Palo Alto Networks präsentiert aktuellen Cloud-Threat-Report
Angriffe auf Softwarelieferketten verschärfen Bedrohungslage
Cyberangriffe auf die Softwarelieferkette wie im Falle von SolarWinds und Kaseya VSA waren in diesem Jahr in den Schlagzeilen. Sie haben die Diskrepanz zwischen der Wahrnehmung der Sicherheit innerhalb der Cloud-Infrastruktur von Unternehmen und der Realität der Bedrohungen in ihren Lieferketten verdeutlicht, die katastrophale Auswirkungen auf das Geschäft haben können. Im aktuellen „Unit 42 Cloud Threat Report 2H 2021“ tauchen die IT-Sicherheitsforscher von Palo Alto Networks in das volle Ausmaß von Supply-Chain-Angriffen in der Cloud ein.
Die Forscher von Palo Alto Networks haben laut eigenen Angaben Daten aus einer Vielzahl von öffentlichen Datenquellen auf der ganzen Welt analysiert. Ziel war es, Schlussfolgerungen zu den wachsenden Bedrohungen zu ziehen, denen Unternehmen in ihren Softwarelieferketten ausgesetzt sind. Die Analyse ergab unter anderem, dass 63 Prozent der Code-Templates von Drittanbietern, die beim Aufbau von Cloud-Infrastrukturen in Verwendung sind, unsichere Konfigurationen enthalten. 96 Prozent der Container-Anwendungen von Drittanbietern, die in der Cloud-Infrastruktur zum Einsatz kommen, enthalten zudem bekannte Schwachstellen. Zusätzlich zur Datenanalyse hat ein SaaS-Anbieter (und zugleich Kunde von Palo Alto) die Forscher beauftragt, eine Red-Team-Übung gegen dessen eigene Softwareentwicklungsumgebung durchzuführen. Ein einziger Forscher habe in drei Tagen bereits kritische Fehler in der Softwareentwicklung entdeckt.
Für die Forscher stellte sich unter anderem heraus, dass sich schlechte Hygiene in der Lieferkette auf die Cloud-Infrastruktur auswirkt. Der Kunde, dessen Entwicklungsumgebung man im Rahmen der Red-Team-Übung getestet hat, verfügt über ein gängiges Cloud-Sicherheitskonzept, wie es die meisten Unternehmen als ausgereift betrachten würden. Die Entwicklungsumgebung enthielt jedoch mehrere kritische Fehlkonfigurationen und Schwachstellen, die es dem Team von Unit 42 ermöglichten, die Cloud-Infrastruktur innerhalb weniger Tage zu übernehmen.
Es kristallisierte sich außerdem heraus, dass Code von Drittanbietern oft nicht sicher ist. Bei den meisten Angriffen auf die Lieferkette kompromittiert ein Angreifer einen Anbieter und fügt bösartigen Code in die verwendete Software ein. Die Cloud-Infrastruktur kann einem ähnlichen Ansatz zum Opfer fallen, bei dem ungeprüfter Code von Drittanbietern Sicherheitslücken einführen und Angreifern Zugang zu sensiblen Daten in der Cloud-Umgebung verschaffen könnte. Wenn Unternehmen ihre Quellen nicht überprüfen, kann der Code von Drittanbietern jeden Ursprung haben, auch eine Advanced Persistent Threat (APT).
Zudem erkannten die Forscher, dass Unternehmen die Sicherheit schon früher im Softwareentwicklungsprozess berücksichtigen sollten. Teams vernachlässigen nach wie vor die DevOps-Sicherheit, was zum Teil darauf zurückzuführen ist, dass sie den Bedrohungen in der Lieferkette keine Aufmerksamkeit schenken. Cloud-native Anwendungen haben eine lange Kette von Abhängigkeiten, und diese Abhängigkeiten haben wiederum ihre eigenen. DevOps- und Sicherheitsteams müssen sich einen Überblick über die Stückliste jedes Cloud-Workloads verschaffen, um das Risiko auf jeder Stufe der Abhängigkeitskette zu bewerten und Leitplanken zu setzen.
Lesen Sie mehr zum Thema
