詳解: クラウドサプライチェーンのパイプライン攻撃

Unit 42の最新のクラウド脅威レポートには、弊社のあるお客様（SaaSプロバイダ）のCI/CD（継続的インテグレーション/継続的デリバリー）パイプラインに対して実施されたレッドチーム演習の概要が含まれています。このお客様からのご依頼は、弊社リサーチャーに攻撃者の考えにならってSaaSプロバイダの開発運用(DevOps)プロセスに潜む脆弱性と設定ミスをあぶりだしてほしい、ということでした。レッドチーム演習では、現実の脅威を模倣し、既知の攻撃手法に対するセキュリティ能力を評価するため、SolarWindsのOrionサプライチェーン攻撃で使用された戦略と手法を手本としました。リサーチャーがインサイダー脅威役を演じます。目標はCI/CDパイプラインのコン...