Seiring transformasi aplikasi ke cloud oleh berbagai perusahaan dan organisasi, ada sebuah celah yang berpotensi mendatangkan ancaman keamanan terhadap aset di cloud. Hal itu terungkap dalam Cloud Threat Report, 2H 2021 yang dirilis Unit 42.
Unit 42, sebuah tim cloud threat intelligence yang merupakan bagian dari Palo Alto Networks, melakukan red team exercise terhadap pipeline pengembangan software milik pelanggan. Hasilnya, Unit 42 yang bertindak sebagai malicious insider berhasil menginfiltrasi lingkungan pengembangan software si pelanggan.
Dalam uji ini, Unit 42 menemukan potensi advanced persistent threat (APT) melancarkan serangan seperti yang menimpa SolarWinds dan Kaseya beberapa waktu lalu. Serangan ini bertujuan menyerang aset-aset perusahaan di cloud dan bisa berdampak pada ribuan konsumen si pelanggan.
Yang mengejutkan dari serangan terhadap Kaseya dan SolarWinds adalah para penyerang tidak harus melakukan modifikasi terhadap source code repository untuk meretas lingkungan pengembangan software milik calon korbannya. Dari kasus SolarWinds terungkap bahwa para peretas memanfaatkan lingkungan pengembangan software yang sudah terotomatisasi.
“Cloud Threat Report, 2H 2021: Secure the Software Supply Chain to Secure the Cloud” dari Unit 42 ini menyoroti kesalahan konfigurasi (misconfiguration) dan kerentanan di pipe continuous integration & continuous delivery/deployment (CI/CD) dalam software development yang terotomatisasi.
Menurut Siddharth Deshpande, Field CTO, Palo Alto Networks, automasi berpotensi mengamplifikasi kerentanan dan kesalahan konfigurasi pada satu tahap ke tahap-tahap lainya dalam di supply chain pengembangan software. Rantai ketergantungan dalam tahap pengembangan aplikasi cloud-native menyebabkan infrastruktur cloud yang dibangun dengan infrastructure as a code (IaC) “mewarisi” banyak kesalahan konfigurasi dan kerentanan yang awalnya datang dari dependent packages seperti VPC network dan klaster Kubernetes.
Cloud Threat Report mengungkapkan, sebanyak 63 persen kode dari pihak ketiga yang digunakan untuk membangun infrastruktur cloud mengandung konfigurasi-konfigurasi yang tidak aman. Bahkan 96 persen dari aplikasi kontainer yang di-deploy di infrastruktur cloud “ditunggangi” known vulnerabilities (kerentanan yang sudah ditemukan di komponen open source dan sudah dipublikasikan). Sementara 99 persen Helm Chart mengandung satu atau lebih konfigurasi yang tidak aman.
“Namun jika kita menerapkan strategi yang tepat, masalah ini dapat kita deteksi secara dini,” ujar Sid. Salah satu strategi yang disarankan adalah menerapkan konsep shift-left security. Konsep ini dapat memberdayakan organisasi dalam menemukan dan menangani isu-isu di supply chain sebelum para peretas mengeksploitasinya.
Menyusul temuan-temuan yang dapat membahayakan keamanan aplikasi cloud-native yang kini banyak dikembangkan perusahaan, Unit 42 memberikan tiga rekomendasi:
- Mendefinisikan strategi shift-left security strategy
- Memahami di mana dan bagaimana software dibuat di dalam organisasi
- Mengidentifikasi dan mengimplementasikan quality assurance yang menyertakan tool keamanan.
Baca juga: Tingkatkan Keamanan Password, BSSN Luncurkan Aplikasi SATRIA
Baca juga: Survei IoT Palo Alto Networks Ungkap Kondisi Keamanan Jaringan Perusahaan di APJ