Следующая крупная волна кибератак



Программное обеспечение с открытым исходным кодом распространено повсеместно. Он стал непревзойденным двигателем технологических инноваций, поскольку организациям, использующим его, не нужно заново изобретать велосипед для общих программных компонентов.

Однако повсеместное распространение программного обеспечения с открытым исходным кодом также представляет значительный риск для безопасности, поскольку открывает двери для уязвимостей, которые могут быть представлены (преднамеренно или непреднамеренно) потребителям программных продуктов с открытым исходным кодом. Недавняя гонка по устранению основных уязвимостей в широко используемой библиотеке кода Log4j является самым большим признаком того, что риски в среде программного обеспечения с открытым исходным кодом должны быть устранены.

Привлекательность открытого исходного кода для киберпреступников
Метод атаки с открытым исходным кодом привлекает злоумышленников, потому что он может быть широко распространенным и очень эффективным. Злоумышленники могут использовать различные методы для сокрытия вредоносных изменений, внесенных в проекты с открытым исходным кодом, а строгость проверки кода на предмет последствий для безопасности может сильно различаться в разных проектах. Без строгих мер контроля для обнаружения этих вредоносных изменений они могут остаться незамеченными до тех пор, пока они не будут распространены и включены в программное обеспечение во многих компаниях.

Атаки на открытый исходный код могут различаться по размеру и объектам, на которые они влияют. Например, в июле прошлого года исследователи обнаружили девять уязвимостей, затрагивающих три проекта с открытым исходным кодом — EspoCRM, Pimcore и Akaunting, — которые часто используются малым и средним бизнесом. Более того, утечка данных Equifax в 2017 году, которая затронула личные данные 147 миллионов человек в результате уязвимости в открытом исходном коде организации, является наглядным примером того, как уязвимости могут использоваться злоумышленниками и создавать разрушительные последствия во всем.

Никогда не отдам тебя
CISA заявила, что сотни миллионов устройств, вероятно, пострадали от уязвимости Log4j. Учитывая масштабы этого инцидента, многие предприятия, вероятно, анализируют, использовать ли открытый исходный код для будущих разработок.

Однако полностью отказаться от открытого исходного кода нереально. Все современное программное обеспечение создается из компонентов с открытым исходным кодом, и перестройка этих компонентов без открытого исходного кода потребует огромных затрат времени и денег для создания даже незначительных приложений. Более 60 % веб-сайтов по всему миру работают на серверах Apache и Nginx, а 90 % ИТ-руководителей, как сообщается, регулярно используют корпоративный открытый исходный код.

Тестирование и защита вашего программного обеспечения
Вместо того, чтобы избегать открытого исходного кода, более реалистичным подходом является совместная работа групп безопасности и программного обеспечения для разработки политик и процесса тестирования приложений и программных компонентов. Организации должны рассматривать это как процесс, состоящий из трех частей. Это требует сканирования и тестирования кода, установления четкого процесса устранения и устранения уязвимостей по мере их возникновения, а также создания внутренней политики, в которой устанавливаются правила для решения проблем безопасности.

Когда дело доходит до тестирования устойчивости вашей среды с открытым исходным кодом с помощью инструментов, статический анализ кода является хорошим первым шагом. Тем не менее, организации должны помнить, что это только первый уровень тестирования. Статический анализ относится к анализу исходного кода до того, как фактическое программное приложение или программа будет запущено, и к устранению любых обнаруженных уязвимостей. Однако статический анализ не может обнаружить все вредоносные угрозы, которые могут быть встроены в открытый исходный код. Следующим шагом должно стать дополнительное тестирование в среде песочницы. Строгие проверки кода, динамический анализ кода и модульное тестирование — это другие методы, которые можно использовать. (Динамический анализ относится к изучению программного обеспечения во время его работы для выявления уязвимостей.)

После завершения сканирования организации должны иметь четкий процесс устранения любых обнаруженных уязвимостей. Разработчики могут столкнуться с крайним сроком выпуска, или исправление программного обеспечения может потребовать рефакторинга всей программы и увеличить сроки. Этот процесс должен помочь разработчикам сделать сложный выбор для защиты безопасности организации, предоставив четкие дальнейшие шаги для устранения уязвимостей и устранения проблем.

Шаг изменения политики должен создать документированный план того, как будут приниматься все решения в будущем, и какие заинтересованные стороны должны быть вовлечены в процесс. Кроме того, организации могут реализовать несколько элементов управления для своих компонентов с открытым исходным кодом, таких как программы сертификации и аккредитации. Однако помните, что это добавит дополнительные накладные расходы и замедлит разработку проектов с открытым исходным кодом.

Защита открытого исходного кода от будущих атак
Отрасль в целом принимает к сведению необходимость дальнейшей защиты открытого исходного кода. В октябре Linux Basis объявила о привлечении 10 миллионов долларов США вместе с другими лидерами отрасли для выявления и устранения уязвимостей кибербезопасности в программном обеспечении с открытым исходным кодом, а также для разработки улучшенных инструментов, обучения, исследований и методов раскрытия уязвимостей.

В дополнение к общеотраслевым усилиям по защите программного обеспечения, созданного на основе открытого исходного кода, от киберугроз, организации также должны использовать внутренний упреждающий подход к своей стратегии защиты. Это должно включать внедрение процедур тестирования и контроля как для их собственного кода, так и для открытого исходного кода, на который они полагаются. Организации также должны разработать внутренние политики и руководящие принципы, которые признают риски, связанные с использованием программного обеспечения с открытым исходным кодом, и определяют средства контроля, которые будут использоваться для управления этим риском. Это позволит им продолжать использовать преимущества открытого исходного кода при создании среды, устойчивой к будущим атакам.

https://cyberxhack.org/