當(dāng)前速訊:開源軟件對(duì)網(wǎng)絡(luò)安全的影響
開源軟件是過去幾十年最具創(chuàng)新性的發(fā)展之一。
用戶和安全供應(yīng)商可以訪問類似的資源和技術(shù)來應(yīng)對(duì)惡意參與者社區(qū)。但是,團(tuán)隊(duì)合作是網(wǎng)絡(luò)安全經(jīng)常不足的領(lǐng)域。這種分散的安全環(huán)境可能會(huì)傷害客戶,造成威脅參與者可以利用的安全漏洞。
(資料圖片)
根據(jù) X-Force 威脅情報(bào)指數(shù),惡意行為者的網(wǎng)絡(luò)攻擊處于歷史最高水平,僅勒索軟件就占攻擊的 23%。與此同時(shí),運(yùn)營技術(shù)基礎(chǔ)設(shè)施攻擊增加了 2000%。
這種令人擔(dān)憂的發(fā)展的原因之一是客戶通常自主運(yùn)營,而惡意行為者在協(xié)作環(huán)境中集體工作。
開源軟件 (OSS) 安全性是指用于管理和確保從生產(chǎn)到開發(fā)的合規(guī)性的流程和工具。最好的方案是會(huì)自動(dòng)探索應(yīng)用中的開源依賴項(xiàng),提供有價(jià)值的信息和關(guān)鍵版本控制,并觸發(fā)警報(bào)以識(shí)別策略違規(guī)行為。
然后,它們會(huì)自動(dòng)監(jiān)控、警報(bào)和阻止生產(chǎn)中的攻擊,針對(duì)任何開源組件的漏洞,以幫助快速采取行動(dòng)。
不再依賴供應(yīng)商或安全團(tuán)隊(duì)的專家和開發(fā)人員使用開源軟件。相反,可以聯(lián)系整個(gè)開源社區(qū),就像其他組織或供應(yīng)商一樣,包括研究人員和大學(xué),所有人都在查看相同的代碼并對(duì)其進(jìn)行改進(jìn)。
01、開源如何幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)?
網(wǎng)絡(luò)安全專家可以快速評(píng)估開源的相關(guān)風(fēng)險(xiǎn)。例如,程序員可能會(huì)在不知不覺中將有缺陷的開源代碼插入到企業(yè)軟件應(yīng)用程序中。此操作可能會(huì)使組織、其客戶和合作伙伴容易受到日益復(fù)雜的數(shù)據(jù)泄露的影響。
然而,隨著 IT 攻擊威脅的飆升在 Covid-19 期間給該行業(yè)帶來了極大的壓力,越來越多的網(wǎng)絡(luò)安全專業(yè)人員理解開源的重要性,以及它如何成為保護(hù)客戶和領(lǐng)先于安全審計(jì)問題的強(qiáng)大工具。
隨著免費(fèi)和開源工具和組件在企業(yè)環(huán)境中變得越來越普遍,作為安全供應(yīng)商,在產(chǎn)品集成和威脅情報(bào)方面進(jìn)行更多協(xié)作至關(guān)重要。
采用開源軟件可以最大限度地降低整體開發(fā)成本,并使開發(fā)人員能夠?qū)W⒂诟嘣鲋倒ぷ鳌i_源軟件的另一個(gè)顯著好處是成本較低。如果出現(xiàn)問題,您可以輕松地立即打開并修復(fù)代碼,而無需等待供應(yīng)商回答。
包括微軟在內(nèi)的 IT 領(lǐng)域的巨頭已經(jīng)接受了 OSS 網(wǎng)絡(luò)安全,但一個(gè)重要的問題是,由于源代碼是免費(fèi)提供的,因此它更容易被利用。一些安全領(lǐng)導(dǎo)者認(rèn)為專有軟件比 OSS 更安全,因?yàn)樗拇a是隱藏的。畢竟,即使代碼中存在缺陷,惡意行為者如果看不到它們,也無法利用它們。
雖然專有軟件也存在漏洞,但源代碼的披露是一個(gè)重大的合規(guī)性問題。這種方法被稱為“通過默默無聞獲得安全性”,其中包括幾個(gè)缺陷。
美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)明確建議依靠“通過隱蔽性實(shí)現(xiàn)安全性”來確保系統(tǒng)的安全性。系統(tǒng)安全不應(yīng)依賴于實(shí)現(xiàn)保密性或其組件。
代碼的透明度意味著更多的用戶花時(shí)間評(píng)估漏洞解決方案。但事實(shí)并非如此。開源代碼的每個(gè)組件都沒有專門的用戶群,甚至不能保證團(tuán)隊(duì)是否有足夠的知識(shí)和專業(yè)知識(shí)來識(shí)別和解決所有問題。
以下是安全專業(yè)人員確保安全性的一些方法,即使使用開源代碼也是如此:
使用多重身份驗(yàn)證和強(qiáng)密碼
消除不再使用的軟件
及時(shí)了解所有軟件的安全更新
規(guī)范用戶訪問,確保數(shù)據(jù)安全
部署違規(guī)檢測工具
根據(jù)需要加密數(shù)據(jù)
準(zhǔn)備好響應(yīng)協(xié)議,以防檢測到安全漏洞
隨著有關(guān)多個(gè)組織中網(wǎng)絡(luò)安全攻擊的最新報(bào)告,充分保護(hù)公司的 Web 應(yīng)用程序、軟件、供應(yīng)鏈和數(shù)據(jù)免受惡意軟件、勒索軟件和網(wǎng)絡(luò)釣魚威脅至關(guān)重要。
計(jì)算技術(shù)的進(jìn)步和發(fā)展使開源安全工具能夠識(shí)別各個(gè)領(lǐng)域各行各業(yè)的網(wǎng)絡(luò)威脅和漏洞。
02、實(shí)施開源軟件有哪些風(fēng)險(xiǎn)?
在組織中部署開源軟件之前,必須考慮與其部署相關(guān)的問題和風(fēng)險(xiǎn)。以下是開源軟件的一些危險(xiǎn):
過多的訪問和代碼漏洞。開放獲取意味著所有人都可以訪問代碼。因此,這為惡意行為者創(chuàng)造了隨心所欲地操縱代碼的機(jī)會(huì)。利用 OSS 可以為不良行為者提供多種途徑來未經(jīng)授權(quán)訪問您的信息和網(wǎng)絡(luò)。
缺乏支持。大多數(shù) OSS 系統(tǒng)沒有專門的支持團(tuán)隊(duì)。如果沒有可靠的支持團(tuán)隊(duì),可能無法獲得安全補(bǔ)丁和更新。如果不良行為者檢測到開源軟件中的漏洞,他們可以利用這些系統(tǒng)漏洞獲得對(duì)公司信息和網(wǎng)絡(luò)的未經(jīng)批準(zhǔn)的訪問權(quán)限。
缺乏驗(yàn)證。不能保證合格的專家在開源軟件開發(fā)中執(zhí)行充分的測試和質(zhì)量保證,也不能保證審查代碼的人員會(huì)仔細(xì)評(píng)估其安全性。缺乏確認(rèn)會(huì)使您的計(jì)算機(jī)基礎(chǔ)架構(gòu)容易受到攻擊
在獲取和部署開源軟件之前,必須徹底開展保障活動(dòng)。通過這些預(yù)防措施,您可以更好地保護(hù)和最小化公司系統(tǒng)和網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。
另一方面,專有軟件具有內(nèi)置控件,以防止使用不兼容或多個(gè)版本。開源元素通常依賴于用戶來驗(yàn)證正確使用。
03、開源系統(tǒng)和封閉系統(tǒng)之間是否存在平衡?
在自動(dòng)化和技術(shù)時(shí)代,軟件在日常任務(wù)中越來越多地被利用和接受。但是,無論特定軟件的用途如何,都有兩種主要類型:開源和閉源。
閉源軟件是保持源代碼加密和安全的軟件。用戶不能修改、復(fù)制或刪除代碼段而不承擔(dān)從取消保修到法律后果的后果。
另一方面,開源軟件恰恰相反。它使用戶能夠自行修改、刪除或復(fù)制代碼節(jié)。此外,用戶可以在他們的程序上使用功能而不會(huì)產(chǎn)生任何影響。
總體而言,如果想要靈活性、可擴(kuò)展性和最低成本,開源軟件項(xiàng)目是開始網(wǎng)絡(luò)安全之旅的絕佳場所。但是,選擇非常適合的需求的技術(shù)可能具有挑戰(zhàn)性。
本文提供的信息僅用于一般指導(dǎo)和信息目的,本文的內(nèi)容在任何情況下均不應(yīng)被視為投資、業(yè)務(wù)、法律或稅務(wù)建議。
本文來自微信公眾號(hào):出新研究 (ID:chuxinyanjiu),作者:Kyndall Elliott,編譯:唐詩
標(biāo)簽: 開源軟件