开源对网络犯罪分子的吸引力开源攻击方法有哪些?(图)
开源软件无处不在。由于使用开源软件的组织不必为通用软件组件重新发明轮子,它已成为技术创新的主要驱动力。http://tt.ccoox.cn/data/attachment/forum/20220305/1646448870476_0.jpg
然而,无处不在的开源软件也带来了重大的安全风险,因为它有意或无意地为使用开源软件产品的消费者引入了漏洞。最近组织在解决广泛使用的 Log4j 代码库中的关键漏洞的激增是需要解决开源软件环境中的风险的最明显的例子。
开源对网络犯罪分子的吸引力
开源攻击方法对不良行为者很有吸引力,因为它们广泛且高效。攻击者可以使用多种方法来混淆对开源项目所做的恶意更改,并且针对安全漏洞对代码进行审计的严格程度因项目而异。如果没有严格的控制措施来检测这些恶意更改,它们可能会被忽视,直到它们被分发并添加到众多公司的软件中。
针对开源代码的攻击可能在规模和受影响的实体上有所不同。例如,在 2021 年 7 月,研究人员发现了影响三个开源项目的 9 个漏洞: 、 和 ,这些漏洞经常被中小企业使用。此外,2017 年的数据泄露事件清楚地表明了漏洞如何被不良行为者利用并在此过程中产生破坏性影响。由于该组织的开源代码存在漏洞,此次泄露影响了 1.47 亿人的个人数据。
http://tt.ccoox.cn/data/attachment/forum/20220305/1646448870476_2.jpg
永不放弃开源
CISA 表示,数以亿计的设备可能会受到 Log4j 漏洞的影响。鉴于事件的严重性,许多企业可能正在分析是否使用开源代码进行未来的开发。
http://tt.ccoox.cn/data/attachment/forum/20220305/1646448870476_3.jpg
然而,完全放弃开源是不切实际的。所有现代软件都是由开源组件构建的,即使是开发小型应用程序也需要投入大量时间和金钱来在没有开源的情况下重建这些组件。全球 60% 以上的网站都运行在 Nginx 服务器上,据说 90% 的 IT 领导者经常使用企业开源代码。
测试和保护您的软件
http://tt.ccoox.cn/data/attachment/forum/20220305/1646448870476_4.jpg
更实用的方法是让安全团队和软件团队合作开发测试应用程序和软件组件的策略和程序,而不是回避开源软件。组织应关注涉及这三个部分的流程:扫描和测试代码的需求,建立明确的流程来解决和修复出现的漏洞,以及制定内部政策(为解决安全问题制定规则)。
在使用工具测试开源环境的弹性时,静态代码分析是一个很好的第一步。但组织需要记住:这只是第一次测试。静态分析是指在实际程序或应用程序上线之前分析源代码并解决任何发现的漏洞。但是,静态分析无法检测到可能嵌入在开源代码中的所有恶意威胁。下一步应该是在沙盒环境中进行额外测试。严格的代码审查、动态代码分析和单元测试是可以利用的其他方法。动态分析是指在软件程序运行时检查它以识别漏洞。
扫描完成后,组织有一个明确的流程来解决发现的任何漏洞。开发人员可能会发现发布期限迫在眉睫,或者软件补丁可能需要重构整个程序,而且时间紧迫。此过程应通过提供明确的后续步骤来解决漏洞和缓解问题,帮助开发人员做出艰难的选择,以确保其组织的安全。
政策变更步骤应该有一个书面计划,概述未来将如何做出所有决定以及在整个过程中应该涉及哪些利益相关者。此外,组织可以对开源组件实施各种控制,例如证书和认证计划。但请记住,这会增加额外的间接成本并减慢开源项目的开发速度。
保护开源免受未来攻击
整个行业都在关注进一步保护开源代码的必要性。Linux 基金会于 2021 年 10 月宣布天外神坛,它与其他行业领导者一起筹集了 1000 万美元,用于识别和修复开源软件中的网络安全漏洞源码开源,并开发改进的工具、培训、研究和漏洞披露实践。
除了全行业努力保护基于开源代码构建的软件免受网络威胁外,组织还必须在内部采取积极主动的防御策略。这应该包括为他们自己的代码和他们所依赖的开源代码实施测试和控制程序。组织还必须制定内部政策和指南,以识别使用开源软件带来的风险,并确定管理该风险的控制措施。这样做将使组织能够继续利用开源代码的优势源码开源,同时创建一个能够抵御未来攻击的环境。
页:
[1]