您的位置:首頁(yè) > 資訊 >

當(dāng)前速訊:開(kāi)源軟件對(duì)網(wǎng)絡(luò)安全的影響

開(kāi)源軟件是過(guò)去幾十年最具創(chuàng)新性的發(fā)展之一。

用戶和安全供應(yīng)商可以訪問(wèn)類(lèi)似的資源和技術(shù)來(lái)應(yīng)對(duì)惡意參與者社區(qū)。但是,團(tuán)隊(duì)合作是網(wǎng)絡(luò)安全經(jīng)常不足的領(lǐng)域。這種分散的安全環(huán)境可能會(huì)傷害客戶,造成威脅參與者可以利用的安全漏洞。


(資料圖片)

根據(jù) X-Force 威脅情報(bào)指數(shù),惡意行為者的網(wǎng)絡(luò)攻擊處于歷史最高水平,僅勒索軟件就占攻擊的 23%。與此同時(shí),運(yùn)營(yíng)技術(shù)基礎(chǔ)設(shè)施攻擊增加了 2000%。

這種令人擔(dān)憂的發(fā)展的原因之一是客戶通常自主運(yùn)營(yíng),而惡意行為者在協(xié)作環(huán)境中集體工作。

開(kāi)源軟件 (OSS) 安全性是指用于管理和確保從生產(chǎn)到開(kāi)發(fā)的合規(guī)性的流程和工具。最好的方案是會(huì)自動(dòng)探索應(yīng)用中的開(kāi)源依賴(lài)項(xiàng),提供有價(jià)值的信息和關(guān)鍵版本控制,并觸發(fā)警報(bào)以識(shí)別策略違規(guī)行為。

然后,它們會(huì)自動(dòng)監(jiān)控、警報(bào)和阻止生產(chǎn)中的攻擊,針對(duì)任何開(kāi)源組件的漏洞,以幫助快速采取行動(dòng)。

不再依賴(lài)供應(yīng)商或安全團(tuán)隊(duì)的專(zhuān)家和開(kāi)發(fā)人員使用開(kāi)源軟件。相反,可以聯(lián)系整個(gè)開(kāi)源社區(qū),就像其他組織或供應(yīng)商一樣,包括研究人員和大學(xué),所有人都在查看相同的代碼并對(duì)其進(jìn)行改進(jìn)。

01、開(kāi)源如何幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)?

網(wǎng)絡(luò)安全專(zhuān)家可以快速評(píng)估開(kāi)源的相關(guān)風(fēng)險(xiǎn)。例如,程序員可能會(huì)在不知不覺(jué)中將有缺陷的開(kāi)源代碼插入到企業(yè)軟件應(yīng)用程序中。此操作可能會(huì)使組織、其客戶和合作伙伴容易受到日益復(fù)雜的數(shù)據(jù)泄露的影響。

然而,隨著 IT 攻擊威脅的飆升在 Covid-19 期間給該行業(yè)帶來(lái)了極大的壓力,越來(lái)越多的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員理解開(kāi)源的重要性,以及它如何成為保護(hù)客戶和領(lǐng)先于安全審計(jì)問(wèn)題的強(qiáng)大工具。

隨著免費(fèi)和開(kāi)源工具和組件在企業(yè)環(huán)境中變得越來(lái)越普遍,作為安全供應(yīng)商,在產(chǎn)品集成和威脅情報(bào)方面進(jìn)行更多協(xié)作至關(guān)重要。

采用開(kāi)源軟件可以最大限度地降低整體開(kāi)發(fā)成本,并使開(kāi)發(fā)人員能夠?qū)W⒂诟嘣鲋倒ぷ?。開(kāi)源軟件的另一個(gè)顯著好處是成本較低。如果出現(xiàn)問(wèn)題,您可以輕松地立即打開(kāi)并修復(fù)代碼,而無(wú)需等待供應(yīng)商回答。

包括微軟在內(nèi)的 IT 領(lǐng)域的巨頭已經(jīng)接受了 OSS 網(wǎng)絡(luò)安全,但一個(gè)重要的問(wèn)題是,由于源代碼是免費(fèi)提供的,因此它更容易被利用。一些安全領(lǐng)導(dǎo)者認(rèn)為專(zhuān)有軟件比 OSS 更安全,因?yàn)樗拇a是隱藏的。畢竟,即使代碼中存在缺陷,惡意行為者如果看不到它們,也無(wú)法利用它們。

雖然專(zhuān)有軟件也存在漏洞,但源代碼的披露是一個(gè)重大的合規(guī)性問(wèn)題。這種方法被稱(chēng)為“通過(guò)默默無(wú)聞獲得安全性”,其中包括幾個(gè)缺陷。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)明確建議依靠“通過(guò)隱蔽性實(shí)現(xiàn)安全性”來(lái)確保系統(tǒng)的安全性。系統(tǒng)安全不應(yīng)依賴(lài)于實(shí)現(xiàn)保密性或其組件。

代碼的透明度意味著更多的用戶花時(shí)間評(píng)估漏洞解決方案。但事實(shí)并非如此。開(kāi)源代碼的每個(gè)組件都沒(méi)有專(zhuān)門(mén)的用戶群,甚至不能保證團(tuán)隊(duì)是否有足夠的知識(shí)和專(zhuān)業(yè)知識(shí)來(lái)識(shí)別和解決所有問(wèn)題。

以下是安全專(zhuān)業(yè)人員確保安全性的一些方法,即使使用開(kāi)源代碼也是如此:

使用多重身份驗(yàn)證和強(qiáng)密碼

消除不再使用的軟件

及時(shí)了解所有軟件的安全更新

規(guī)范用戶訪問(wèn),確保數(shù)據(jù)安全

部署違規(guī)檢測(cè)工具

根據(jù)需要加密數(shù)據(jù)

準(zhǔn)備好響應(yīng)協(xié)議,以防檢測(cè)到安全漏洞

隨著有關(guān)多個(gè)組織中網(wǎng)絡(luò)安全攻擊的最新報(bào)告,充分保護(hù)公司的 Web 應(yīng)用程序、軟件、供應(yīng)鏈和數(shù)據(jù)免受惡意軟件、勒索軟件和網(wǎng)絡(luò)釣魚(yú)威脅至關(guān)重要。

計(jì)算技術(shù)的進(jìn)步和發(fā)展使開(kāi)源安全工具能夠識(shí)別各個(gè)領(lǐng)域各行各業(yè)的網(wǎng)絡(luò)威脅和漏洞。

02、實(shí)施開(kāi)源軟件有哪些風(fēng)險(xiǎn)?

在組織中部署開(kāi)源軟件之前,必須考慮與其部署相關(guān)的問(wèn)題和風(fēng)險(xiǎn)。以下是開(kāi)源軟件的一些危險(xiǎn):

過(guò)多的訪問(wèn)和代碼漏洞。開(kāi)放獲取意味著所有人都可以訪問(wèn)代碼。因此,這為惡意行為者創(chuàng)造了隨心所欲地操縱代碼的機(jī)會(huì)。利用 OSS 可以為不良行為者提供多種途徑來(lái)未經(jīng)授權(quán)訪問(wèn)您的信息和網(wǎng)絡(luò)。

缺乏支持。大多數(shù) OSS 系統(tǒng)沒(méi)有專(zhuān)門(mén)的支持團(tuán)隊(duì)。如果沒(méi)有可靠的支持團(tuán)隊(duì),可能無(wú)法獲得安全補(bǔ)丁和更新。如果不良行為者檢測(cè)到開(kāi)源軟件中的漏洞,他們可以利用這些系統(tǒng)漏洞獲得對(duì)公司信息和網(wǎng)絡(luò)的未經(jīng)批準(zhǔn)的訪問(wèn)權(quán)限。

缺乏驗(yàn)證。不能保證合格的專(zhuān)家在開(kāi)源軟件開(kāi)發(fā)中執(zhí)行充分的測(cè)試和質(zhì)量保證,也不能保證審查代碼的人員會(huì)仔細(xì)評(píng)估其安全性。缺乏確認(rèn)會(huì)使您的計(jì)算機(jī)基礎(chǔ)架構(gòu)容易受到攻擊

在獲取和部署開(kāi)源軟件之前,必須徹底開(kāi)展保障活動(dòng)。通過(guò)這些預(yù)防措施,您可以更好地保護(hù)和最小化公司系統(tǒng)和網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

另一方面,專(zhuān)有軟件具有內(nèi)置控件,以防止使用不兼容或多個(gè)版本。開(kāi)源元素通常依賴(lài)于用戶來(lái)驗(yàn)證正確使用。

03、開(kāi)源系統(tǒng)和封閉系統(tǒng)之間是否存在平衡?

在自動(dòng)化和技術(shù)時(shí)代,軟件在日常任務(wù)中越來(lái)越多地被利用和接受。但是,無(wú)論特定軟件的用途如何,都有兩種主要類(lèi)型:開(kāi)源和閉源。

閉源軟件是保持源代碼加密和安全的軟件。用戶不能修改、復(fù)制或刪除代碼段而不承擔(dān)從取消保修到法律后果的后果。

另一方面,開(kāi)源軟件恰恰相反。它使用戶能夠自行修改、刪除或復(fù)制代碼節(jié)。此外,用戶可以在他們的程序上使用功能而不會(huì)產(chǎn)生任何影響。

總體而言,如果想要靈活性、可擴(kuò)展性和最低成本,開(kāi)源軟件項(xiàng)目是開(kāi)始網(wǎng)絡(luò)安全之旅的絕佳場(chǎng)所。但是,選擇非常適合的需求的技術(shù)可能具有挑戰(zhàn)性。

本文提供的信息僅用于一般指導(dǎo)和信息目的,本文的內(nèi)容在任何情況下均不應(yīng)被視為投資、業(yè)務(wù)、法律或稅務(wù)建議。

本文來(lái)自微信公眾號(hào):出新研究 (ID:chuxinyanjiu),作者:Kyndall Elliott,編譯:唐詩(shī)

標(biāo)簽: 開(kāi)源軟件

相關(guān)閱讀