Biztonság a felhőszolgáltatásokban
A Paloalto Unit42 csapata különböző nyilvános forrásból származó adatok alapján vizsgálta a szoftver ellátási lánc fenyegetéseit. Az elemzések alapján a harmadik féltől származó kódsablonok 63%-a nem biztonságos konfigurációkat, továbbá a harmadik féltől származó konténeralkalmazások 96%-a ismert sebezhetőséget tartalmazott.
Az adatok elemzésével egy meg nem nevezett nagy SaaS (Software as a Service) szolgáltató bízta meg a céget, hogy szerződött támadóként (Red Team) vizsgálják meg a szolgáltatásaikat. A Unit42 csapata három nap alatt képes volt arra, hogy olyan jellegű támadásokat hajtson végre, mint a SolarWinds , vagy a Kaseya VSA és átvegye az irányítást a felhőszolgáltatás felett.
A Unit42 arra hívja fel a figyelmet, hogy az ellátási lánc támadások során a beszállító egy sérülékeny pont, ha őt éri a szoftverfejlesztés során támadás, akkor azt az ügyfél kódjába és rendszerébe is bekerül. A felhőszolgáltatások ugyanígy válhatnak áldozattá, egy ellenőrizetlen, harmadik féltől származó kód biztonsági hibákat okozhat, amit előbb-utóbb ki is használnak. Ezért fontos, hogy kódszinten ellenőrízezzenek minden fejlesztést.