2021年10月19日，北京——SolarWinds和Kaseya等備受矚目的軟件供應鏈攻擊事件表明企業高估了其云基礎設施的安全性，這些供應鏈中的威脅可能對業務產生災難性影響。在PaloAltoNetworks（派拓網絡）安全咨詢部門Unit42發布的最新《2021年下半年云威脅報告》中，研究人員深入研究了云端供應鏈攻擊的范圍，并闡釋了其不為人知的細節，同時提出企業可實時采用的可行建議，以著手保護云端軟件供應鏈。

　　Unit42團隊分析了來自世界各地各種公開數據源的數據，得出企業在當今軟件供應鏈中面臨日益嚴峻威脅的結論。調查結果顯示，許多企業可能對云安全有錯誤的認知，實際上對面臨的威脅毫無準備。

　　除了分析數據外，Unit42的研究人員還受一家大型SaaS供應商（派拓網絡的客戶之一）委托，對其軟件開發環境進行紅隊演練。僅僅三天時間，Unit42研究人員就發現了軟件開發過程中的重大漏洞，足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。

　　主要發現

　　不安全的供應鏈危害云基礎設施

　　進行紅隊演練的大型SaaS供應商擁有許多人誤以為成熟的云安全態勢。然而，在演練期間，Unit42研究人員能夠利用企業軟件開發環境中的錯誤配置，例如硬編碼IAM密鑰對，控制整個開發流程，從而成功發動供應鏈攻擊。

　　此外，Unit42研究人員對客戶開發環境進行的安全掃描中，發現有21%的錯誤配置或漏洞，這凸顯出流程差距和重大安全漏洞使企業暴露于風險中，并容易受到業務中斷攻擊。

　　第三方代碼不可輕信

　　Unit42研究人員發現，63%用于構建云基礎設施的第三方代碼模板包含不安全的配置，96%部署在云基礎設施中的第三方容器型應用包含已知漏洞。此等風險讓攻擊者可以輕松訪問云端敏感數據，甚至控制企業的軟件開發環境。

　　Unit42團隊的調查結果明確顯示，未經審核的代碼會迅速演變成安全漏洞，尤其是基礎設施漏洞會直接影響成千上萬的云端工作負載。因此，企業必須了解其代碼來源，因為第三方代碼可以來自任何人，包括高級持續性威脅（APT）。

　　圖1.為了舉例證明錯誤配置普遍存在，Unit42研究人員按錯誤配置的數量（左）和錯誤配置的類型及其百分比（右）分析了公開Terraform模塊

　　來源：Unit42《2021年下半年云威脅報告》

　　結論：企業需要將安全方案加入到軟件開發的早期階段，即實現安全左移

　　團隊持續忽視DevOps的安全性，部分原因在于缺乏對供應鏈威脅的關注。云原生應用附有一連串的依賴關系，DevOps和安全團隊需要了解每個云端工作負載的物料清單（BOM），以便評估依賴關系鏈每個階段的風險并建立足夠的防護。

　　如欲詳細了解常見供應鏈問題如何破壞云安全，請瀏覽Unit42《2021年下半年云威脅報告》。