根据来自Palo Alto Networks旗下Unit 42的一份新报告显示,供应链已经成为一种新型云安全威胁。
Unit 42与Palo Alto Networks的一家大型SaaS提供商客户进行了一次为期三天的红队演练,发现了可能使该组织遭受类似SolarWinds和Kaseya攻击的关键软件开发漏洞。
Unit 42发现,用于构建云基础设施的第三方代码中,有63%的代码都含有不安全的配置。报告称,如果攻击者攻击了第三方开发人员,就有可能渗透到数千个组织的云基础设施中。
Unit 42还分析了来自全球各地公共数据来源的数据,从而得出结论称,如今企业组织的软件供应链面临越来越多的威胁。
他们发现,云基础设施中部署的第三方容器应用中,有96%的应用含有已知的漏洞。
Unit 42研究人员发现,即使对于自认为已经制定了“成熟”的云安全措施的客户来说,也存在一些严重的错误配置和漏洞,让Unit 42团队能够以某种方式侵入并接管客户的云基础设施长达数天。
“在大多数供应链攻击行为中,攻击者会入侵供应商并在客户使用的软件中插入恶意代码。云基础设施可能会成为类似方法的牺牲品,未经审查的第三方代码可能存在安全漏洞并让攻击者能够趁机访问云环境中的敏感数据。此外,除非组织会验证来源,否则第三方代码可能是来自任何人的,包括高级持续威胁,”Unit 42在报告中这样写道。
“很多团队忽视了DevOps的安全性,一部分原因是他们缺乏对供应链威胁的关注。云原生应用有很长的依赖链,且彼此之间又是相互依赖的。DevOps团队和安全团队需要了解每个云工作负载,以评估这条依赖链每个阶段的风险,并采取防护措施。”
BreachQuest公司首席技术官Jake Williams称这项研究成果“意义重大”,并表示该研究揭示了公共软件供应链中如此普遍地存在配置问题和尚未解决的漏洞,并利用这些实际数据取代了事件响应者的各种猜测。
“在BreachQuest,我们习惯于处理利用Docker Hub映像构建的代码和应用等工作事件,其中存在很多预先构建的安全问题。虽然通常是缺少补丁的,但在这些映像中发现安全配置错误的情况并不少见,”Williams表示。
“这是自从有了公有云以来安全领域就在一直面对的问题。之前的研究发现,绝大多数公开可用的Amazon Machine Image都存在补丁缺失以及/或者配置问题。”
Valtix首席技术官Vishal Jain等专家也指出,一年多来,云相关的支出已经远远超过数据中心相关的支出。
Jain补充说,通常哪里最好赚钱攻击者就会涌向哪里,因此现在云变成了企业一个较大的、开放的安全入口。
他建议组织关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。
“这不是非此即彼,而是要两者兼而有之。更重要的是,随着公有云中的动态技术设施和应用不断蔓延,云中有很多新的安全问题需要解决,”Jain说。
其他人则表示,要保护代码免受快速变化的功能需求和威胁模式的影响,几乎是不可能的。Symmetry Systems公司首席执行官Mohit Tiwari表示,加强基础设施要比在数亿行代码中追踪应用漏洞更为有效。
Tiwari解释说,第一方代码与第三方代码一样,可能存在可被利用的漏洞(例如授权错误),并且这些漏洞会暴露由业务逻辑管理的客户数据。
“指责第三方代码是不令人信服的——Linux、Postgres、Django/Rails等软件……包含了大多数应用,因此几乎所有应用都包含具有已知漏洞的第三方代码,”Tiwari说。
“实际上,组织正在转向让他们的基础设施——云IAM、服务网格等等——变得井井有条,同时依赖针对目标用例的代码分析(例如为大量应用代码提供安全性的可信代码库)。”
好文章,需要你的鼓励
Zoom发布全新智能代理AI功能,旨在帮助用户在工作中节省时间。新的自定义AI助手插件可连接16多个第三方应用,无需离开Zoom界面。该AI助手现已支持在线购买并可集成到微软Teams和谷歌Meet等第三方会议平台。智能代理AI能够独立运行,自动执行任务、收集数据并达成目标。新功能包括日程管理、会议录制剪辑生成、文档创作辅助等,月费12美元。
加州大学伯克利分校研究团队开发出革命性的R2R2R系统,仅需智能手机拍摄和一段演示视频,就能自动生成大量机器人训练数据。该系统绕过了传统昂贵的远程操作和复杂物理仿真,通过3D重建和智能轨迹生成技术,让机器人训练效率提升27倍,成本大幅降低,有望让高质量机器人技能变得像安装手机应用一样普及。
YouTube准备更新政策,打击创作者从"非真实"内容中获利的能力,包括批量生产视频和其他重复性内容。7月15日,公司将更新YouTube合作伙伴计划货币化政策,提供更详细的指导原则。随着AI技术的兴起,YouTube充斥着AI生成的低质量内容,包括AI语音配音、虚假新闻视频等。尽管YouTube将此称为"小幅更新",但实际上是为了应对AI内容泛滥对平台声誉和价值的潜在损害。
腾讯优图实验室提出AnoGen方法,仅用3张异常图片就能训练出高精度工业检测AI。该方法通过扩散模型学习异常特征并生成大量逼真样本,在MVTec数据集上将检测精度提升5.8%,为解决工业异常检测中样本稀缺问题提供了突破性方案。