2022年3月14日���,北京——為了應對迅速增加的軟件供應鏈攻擊,全球網(wǎng)絡安全領導企業(yè) Palo Alto Networks(派拓網(wǎng)絡)近日推出Prisma Cloud 供應鏈安全功能(Supply Chain Security)��,為企業(yè)提供軟件供應鏈潛在漏洞或錯誤配置的完整視圖��,助其快速追蹤問題源頭并修復漏洞��。如果未迅速修復����,或未在編碼過程中及時避免,攻擊者就可能會通過這些漏洞滲透到系統(tǒng)中���,在整個企業(yè)的軟件中傳播惡意負載并訪問敏感數(shù)據(jù)����。
根據(jù)Gartner預測��,“到2025年�,全球45%的企業(yè)將遭遇軟件供應鏈攻擊,比2021年增長三倍?���!?Unit 42的云威脅報告還指出,訪問硬編碼憑證導致了橫向移動和持續(xù)集成/持續(xù)交付 (CI/CD) 流水線“中毒”��。
目前的許多解決方案只提供代碼或云端資源層的漏洞和錯誤配置信息���。而作為領先的云原生安全解決方案和最完整的云原生應用保護平臺(CNAPP)�,Prisma Cloud憑借供應鏈安全功能不僅提供全生命周期可見性和保護�����,還能提供云架構各層中的漏洞位置���。
Palo Alto Networks(派拓網(wǎng)絡)Prisma Cloud產(chǎn)品高級副總裁Ankur Shah表示:“開源軟件和其他軟件組件每天都會出現(xiàn)新漏洞�����,而由于這些組件已經(jīng)被集成到企業(yè)的軟件代碼中���,如果沒有合適的工具����,企業(yè)很難迅速發(fā)現(xiàn)他們在哪里使用了這些組件的未修補版本�。開發(fā)Prisma Cloud是為了給企業(yè)提供從代碼到云端的全面保護�,幫助客戶實現(xiàn)軟件供應鏈可視化,在開發(fā)伊始和交付過程中更容易��、及時地鎖定并修復安全漏洞��?�!?/p>
Prisma Cloud供應鏈安全功能提供了一個全棧�、全生命周期的方法來保護構成和交付云原生應用的互連組件�。它可以幫助識別代碼中的漏洞和錯誤配置,包括開源包����、基礎架構即代碼(IaC)文件和交付流水線,例如版本控制系統(tǒng)(VCS)�、CI流水線配置等。其包含以下功能:
自動檢測:使用現(xiàn)有的云代碼安全掃描器對代碼資產(chǎn)進行提取和建模�����。圖形可視化:通過簡單���、完整的關鍵應用和基礎架構資產(chǎn)依賴項清單�����,了解整個攻擊面的弱點����。供應鏈代碼修復:使用單個合并的拉取請求修復易受攻擊的依賴項或配置錯誤的IaC資源����。代碼庫掃描:識別并修復應用程序代碼中的開源包漏洞�����。分支保護規(guī)則:通過Checkov擴展策略即代碼以強化VCS和CI/CD配置,阻止代碼篡改攻擊����。
憑借這些功能���,企業(yè)可以更好地評估其交付流水線以及所有互連應用和基礎架構資源的受攻擊面�����,從而更加有效地防止供應鏈攻擊��。在零信任架構中采用Prisma Cloud供應鏈安全功能是企業(yè)規(guī)避軟件供應鏈攻擊的最佳方式之一���。
ESG應用和云安全高級分析師Melinda Marks表示:“一個創(chuàng)造大量開源軟件的繁榮社區(qū)能夠幫助開發(fā)者加快他們的編碼和產(chǎn)品交付���,但如果無法確保代碼安全,就會擴大受攻擊面�。Prisma Cloud的優(yōu)勢能夠幫助開發(fā)運維和安全團隊充分了解他們的軟件供應鏈,使他們能夠識別和修復編碼漏洞�,確保云原生應用的安全���?!?/p>
-完-
關于Palo Alto Networks(派拓網(wǎng)絡)
作為全球網(wǎng)絡安全領導企業(yè)�,Palo Alto Networks(派拓網(wǎng)絡)正借助其先進技術重塑著以云為中心的未來社會�����,改變著人類和組織運作的方式���。我們的使命是成為首選網(wǎng)絡安全伙伴���,保護人們的數(shù)字生活方式����。借助我們在人工智能�、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破�����,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)��。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長��,我們始終站在安全前沿����,在云、網(wǎng)絡以及移動設備方面為數(shù)以萬計的組織保駕護航����。我們的愿景是構建一個日益安全的世界。
