安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
云基础设施中大部分第三方代码和容器存在漏洞
2021-10-19 13:16:42 【

据Palo Alto Networks称,云基础设施中使用的绝大多数第三方代码都包含漏洞和配置错误,这可能会使组织面临攻击。

安全供应商的Unite 42云威胁报告2H 2021使用来自各种公共来源的数据来更好地了解来自云软件供应链的威胁。

调查显示,用于构建云基础设施的63%的第三方代码模板包含不安全配置,而部署在云基础设施中的96%的第三方容器应用程序包含已知漏洞。

未经审查的第三方代码可能会引入威胁参与者故意插入的漏洞和恶意软件。本月早些时候的一项Sonatype研究表明,这种性质的上游供应链攻击激增了650%。

为了突出这一挑战,第42单元分析了公共Terraform模块,发现2500多个模块在加密、日志记录、网络、备份和恢复以及身份和访问管理等领域配置错误。

“团队继续忽视DevOps的安全,部分原因是缺乏对供应链威胁的关注。云原生应用程序有一长串依赖项,这些依赖项有自己的依赖项,”供应商解释道。

“DevOps和安全团队需要了解每个云工作负载中的材料清单,以评估依赖链每个阶段的风险并建立护栏。”

除了分析公共数据源外,42单元最近还受帕洛阿尔托网络的SaaS客户委托,在其环境中进行红色团队演习。它揭示了其软件开发过程中的关键缺陷,这些缺陷使该公司面临类似于SolarWinds和Kaseya的攻击。

供应商声称:“在红色团队练习中测试开发环境的客户拥有大多数人会认为成熟的云安全姿势。”“然而,他们的开发环境包含几个严重的配置错误和漏洞,使Unit 42团队能够在几天内接管客户的云基础设施。”



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇网络安全风险管理介绍 下一篇影子IT的六个危害以及应对措施

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800