Palo Alto Networks：63% 用於構建雲端基礎架構的第三方代號範例中包含不安全配置

SolarWinds 和 Kaseya 等備受矚目的軟件供應鏈攻擊揭示了企業及組織高估其雲端基礎架構的安全性，災難往往是由於未能洞察其供應鏈中可能對業務造成的威脅。在最新的 Palo Alto Networks 網絡安全諮詢部門 Unit 42 的《2021 年下半年雲端威脅報告》中，Unit 42 研究人員深入研究全面雲端供應鏈攻擊，闡釋其不為人知的細節，同時提出組織可即時採用的可行建議，以著手保護雲端上的軟件供應鏈。

Unit 42 團隊分析了來自世界各地的各種公開數據，總結出組織在當今軟件供應鏈中所面臨日益嚴峻的威脅。調查結果更顯示，許多組織可能對雲端安全有錯誤的認知，實際上對將面臨的威脅毫無充足準備。

除了分析數據之外，Unit 42 的研究人員還受 Palo Alto Networks 的客戶、一家大型 SaaS 供應商的委託，針對他們的軟件開發環境進行紅隊演練 (red team exercise)。在短短三天內，Unit 42 研究人員發現軟件開發過程中的重大漏洞，足以使客戶輕易受到類似 SolarWinds 和 Kaseya 的攻擊。

主要發現

供應鏈欠缺衛生 危害雲端基礎架構

這次進行紅隊演練的大型 SaaS 供應商擁有不少人認為成熟的雲安全部署。然而，在演練期間，Unit 42 研究人員能夠利用組織軟件開發環境中的錯誤配置，例如利用 hardcoded IAM 配對金鑰 (key pairs) ，控制整個開發流程，從而成功發動供應鏈攻擊。

此外，Unit 42 研究人員針對客戶開發環境運行的安全掃描中，發現有 21% 錯誤配置或漏洞，這突顯出流程差距和重大安全漏洞使組織暴露於風險中，並輕易引致業務中斷的攻擊。

第三方代碼不可輕信

Unit 42 研究人員發現，63% 的雲端基礎架構構建使用了第三方代碼範例，當中包含不安全的配置，96% 部署在雲端基礎架構中的第三方容器型應用程式包含已知漏洞。此等風險讓攻擊者可以輕鬆存取雲端上的敏感數據，甚至控制組織的軟件開發環境。

Unit 42 團隊的調查結果明確顯示未經審查的代碼會演變成安全漏洞，尤其是當基礎架構漏洞會直接影響數千個雲端工作載體 (Workloads)。因此，組織必須了解其代碼的來源，因為第三方代碼可以來自任何人，包括「進階持續威脅」 (Advanced Persistent Threat, APT)。

圖一. 為了舉例證明錯誤配置普遍存在，Unit 42 研究人員按錯誤配置的數量 (左) 和錯誤配置的類型及其百分比 (右) 分析公開 Terraform 模塊。

來源：Unit 42 《2021 年下半年雲端威脅報告》

結論：組織需要將安全方案加入到軟件開發的過程中

團隊持續忽視 DevOps (開發運營) 的安全性，部分成因在於缺乏對供應鏈威脅的關注。雲原生應用程式附有一連串的依賴關係，DevOps 和安全團隊需要了解每個雲端工作負載中的物料清單 (bill of materials, BOM)，以便在依賴關係鏈的每個階段評估風險並建立起足夠的防護。

如欲詳細了解常見的供應鏈問題如何破壞雲端安全，請瀏覽《2021 年下半年雲端威脅報告》。