Unit 42團(tuán)隊(duì)分析了來自世界各地各種公開數(shù)據(jù)源的數(shù)據(jù)，得出企業(yè)在當(dāng)今軟件供應(yīng)鏈中面臨日益嚴(yán)峻威脅的結(jié)論。調(diào)查結(jié)果顯示，許多企業(yè)可能對云安全有錯(cuò)誤的認(rèn)知，實(shí)際上對面臨的威脅毫無準(zhǔn)備。

　　除了分析數(shù)據(jù)外，Unit 42的研究人員還受一家大型SaaS供應(yīng)商（派拓網(wǎng)絡(luò)的客戶之一）委托，對其軟件開發(fā)環(huán)境進(jìn)行紅隊(duì)演練。僅僅三天時(shí)間， Unit 42研究人員就發(fā)現(xiàn)了軟件開發(fā)過程中的重大漏洞，足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。

　　進(jìn)行紅隊(duì)演練的大型SaaS供應(yīng)商擁有許多人誤以為成熟的云安全態(tài)勢。然而，在演練期間，Unit 42研究人員能夠利用企業(yè)軟件開發(fā)環(huán)境中的錯(cuò)誤配置，例如硬編碼IAM密鑰對，控制整個(gè)開發(fā)流程，從而成功發(fā)動(dòng)供應(yīng)鏈攻擊。

　　此外，Unit 42研究人員對客戶開發(fā)環(huán)境進(jìn)行的安全掃描中，發(fā)現(xiàn)有21%的錯(cuò)誤配置或漏洞，這凸顯出流程差距和重大安全漏洞使企業(yè)暴露于風(fēng)險(xiǎn)中，并容易受到業(yè)務(wù)中斷攻擊。

　　圖1. 為了舉例證明錯(cuò)誤配置普遍存在，Unit 42研究人員按錯(cuò)誤配置的數(shù)量（左）和錯(cuò)誤配置的類型及其百分比（右）分析了公開Terraform模塊

　　來源：Unit 42《2021年下半年云威脅報(bào)告》

　　團(tuán)隊(duì)持續(xù)忽視 DevOps的安全性，部分原因在于缺乏對供應(yīng)鏈威脅的關(guān)注。云原生應(yīng)用附有一連串的依賴關(guān)系，DevOps和安全團(tuán)隊(duì)需要了解每個(gè)云端工作負(fù)載的物料清單（BOM），以便評(píng)估依賴關(guān)系鏈每個(gè)階段的風(fēng)險(xiǎn)并建立足夠的防護(hù)。

　　如欲詳細(xì)了解常見供應(yīng)鏈問題如何破壞云安全，請瀏覽Unit 42《2021年下半年云威脅報(bào)告》 https://start.paloaltonetworks.com/unit-42-cloud-threat-report-2h-2021.html。

　　作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會(huì)，改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴，保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長，我們始終站在安全前沿，在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。