Starke Angriffe auf Software-Lieferketten

Cyberangriffe auf die Softwarelieferkette wie im Falle von SolarWinds und Kaseya VSA waren in diesem Jahr in den Schlagzeilen. Sie haben die Diskrepanz zwischen der Wahrnehmung der Sicherheit innerhalb der Cloudinfrastruktur von Unternehmen und der Realität der Bedrohungen in ihren Lieferketten verdeutlicht, die katastrophale Auswirkungen auf das Geschäft haben können.

Im neuen Unit 42 Cloud Threat Report 2H 2021 tauchen die IT-Sicherheitsforscher Palo Alto Networks tief in das volle Ausmaß von Supply-Chain-Angriffen in der Cloud ein und erläutern oft missverstandene Details darüber, wie diese Angriffe auftreten. Außerdem geben sie Empfehlungen, die jedes Unternehmen sofort umsetzen kann, um seine Softwarelieferketten in der Cloud zu schützen.

Wie die Studie durchgeführt wurde

Die Experten von Palo Alto Networks haben Daten aus einer Vielzahl von öffentlichen Datenquellen auf der ganzen Welt analysiert. Ziel war es, Schlussfolgerungen zu den wachsenden Bedrohungen zu ziehen, denen Unternehmen heute in ihren Softwarelieferketten ausgesetzt sind. Die Analyse ergab Folgendes:

• 63 Prozent der Code-Templates von Drittanbietern, die beim Aufbau von Cloud-Infrastrukturen verwendet werden, enthalten unsichere Konfigurationen.
• 96 Prozent der Containeranwendungen von Drittanbietern, die in der Cloudinfrastruktur eingesetzt werden, enthalten bekannte Schwachstellen.

Zusätzlich zur Datenanalyse wurden die Forscher von einem großen SaaS-Anbieter (einem Kunden von Palo Alto Networks) beauftragt, eine Red-Team-Übung gegen dessen eigene Softwareentwicklungsumgebung durchzuführen. In nur drei Tagen entdeckte ein einziger Forscher bereits kritische Fehler in der Softwareentwicklung, die den Kunden für einen ähnlichen Angriff wie auf SolarWinds und Kaseya VSA anfällig machen.

Wichtige Erkenntnisse

1. Schlechte Hygiene in der Lieferkette wirkt sich auf die Cloudinfrastruktur aus

Der Kunde, dessen Entwicklungsumgebung im Rahmen der Red-Team-Übung getestet wurde, verfügt über ein gängiges Cloudsicherheitskonzept, wie es die meisten Unternehmen als ausgereift betrachten würden. Die Entwicklungsumgebung enthielt jedoch mehrere kritische Fehlkonfigurationen und Schwachstellen, die es dem Team von Unit 42 ermöglichten, die Cloudinfrastruktur des Kunden innerhalb weniger Tage zu übernehmen.

1. Code von Drittanbietern ist nicht sicher

Bei den meisten Angriffen auf die Lieferkette kompromittiert ein Angreifer einen Anbieter und fügt bösartigen Code in die von den Kunden verwendete Software ein. Die Cloudinfrastruktur kann einem ähnlichen Ansatz zum Opfer fallen, bei dem ungeprüfter Code von Drittanbietern Sicherheitslücken einführen und Angreifern Zugang zu sensiblen Daten in der Cloudumgebung verschaffen könnte. Wenn Unternehmen ihre Quellen nicht überprüfen, kann der Code von Drittanbietern jeden Ursprung haben, auch eine Advanced Persistent Threat (APT).

 Unternehmen müssen die Sicherheit nach links verlagern

Teams vernachlässigen nach wie vor die DevOps-Sicherheit, was zum Teil darauf zurückzuführen ist, dass sie den Bedrohungen in der Lieferkette keine Aufmerksamkeit schenken. Cloud-native Anwendungen haben eine lange Kette von Abhängigkeiten, und diese Abhängigkeiten haben wiederum ihre eigenen Abhängigkeiten. DevOps- und Sicherheitsteams müssen sich einen Überblick über die Stückliste jedes Cloud-Workloads verschaffen, um das Risiko auf jeder Stufe der Abhängigkeitskette zu bewerten und Leitplanken zu setzen.

1. Die Softwarelieferkette in der Cloud gilt es zu schützen

Während der Bericht wichtige Erkenntnisse über Angriffe auf die Softwarelieferkette selbst enthält, liegt der Schwerpunkt darauf, wie sich Unternehmen ab sofort vor dieser wachsenden Bedrohung schützen können.

Der Unit 42 Cloud Threat Report 2H 2021 steht zum Download kostenlos zur Verfügung. Er zeigt, wie gängige Probleme in der Lieferkette die Sicherheit in der Cloud untergraben und was Unternehmen tun können, um Vertrauen in ihre Lieferkette zu gewinnen.