IT bezpečnost v roce 2023: Problematika multicloudů a supply chain attack

Většina moderních aplikací běží v cloudu, některé dokonce ve více cloudech, a využívá technologie kontejnerů. Taková aplikace sestává z mnoha částí – vlastního kódu aplikace, závislého kódu či knihoven, image v kontejnerech, webAPI a cloudové infrastruktury, která se v detailech často podstatně liší dle poskytovatele cloudu.

Je proto velmi těžké podobné aplikace zabezpečit. Společnost vyvíjející takovou aplikaci je závislá na dalších článcích řetězu a jak říká jedno z bezpečnostních pravidel: „Bezpečnost je tak silná, jak silný je nejslabší článek v celkovém řetězu“.

Klasické bezpečnostní nástroje neumí takovou aplikaci uchopit jako celek. Jejich použití vede ke vzniku různých seznamů bezpečnostních nedostatků, které je ale nutné korelovat a prioritizovat. To ale není vůbec jednoduchý úkol. Zejména když k tomu připočteme obecný nedostatek znalých lidí a nemožnost do hloubky obsáhnout všechny výše zmíněné technologie jedním člověkem, což řada společností ignoruje, když poptává experty s požadavky na znalosti na několik stran, nemluvě o nabízeném finančním ohodnocení.

Jak bylo řečeno výše, každá moderní aplikace, i komerční, používá open-source závislý kód nebo knihovny. Důvod je logický – proč programovat něco, když to někdo již udělal – a nedosáhnout výsledku rychleji? Z pohledu bezpečnosti ale takové rozhodnutí skrývá velké riziko – zavlečení chyb anebo rovnou malwaru do kódu aplikace. A pokud je taková aplikace nasazena do provozu, riziko se šíří dále. Pro útočníka je to velmi pohodlné – nenese žádné riziko a výsledky má zadarmo. Reputační riziko poškození dobrého jména a ztráta byznysu zůstanou jako bonus společnosti, která takovou aplikaci vyvinula. Tomuto typu útoku se anglický říká „supply chain attack“ a tento útok zažil v roce 2021 nárůst o enormních 650 %.

Autor: Miroslav Lang, security coach and advisor, Y Soft