Angriffe auf die Software-Lieferketten in der Cloud verschärfen Bedrohungslage für Unternehmen

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsanbieter Palo Alto Networks hat vor Ende letzten Monats seinen Unit 42 Cloud Threat Report 2H 2021 präsentiert. Das Ergebnis lautet, dass Angriffe auf die Software-Lieferketten in der Cloud die Bedrohungslage für Unternehmen verschärfen. Dazu haben die Experten von Palo Alto Networks haben Daten aus einer Vielzahl von öffentlichen Datenquellen auf der ganzen Welt analysiert.


Anzeige

Cyberangriffe auf die Softwarelieferkette wie im Falle von SolarWinds und Kaseya VSA waren in diesem Jahr in den Schlagzeilen. Sie haben die Diskrepanz zwischen der Wahrnehmung der Sicherheit innerhalb der Cloud-Infrastruktur von Unternehmen und der Realität der Bedrohungen in ihren Lieferketten verdeutlicht, die katastrophale Auswirkungen auf das Geschäft haben können.

Im neuen Unit 42 Cloud Threat Report 2H 2021 tauchen die IT-Sicherheitsforscher Palo Alto Networks tief in das volle Ausmaß von Supply-Chain-Angriffen in der Cloud ein und erläutern oft missverstandene Details darüber, wie diese Angriffe auftreten. Außerdem geben sie Empfehlungen, die jedes Unternehmen sofort umsetzen kann, um seine Softwarelieferketten in der Cloud zu schützen.

 

Wie die Studie durchgeführt wurde

Die Experten von Palo Alto Networks haben Daten aus einer Vielzahl von öffentlichen Datenquellen auf der ganzen Welt analysiert. Ziel war es, Schlussfolgerungen zu den wachsenden Bedrohungen zu ziehen, denen Unternehmen heute in ihren Softwarelieferketten ausgesetzt sind. Die Analyse ergab Folgendes:

  • 63 Prozent der Code-Templates von Drittanbietern, die beim Aufbau von Cloud-Infrastrukturen verwendet werden, enthalten unsichere Konfigurationen.
  • 96 Prozent der Containeranwendungen von Drittanbietern, die in der Cloud-Infrastruktur eingesetzt werden, enthalten bekannte Schwachstellen.

Zusätzlich zur Datenanalyse wurden die Forscher von einem großen SaaS-Anbieter (einem Kunden von Palo Alto Networks) beauftragt, eine Red-Team-Übung gegen dessen eigene Softwareentwicklungsumgebung durchzuführen. In nur drei Tagen entdeckte ein einziger Forscher bereits kritische Fehler in der Softwareentwicklung, die den Kunden für einen ähnlichen Angriff wie auf SolarWinds und Kaseya VSA anfällig machen.

Wichtige Erkenntnisse

 

Schlechte Hygiene in der Lieferkette wirkt sich auf die Cloudinfrastruktur aus

Der Kunde, dessen Entwicklungsumgebung im Rahmen der Red-Team-Übung getestet wurde, verfügt über ein gängiges Cloudsicherheitskonzept, wie es die meisten Unternehmen als ausgereift betrachten würden. Die Entwicklungsumgebung enthielt jedoch mehrere kritische Fehlkonfigurationen und Schwachstellen, die es dem Team von Unit 42 ermöglichten, die Cloudinfrastruktur des Kunden innerhalb weniger Tage zu übernehmen.

Code von Drittanbietern ist nicht sicher

Bei den meisten Angriffen auf die Lieferkette kompromittiert ein Angreifer einen Anbieter und fügt bösartigen Code in die von den Kunden verwendete Software ein. Die Cloudinfrastruktur kann einem ähnlichen Ansatz zum Opfer fallen, bei dem ungeprüfter Code von Drittanbietern Sicherheitslücken einführen und Angreifern Zugang zu sensiblen Daten in der Cloudumgebung verschaffen könnte. Wenn Unternehmen ihre Quellen nicht überprüfen, kann der Code von Drittanbietern jeden Ursprung haben, auch eine Advanced Persistent Threat (APT).


Anzeige

 

Unternehmen müssen die Sicherheit nach links verlagern

Teams vernachlässigen nach wie vor die DevOps-Sicherheit, was zum Teil darauf zurückzuführen ist, dass sie den Bedrohungen in der Lieferkette keine Aufmerksamkeit schenken. Cloud-native Anwendungen haben eine lange Kette von Abhängigkeiten, und diese Abhängigkeiten haben wiederum ihre eigenen Abhängigkeiten. DevOps- und Sicherheitsteams müssen sich einen Überblick über die Stückliste jedes Cloud-Workloads verschaffen, um das Risiko auf jeder Stufe der Abhängigkeitskette zu bewerten und Leitplanken zu setzen.

Die Softwarelieferkette in der Cloud gilt es zu schützen

Während der Bericht wichtige Erkenntnisse über Angriffe auf die Softwarelieferkette selbst enthält, liegt der Schwerpunkt darauf, wie sich Unternehmen ab sofort vor dieser wachsenden Bedrohung schützen können. Der Unit 42 Cloud Threat Report 2H 2021 steht zum Download kostenlos zur Verfügung (erfordert eine Registrierung mit Namen und E-Mail-Adresse). Er zeigt, wie gängige Probleme in der Lieferkette die Sicherheit in der Cloud untergraben und was Unternehmen tun können, um Vertrauen in ihre Lieferkette zu gewinnen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Angriffe auf die Software-Lieferketten in der Cloud verschärfen Bedrohungslage für Unternehmen

  1. Max sagt:

    Der "Schutz" in der Lieferkette besteht einzig und allein im blinden Vertrauen. Das liegt darin, dass die Frameworks und sonstige Bibliotheken übernommen werden, ohne deren Quellcode sie nicht mal im Detail kennen. Es sind eben "branchentypische" oder "marktetablierte" Lösungen. Werden diese "Bausteine" nicht gepflegt, so werden die Sicherheitslücken mehr oder weniger vererbt und keiner bekommt davon etwas mit. Wobei: Spätestens nach dem Sicherheitsvorfall geht die Suche nach der Quelle los.

    Letztendlich gleicht die Softwareentwicklung schon lange die der Webentwicklung, in der die Referenzen das Ergebnis aus zusammengeklickten "Bausteinen" ist. Diese "Arbeit" hat nur noch einen Bruchteil an Eigenleistung zu bieten, etwa, wenn Sonderwünsche der Kunden entwickelt werden, wofür es noch keine gängigen Produkte am Markt gibt.

    Da reicht im World Wide Web schon das Fundament namens CMS, sofern eine Website hierüber gepflegt wird, dass mit "Plugins" von Dritten "vernagelt" werden muss, um auf Grund der Vielzahl von "WordPress Security Guidelines" als halbwegs "sicher" zu gelten.

    Grundsätzlich gilt: 100-prozentige Sicherheit gibt es nicht. Auch nicht bei Software.

    • Luzifer sagt:

      richtig 100% Sicherheit ist Illusion, aber es würde schon reichen wenn in der Softwarebranche ebenso eine Produkthaftung gelten würde.
      Ich habe meine eigene Firma: Bereich Fabrikautomatisierung und Robotik, da kann ich mich auch nicht rausreden, wenn durch eine meiner Maschinen ein Schaden entsteht hafte ich, geht es dabei um Menschenleben stehe ich mit einem Fuß im Knast … nur die Softwarebranche die kann einfach machen was sie will, ist eben Pech wenn da was schief geht.

      Das muss sich ändern!

      • Max sagt:

        Ich bin da ganz bei dir. Die Featuritis ist in der Web- und Softwareentwicklung gleich. Die Bibliotheken werden mit Funktionen ausgestattet, die nur ein Bruchteil der Endkunden tatsächlich braucht.

        Man findet genug Websites, die noch mit uralten jQuery-Bibliotheken oder APIs à la Google Maps arbeiten. Über deren Quellcode oder Pflege machen sich nur wenige Gedanken. Das interessiert nicht mal namhafte Werbeagenturen.

  2. 1ST1 sagt:

    Hier ist wieder ein hübsches Beispiel, sogar Windows/Linux/Mac/… übergreifend… https://www.securityweek.com/critical-severity-warning-malware-embedded-popular-javascript-library

Schreibe einen Kommentar zu Max Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.