或者配置问题。”

Valtix首席技术官Vishal Jain等专家也指出，一年多来，云相关的支出已经远远超过数据中心相关的支出。

Jain补充说，通常哪里最好赚钱攻击者就会涌向哪里，因此现在云变成了企业一个较大的、开放的安全入口。

他建议组织关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。

“这不是非此即彼，而是要两者兼而有之。更重要的是，随着公有云中的动态技术设施和应用不断蔓延，云中有很多新的安全问题需要解决，”Jain说。

其他人则表示，要保护代码免受快速变化的功能需求和威胁模式的影响，几乎是不可能的。Symmetry Systems公司首席执行官Mohit Tiwari表示，加强基础设施要比在数亿行代码中追踪应用漏洞更为有效。

Tiwari解释说，第一方代码与第三方代码一样，可能存在可被利用的漏洞（例如授权错误），并且这些漏洞会暴露由业务逻辑管理的客户数据。

“指责第三方代码是不令人信服的——Linux、Postgres、Django/Rails等软件……包含了大多数应用，因此几乎所有应用都包含具有已知漏洞的第三方代码，”Tiwari说。

“实际上，组织正在转向让他们的基础设施——云IAM、服务网格等等——变得井井有条，同时依赖针对目标用例的代码分析（例如为大量应用代码提供安全性的可信代码库）。”