導(dǎo)讀:威脅建模可視化、代碼庫掃描和流水線配置分析幫助企業(yè)及時(shí)修復(fù)漏洞
2022年3月14日,北京——為了應(yīng)對迅速增加的軟件供應(yīng)鏈攻擊,全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè) Palo Alto Networks(派拓網(wǎng)絡(luò))近日推出Prisma Cloud 供應(yīng)鏈安全功能(Supply Chain Security),為企業(yè)提供軟件供應(yīng)鏈潛在漏洞或錯(cuò)誤配置的完整視圖,助其快速追蹤問題源頭并修復(fù)漏洞。如果未迅速修復(fù),或未在編碼過程中及時(shí)避免,攻擊者就可能會通過這些漏洞滲透到系統(tǒng)中,在整個(gè)企業(yè)的軟件中傳播惡意負(fù)載并訪問敏感數(shù)據(jù)。
根據(jù)Gartner預(yù)測,“到2025年,全球45%的企業(yè)將遭遇軟件供應(yīng)鏈攻擊,比2021年增長三倍?!?Unit 42的云威脅報(bào)告還指出,訪問硬編碼憑證導(dǎo)致了橫向移動和持續(xù)集成/持續(xù)交付 (CI/CD) 流水線“中毒”。
目前的許多解決方案只提供代碼或云端資源層的漏洞和錯(cuò)誤配置信息。而作為領(lǐng)先的云原生安全解決方案和最完整的云原生應(yīng)用保護(hù)平臺(CNAPP),Prisma Cloud憑借供應(yīng)鏈安全功能不僅提供全生命周期可見性和保護(hù),還能提供云架構(gòu)各層中的漏洞位置。
Palo Alto Networks(派拓網(wǎng)絡(luò))Prisma Cloud產(chǎn)品高級副總裁Ankur Shah表示:“開源軟件和其他軟件組件每天都會出現(xiàn)新漏洞,而由于這些組件已經(jīng)被集成到企業(yè)的軟件代碼中,如果沒有合適的工具,企業(yè)很難迅速發(fā)現(xiàn)他們在哪里使用了這些組件的未修補(bǔ)版本。開發(fā)Prisma Cloud是為了給企業(yè)提供從代碼到云端的全面保護(hù),幫助客戶實(shí)現(xiàn)軟件供應(yīng)鏈可視化,在開發(fā)伊始和交付過程中更容易、及時(shí)地鎖定并修復(fù)安全漏洞。”
Prisma Cloud供應(yīng)鏈安全功能提供了一個(gè)全棧、全生命周期的方法來保護(hù)構(gòu)成和交付云原生應(yīng)用的互連組件。它可以幫助識別代碼中的漏洞和錯(cuò)誤配置,包括開源包、基礎(chǔ)架構(gòu)即代碼(IaC)文件和交付流水線,例如版本控制系統(tǒng)(VCS)、CI流水線配置等。其包含以下功能:
自動檢測:使用現(xiàn)有的云代碼安全掃描器對代碼資產(chǎn)進(jìn)行提取和建模。圖形可視化:通過簡單、完整的關(guān)鍵應(yīng)用和基礎(chǔ)架構(gòu)資產(chǎn)依賴項(xiàng)清單,了解整個(gè)攻擊面的弱點(diǎn)。供應(yīng)鏈代碼修復(fù):使用單個(gè)合并的拉取請求修復(fù)易受攻擊的依賴項(xiàng)或配置錯(cuò)誤的IaC資源。代碼庫掃描:識別并修復(fù)應(yīng)用程序代碼中的開源包漏洞。分支保護(hù)規(guī)則:通過Checkov擴(kuò)展策略即代碼以強(qiáng)化VCS和CI/CD配置,阻止代碼篡改攻擊。
憑借這些功能,企業(yè)可以更好地評估其交付流水線以及所有互連應(yīng)用和基礎(chǔ)架構(gòu)資源的受攻擊面,從而更加有效地防止供應(yīng)鏈攻擊。在零信任架構(gòu)中采用Prisma Cloud供應(yīng)鏈安全功能是企業(yè)規(guī)避軟件供應(yīng)鏈攻擊的最佳方式之一。
ESG應(yīng)用和云安全高級分析師Melinda Marks表示:“一個(gè)創(chuàng)造大量開源軟件的繁榮社區(qū)能夠幫助開發(fā)者加快他們的編碼和產(chǎn)品交付,但如果無法確保代碼安全,就會擴(kuò)大受攻擊面。Prisma Cloud的優(yōu)勢能夠幫助開發(fā)運(yùn)維和安全團(tuán)隊(duì)充分了解他們的軟件供應(yīng)鏈,使他們能夠識別和修復(fù)編碼漏洞,確保云原生應(yīng)用的安全?!?/p>
-完-
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會,改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。