當(dāng)前速訊：開源軟件對(duì)網(wǎng)絡(luò)安全的影響

2022-12-26 18:58:59|

來源：作者：

開源軟件是過去幾十年最具創(chuàng)新性的發(fā)展之一。

用戶和安全供應(yīng)商可以訪問類似的資源和技術(shù)來應(yīng)對(duì)惡意參與者社區(qū)。但是，團(tuán)隊(duì)合作是網(wǎng)絡(luò)安全經(jīng)常不足的領(lǐng)域。這種分散的安全環(huán)境可能會(huì)傷害客戶，造成威脅參與者可以利用的安全漏洞。

(資料圖片)

根據(jù) X-Force 威脅情報(bào)指數(shù)，惡意行為者的網(wǎng)絡(luò)攻擊處于歷史最高水平，僅勒索軟件就占攻擊的 23%。與此同時(shí)，運(yùn)營技術(shù)基礎(chǔ)設(shè)施攻擊增加了 2000%。

這種令人擔(dān)憂的發(fā)展的原因之一是客戶通常自主運(yùn)營，而惡意行為者在協(xié)作環(huán)境中集體工作。

開源軟件（OSS）安全性是指用于管理和確保從生產(chǎn)到開發(fā)的合規(guī)性的流程和工具。最好的方案是會(huì)自動(dòng)探索應(yīng)用中的開源依賴項(xiàng)，提供有價(jià)值的信息和關(guān)鍵版本控制，并觸發(fā)警報(bào)以識(shí)別策略違規(guī)行為。

然后，它們會(huì)自動(dòng)監(jiān)控、警報(bào)和阻止生產(chǎn)中的攻擊，針對(duì)任何開源組件的漏洞，以幫助快速采取行動(dòng)。

不再依賴供應(yīng)商或安全團(tuán)隊(duì)的專家和開發(fā)人員使用開源軟件。相反，可以聯(lián)系整個(gè)開源社區(qū)，就像其他組織或供應(yīng)商一樣，包括研究人員和大學(xué)，所有人都在查看相同的代碼并對(duì)其進(jìn)行改進(jìn)。

01、開源如何幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)？

網(wǎng)絡(luò)安全專家可以快速評(píng)估開源的相關(guān)風(fēng)險(xiǎn)。例如，程序員可能會(huì)在不知不覺中將有缺陷的開源代碼插入到企業(yè)軟件應(yīng)用程序中。此操作可能會(huì)使組織、其客戶和合作伙伴容易受到日益復(fù)雜的數(shù)據(jù)泄露的影響。

然而，隨著 IT 攻擊威脅的飆升在 Covid-19 期間給該行業(yè)帶來了極大的壓力，越來越多的網(wǎng)絡(luò)安全專業(yè)人員理解開源的重要性，以及它如何成為保護(hù)客戶和領(lǐng)先于安全審計(jì)問題的強(qiáng)大工具。

隨著免費(fèi)和開源工具和組件在企業(yè)環(huán)境中變得越來越普遍，作為安全供應(yīng)商，在產(chǎn)品集成和威脅情報(bào)方面進(jìn)行更多協(xié)作至關(guān)重要。

采用開源軟件可以最大限度地降低整體開發(fā)成本，并使開發(fā)人員能夠?qū)Ｗ⒂诟嘣鲋倒ぷ鳌ｉ_源軟件的另一個(gè)顯著好處是成本較低。如果出現(xiàn)問題，您可以輕松地立即打開并修復(fù)代碼，而無需等待供應(yīng)商回答。

包括微軟在內(nèi)的 IT 領(lǐng)域的巨頭已經(jīng)接受了 OSS 網(wǎng)絡(luò)安全，但一個(gè)重要的問題是，由于源代碼是免費(fèi)提供的，因此它更容易被利用。一些安全領(lǐng)導(dǎo)者認(rèn)為專有軟件比 OSS 更安全，因?yàn)樗拇a是隱藏的。畢竟，即使代碼中存在缺陷，惡意行為者如果看不到它們，也無法利用它們。

雖然專有軟件也存在漏洞，但源代碼的披露是一個(gè)重大的合規(guī)性問題。這種方法被稱為“通過默默無聞獲得安全性”，其中包括幾個(gè)缺陷。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）明確建議依靠“通過隱蔽性實(shí)現(xiàn)安全性”來確保系統(tǒng)的安全性。系統(tǒng)安全不應(yīng)依賴于實(shí)現(xiàn)保密性或其組件。

代碼的透明度意味著更多的用戶花時(shí)間評(píng)估漏洞解決方案。但事實(shí)并非如此。開源代碼的每個(gè)組件都沒有專門的用戶群，甚至不能保證團(tuán)隊(duì)是否有足夠的知識(shí)和專業(yè)知識(shí)來識(shí)別和解決所有問題。

以下是安全專業(yè)人員確保安全性的一些方法，即使使用開源代碼也是如此：

使用多重身份驗(yàn)證和強(qiáng)密碼

消除不再使用的軟件

及時(shí)了解所有軟件的安全更新

規(guī)范用戶訪問，確保數(shù)據(jù)安全

部署違規(guī)檢測工具

根據(jù)需要加密數(shù)據(jù)

準(zhǔn)備好響應(yīng)協(xié)議，以防檢測到安全漏洞

隨著有關(guān)多個(gè)組織中網(wǎng)絡(luò)安全攻擊的最新報(bào)告，充分保護(hù)公司的 Web 應(yīng)用程序、軟件、供應(yīng)鏈和數(shù)據(jù)免受惡意軟件、勒索軟件和網(wǎng)絡(luò)釣魚威脅至關(guān)重要。

計(jì)算技術(shù)的進(jìn)步和發(fā)展使開源安全工具能夠識(shí)別各個(gè)領(lǐng)域各行各業(yè)的網(wǎng)絡(luò)威脅和漏洞。

02、實(shí)施開源軟件有哪些風(fēng)險(xiǎn)？

在組織中部署開源軟件之前，必須考慮與其部署相關(guān)的問題和風(fēng)險(xiǎn)。以下是開源軟件的一些危險(xiǎn)：

過多的訪問和代碼漏洞。開放獲取意味著所有人都可以訪問代碼。因此，這為惡意行為者創(chuàng)造了隨心所欲地操縱代碼的機(jī)會(huì)。利用 OSS 可以為不良行為者提供多種途徑來未經(jīng)授權(quán)訪問您的信息和網(wǎng)絡(luò)。

缺乏支持。大多數(shù) OSS 系統(tǒng)沒有專門的支持團(tuán)隊(duì)。如果沒有可靠的支持團(tuán)隊(duì)，可能無法獲得安全補(bǔ)丁和更新。如果不良行為者檢測到開源軟件中的漏洞，他們可以利用這些系統(tǒng)漏洞獲得對(duì)公司信息和網(wǎng)絡(luò)的未經(jīng)批準(zhǔn)的訪問權(quán)限。

缺乏驗(yàn)證。不能保證合格的專家在開源軟件開發(fā)中執(zhí)行充分的測試和質(zhì)量保證，也不能保證審查代碼的人員會(huì)仔細(xì)評(píng)估其安全性。缺乏確認(rèn)會(huì)使您的計(jì)算機(jī)基礎(chǔ)架構(gòu)容易受到攻擊

在獲取和部署開源軟件之前，必須徹底開展保障活動(dòng)。通過這些預(yù)防措施，您可以更好地保護(hù)和最小化公司系統(tǒng)和網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

另一方面，專有軟件具有內(nèi)置控件，以防止使用不兼容或多個(gè)版本。開源元素通常依賴于用戶來驗(yàn)證正確使用。