全文共1026字,阅读大约需2分钟。
近年来,供应链安全导致的勒索、数据泄露事件频发。2023年5月27日,俄罗斯勒索软件组织CL0P利用MOVEit transfer漏洞对全球各大企业发起大规模软件供应链攻击。MOVEit transfer是一款连接企业与云服务的重要工具,它能够确保数据在云环境中传输的安全和高效。此次事件深刻反映出了云服务供应链安全的重要性,连接云服务的第三方供应链安全也应得到足够多的重视。
云计算敏捷、弹性的特性促使企业纷纷上云,这使得云应用自身的开发、部署也逐渐遵循开发运营一体化(DevOps)的原则。一方面云计算为DevOps提供了灵活、可扩展的基础设施和服务支持。另一方面,DevOps也通过自动化的持续集成、持续部署,更好地适应云计算的快速、灵活和弹性的特点,加速了云计算的落地与实践。DevOps组件作为连接云服务的重要供应链,其安全性意义重大。
绿盟科技对DevOps流水线8个阶段的常用的工具(Confluence、Gitlab、Harbor、Sonarqube、Jenkins、Docker、Kubernetes及Prometheus)在互联网中的暴露及风险情况进行了测绘。结果表明:互联网中存在大量本不应该暴露的DevOps组件,且部分组件仍存在N Day漏洞。这类风险容易被黑客利用,可能导致无法估量的安全事件发生。本文将对《2023公有云安全风险分析报告》中连接云服务的第三方供应链安全风险章节进行解读。
DevOps组件暴露面分析
本报告对所研究组件的在互联网中的暴露情况进行了分析。图1展示了这些组件的暴露情况。其中,暴露数量前三的组件分别为Jenkins、Gitlab及Prometheus,暴露数量分别为63579个、41441个及37218个。
图1 DevOps组件暴露情况
图2展示互联网暴露组件的地区分布情况。其中,暴露DevOps组件数量排名前十地区分别是美国、中国、德国、印度、法国、新加坡、俄罗斯、英国、爱尔兰及韩国,暴露数量分别为54452个、45960个、22673个、8390个、7858个、7156个、6870个、5962个、5836个及5823个。
图2 暴露DevOps组件地区分布情况
DevOps组件攻击面分析
本报告我们也对互联网中暴露DevOps组件的攻击面进行了分析。图3展示了暴露的DevOps组件存在N Day漏洞的情况,约有45%的暴露DevOps不同程度存在N Day漏洞。这些N Day漏洞增加了DevOps流水线的攻击面,会带来严重的安全风险。
图3 暴露DevOps组件的漏洞情况
图4展示了含有N Day漏洞的组件分布情况。其中,含有N Day数量排名前三的组件分别是Gitlab、Jenkins及Confluence,暴露数量分别为32195个、25360个及21117个。
图4 含有漏洞的DevOps组件分布情况
DevOps倡导的持续集成和持续部署与云计算所倡导的敏捷、弹性、自动化不谋而合。DevOps作为连接云的重要“供应链”,它的任一环节的风险都可能给上游的云计算环境造成服务中断、数据泄露、投毒、勒索攻击等安全事件。因此,DevOps组件的风险不容小觑,DevOps的安全实践变得极其重要。用户应遵循相关等保要求,按照最佳实践进行组件配置,来减少组件的暴露面,降低组件的攻击面。
点击“阅读原文”查看报告完整版