A grande maioria dos códigos de terceiros usados na infraestrutura de nuvem contém vulnerabilidades e configurações incorretas, que podem deixar as organizações expostas a ataques, de acordo com a Palo Alto Networks. O Relatório de Ameaças em Nuvem elaborado pela Unit 42, equipe de inteligência em ameaças da fornecedora de soluções de segurança, referente ao segundo semestre do ano fiscal 2021, usou dados de várias fontes públicas para entender melhor a ameaça das cadeias de suprimentos de software em nuvem.
O estudo revela que 63% dos modelos de código de terceiros usados para construir a infraestrutura em nuvem contêm configurações inseguras, enquanto 96% dos aplicativos de contêiner de terceiros implantados na infraestrutura em nuvem contêm vulnerabilidades conhecidas.
O código de terceiros não testado pode introduzir vulnerabilidades e malware, inseridos propositalmente pelos operadores de ameaças. Um estudo da Sonatype do início deste mês revelou um aumento de 650% nos ataques à cadeia de suprimentos upstream dessa natureza.
Para destacar o tamanho do desafio, a Unit 42 analisou módulos públicos do Terraform e descobriu que mais de 2.500 estavam mal configurados em áreas como criptografia, registro, rede, backup e recuperação e gerenciamento de identidade e acesso.
Veja isso
Google libera ferramenta para checar contêineres
Imagens de contêineres espalharam 20 milhões de cryptojackers
“As equipes continuam a negligenciar a segurança do DevOps, em parte devido à falta de atenção às ameaças da cadeia de suprimentos. Os aplicativos nativos da nuvem têm uma longa cadeia de dependências e essas dependências têm suas próprias dependências”, explica a fornecedora. “DevOps e equipes de segurança precisam obter visibilidade da lista de materiais em cada carga de trabalho da nuvem para avaliar o risco em cada estágio da cadeia de dependência e estabelecer guarda-corpos.”
Além de sua análise de fontes de dados públicas, a Unit 42 foi recentemente recomendada por um cliente da Palo Alto Networks para executar um exercício de red team (que desempenha o papel de um operador de ameaça)em seu ambiente. O teste revelou falhas críticas em seus processos de desenvolvimento de software, o que expôs a empresa a ataques semelhantes aos da SolarWinds e Kaseya.
“O cliente cujo ambiente de desenvolvimento foi testado no exercício tem o que a maioria consideraria uma postura de segurança em nuvem madura”, afirma a fornecedora. “No entanto, seu ambiente de desenvolvimento continha várias configurações incorretas e vulnerabilidades críticas, permitindo que a equipe da Unit 42 assumisse a infraestrutura em nuvem do cliente em questão de dias.”