Palo Alto Networks rät zur Absicherung der Software Supply Chain
Schwachstelle Software-Lieferkette
Die Supply Chain der Softwareentwicklung hat sich in den vergangenen Monaten mehrfach als fatale Schwachstelle erwiesen, mahnt Palo Alto Networks. Der US-amerikanische Security-Anbieter rät deshalb zu einer umfassenden Absicherung der Software-Lieferkette.
Palo Alto Networks vergleicht die Lieferkette für die Softwareentwicklung mit jener für Weizen: Bei der einen ist das Ziel ein bedenkenlos verzehrbares Brot, bei der anderen bedenkenlos nutzbare Applikationen. Beim Schutz der Softwareentwicklungs-Lieferkette gelte es, vier Aspekte zu beachten:
1. Woher kommen die Softwarekomponenten?
2. Haben die Softwarekomponenten Schwachstellen oder unsichere Konfigurationen?
3. Erfüllt die Software die Compliance-Anforderungen?
4. Wie setzt man einen Software-Governance-Prozess durch, ohne Prozesse auszubremsen?
Zur Durchsetzung dieser vier Schritte rät der Security-Spezialist zum Einsatz seines Angebots Prisma Cloud. Als cloudnative Sicherheitsplattform (CNSP) schütze Prisma Cloud IaaS-Umgebungen, Compute-Instanzen (Hosts, Container und Serverless), PaaS-Umgebungen, Netzwerk, Speicher und mehr in einer einzigen Plattform.
Prisma Cloud liefere gebündelte Informationen zu Images, damit Sicherheitsteams sehen können, welche Komponenten ihre Entwickler zur Erstellung von Anwendungen verwenden. Sie biete Schwachstellen-Scans für Container- und Serverless-Images in CI/CD-Umgebungen (Continuous Integration, Continuous Delivery) und in der Registry. So könne ein DevOps-Team Schwachstellen identifizieren und beseitigen, bevor diese Container- oder Serverless-Images in der Laufzeitumgebung zum Einsatz kommen.
Zum Funktionsumfang gehören laut Hersteller zudem Konfigurationsscans für IaC-Templates (Infrastructure as Code) wie HashiCorp Terraform, AWS CloudFormationTemplate, Kubernetes App-Manifest YAML) inklusive Support für Entwicklungsumgebungen wie IntelliJ oder VSCode, zudem für SCM-Tools (Software-Configuration-Management) wie GitHub und GitLab sowie für CI/CD-Tools wie AWS CodePipeline, Azure DevOps, GCP Cloud Build/Spinnaker, Jenkins und CircleCI.
Die Einbettung von Sicherheitsprüfungen in die CI/CD-Pipeline zu einem frühen Zeitpunkt ist laut Palo Alto Networks entscheidend für kleinere Angriffsflächen und kürzere Zeit bis zur Erkennung und Reaktion auf Ereignisse. IaC-Templates erleichtern die automatisierte Bereitstellung von Cloudressourcen, aber jede Unsicherheit in diesen Ressourcen erhöhe das Risiko. Prisma Cloud könne hier helfen, bekannte Schwachstellen in Betriebssystempaketen oder Container-Images zu erkennen, die gegen Compliance-Standards verstoßen.
Es gelte dabei, den Software-Governance-Prozess durchzusetzen, ohne die Prozesse auszubremsen. Hier rät Palo Alto Networks dazu, Warnmeldungen an Incident-Response- und Sicherheitsorchestrierungs-Tools wie das hauseigene Cortex Xsoar zu senden. Bei Cortex Xsoar seien Playbooks mit den Warnmeldungen verknüpft, um eine automatische Reaktion zu ermöglichen. Die SOAR-Lösung (Security Orchestration, Automation, and Response) konzentriere sich zunächst auf die wichtigsten Vorfälle, was einen Software-Governance-Prozess ohne Geschwindigkeitsverlust ermögliche. Ergänzend arbeite die hauseigene Next-Generation-Firewall der VM-Reihe mit Prisma Cloud zusammen, um Inline-Sicherheit mittels Sichtbarkeit, Schutz und Segmentierung von Cloud-Workloads zu erzielen.
Damit die Menschen ein gutes Brot genießen können, so, Palo Alto Networks, müsse die Lieferkette für Weizen genau überwacht werden, zudem müsse man sicherstellen, dass die relevanten Gesundheits- und Sicherheitsstandards eingehalten werden. Sollte eine Kontamination in die Weizenlieferkette gelangen und sollten die Standards nicht eingehalten werden, werden Gesundheits- und Regulierungsbehörden benachrichtigt. Auch bei der Lieferkette für die Softwareentwicklung sollte die Sicherheit für alle Entwickler-, DevOps- und Sicherheits-Teams eine hohe Priorität haben, mahnt der Security-Anbieter. Denn ein ausgeklügelter Angriff auf die Software-Lieferkette könne den Entwicklungsbetrieb schädigen oder stören. Dies wiederum könne massive finanzielle Strafen, unnötige Kosten, eine ineffiziente Softwarebereitstellung und den Diebstahl geistigen Eigentums zur Folge haben.
Weitere Informationen finden sich unter www.paloaltonetworks.com.
Lesen Sie mehr zum Thema
