Prisma Cloud: La Sicurezza della Supply Chain Riduce la Complessità e il Rischio – Palo Alto Networks

Le supply chain cloud native sono state ottimizzate per soddisfare le esigenze di velocità e innovazione DevOps.

In genere sono costituite da container e IaC – Insfrastructure-as-Code con dipendenze open source per accelerare l’innovazione e una pipeline CI/CD per automatizzare la delivery di nuove funzionalità.

Con il nuovo rilascio di Prisma Cloud, Palo Alto Networks fornisce un inventario automatico e una visione completa della tua supply chain cloud nativa.

Ciò fornisce una rapida visibilità sul “bill of material” del software, sulle connessioni tra i componenti e sulle pipeline di codice che costituiscono le applicazioni native del cloud.

I software delle supply chain hanno accesso diretto al codice proprietario e sono a pochi pivot di distanza dagli ambienti di produzione e dai dati sensibili, diventando così sempre più bersaglio di attacchi.

Gartner ha previsto che:

"Entro il 2025, il 45% delle organizzazioni in tutto il mondo avrà subìto attacchi alle proprie catene di fornitura di software, un triplo rispetto al 2021".

Le organizzazioni devono prepararsi a questi attacchi da ogni angolazione.

I Rischi Legati alle Supply Chain del Software

Le supply chain sono costituite da due elementi primari: i vari componenti dell’applicazione e dell’infrastruttura che costituiscono le applicazioni cloud native e la pipeline che crea e distribuisce questi componenti in un ambiente applicativo funzionante.

Entrambi i componenti sono possibili bersagli da parte dei criminali informatici che tentano di modificare il codice per installare cryptominer o per impossessarsi di dati sensibili.

Nel recente report “Cloud Threat” della Unit 42 di Palo Alto Networks, il team ha condotto un esercizio contro la supply chain di un software e lo studio sulla posizione del codice open source.

Hanno scoperto che l’accesso a credenziali eccessivamente permissive ha aperto la porta al movimento laterale e alla compromissione della continuous integration (CI) della pipeline.

Ciò evidenzia quanto possa essere facile per gli aggressori accedere ad una pipeline per modificare il codice.

Come parte dello stesso report, la scansione di componenti open source attraverso i repository e i registri ha rilevato che uno scioccante 64% dei moduli Terraform conteneva almeno una configurazione errata o critica e il 91% delle immagini del container conteneva una vulnerabilità di gravità elevata o critica.

Se uno qualsiasi di questi componenti open source fosse incluso in un’applicazione, aumenterebbe la superficie di attacco per i criminali informatici.

Principi di Sicurezza della Supply Chain

La protezione da questi attacchi richiede uno stack e un approccio completi del ciclo di vita per proteggere le pipeline.

Prisma Cloud fornisce già una sicurezza completa per le supply chain cloud native. Adesso, la soluzione effettua anche l’inventario e consente la visualizzazione dei componenti della supply chain delle applicazioni.

Visibilità all’Interno della Supply Chain | Prisma Cloud

Con questa visibilità, DevOps e team di sicurezza allo stesso modo avranno una migliore comprensione di tutti i componenti delle loro applicazioni e di come migliorare la loro posizione.

Per ogni componente di questa supply chain del software nella nuova visualizzazione, Prisma Cloud fornisce protezione dal codice al cloud.

Codice

Una supply chain sicura inizia con componenti open source sicuri. I componenti open source costituiscono la maggior parte delle applicazioni moderne; tuttavia, la maggior parte contiene alcune vulnerabilità.

Prisma Cloud identifica già le vulnerabilità e le configurazioni errate nei pacchetti di repository e nei file IaC in locale tramite le integrazioni dell'ambiente di sviluppo integrato (IDE) e gli strumenti Command Line Interface (CLI) forniti da Bridgecrew.

Per molti problemi di sicurezza identificati, Prisma Cloud fornisce suggerimenti di correzione per consentire agli sviluppatori di proteggere il proprio codice.

Input di codice controllati per violazioni delle policy negli ambienti IDE

Prima di estrarre qualsiasi immagine da un registro pubblico che potrebbe contenere malware, Prisma Cloud include la tecnologia sandbox del container per controllare le immagini prima dell'uso.

Questi strumenti in combinazione aiutano a garantire che i componenti che compongono un'applicazione siano il più sicuri possibile prima di lasciare il desktop dello sviluppatore.

Inoltre, è fin troppo facile includere un segreto come una chiave API nel tuo ambiente di sviluppo e inserirlo erroneamente in un repository, esponendo la tua organizzazione ad attacchi. Prisma Cloud include controlli per identificare i segreti per prevenire l'esposizione.

Sviluppo

In questa fase, la sicurezza della supply chain del software si espande oltre i componenti per includere la pipeline.

Le integrazioni di Prisma Cloud con i sistemi di controllo della versione (VCS) e le pipeline CI/CD includono controlli e guardrail per garantire che solo il codice sicuro sia integrato nei repository e che le immagini del container sicuro vengano inserite in registri affidabili.

Inoltre, Prisma Cloud verifica l'integrità delle pipeline VCS e CI/CD e garantisce che siano in atto protezioni di filiale corrette per prevenire attacchi di manomissione del codice.

Le pipeline autorizzate a distribuire l'infrastruttura per il test e l'automazione possono essere limitate alle autorizzazioni minime richieste per svolgere le proprie attività.

Estrazione dei commenti della richiesta che segnalano problemi nelle filiali.

Deploy

Nella fase di deploy, una supply chain sicura avrà un gate finale per l'ammissione in un ambiente funzionante.

Qui il controller di ammissione di Prisma Cloud e l'integrazione con tecnologie cloud native come Open Policy Agent (OPA) possono essere l'ultima linea di difesa per prevenire configurazioni non sicure.

Inoltre, Prisma Cloud può imporre che solo le immagini attendibili vengano ritirate dai registri nella produzione. Questo previene gli attacchi di compromissione di immagini.

L'integrazione con OPA impedisce la distribuzione di container configurati in modo errato

Esecuzione

Nella fase di esecuzione, tutti questi componenti devono essere continuamente monitorati per individuare nuove configurazioni errate e vulnerabilità.

Prisma Cloud fornisce un rapido ciclo di feedback per fornire rapidamente scoperte di vulnerabilità e indicazioni per la correzione per tornare rapidamente al codice e correggere le dipendenze.

Inoltre, anche con l'approccio più proattivo alla sicurezza, è comunque necessaria la sicurezza di runtime per identificare zero-day e minacce.

Una Piattaforma per la Sicurezza della Supply Chain

Le ottimizzazioni della piattaforma Prisma Cloud offrono una visibilità complessiva sulla posizione della supply chain del software. Questo, in combinazione con i controlli di conformità e vulnerabilità di Prisma Cloud, assicurano che i componenti che delle tue applicazioni e la pipeline che le assembla siano sicuri.

Se vuoi iniziare a proteggere la supply chain del software in maniera completa, richiedi una prova di Prisma Cloud, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.

Visita il nostro sito per scoprire di più sulle soluzioni per la sicurezza della tua azienda di Palo Alto Networks; in alternativa, puoi compilare il form sottostante con la tua domanda.