ビジネスを悩ますオープンソースソフトウェアの脆弱性

公開: 2022-06-30

オープンソースコーディングは、ソフトウェアを作成する企業や、円滑な事業運営のためにソフトウェアを利用する必要のある待機中の企業に多くのメリットをもたらします。 オープンソースソフトウェアは、オープンソースコーディングを使用して単純にソフトウェアコーディングされたものです。 これは、コーディングが人々が比較的簡単に表示および操作できるように開かれていることを意味します。 その主な精神は、特定のコードにアクセスできる人をある程度分散させ、民主化することです。

これは非常に用途が広いが、Web、アプリ、およびソフトウェア開発者にとって主要な選択である揮発性のコーディングでもあります。 このような用途が広く、簡単に操作できるオープンソースコードの脆弱性は、ソフトウェアのダウンタイムやビジネスを悩ます安全性の問題を引き起こす可能性があります。 探検しましょう。

広告

目次に表示
  • オープンソースコードとは何ですか?
  • それはビジネスにどのような問題を引き起こす可能性がありますか?
  • オープンソースソフトウェアの脆弱性の例
    • 2017Equifaxのデータ侵害
    • アマゾンウェブサービス
  • 企業に対するサイバー攻撃の広範な増加
  • 解決策は何ですか?
  • 最後の言葉

オープンソースコードとは何ですか?

攻撃コードサイバーデータハックセキュリティ

オープンソースとは、もともとオープンソースソフトウェアを指す用語です。 そのソフトウェアの構成はオープンコーディングになります。 これは、誰でも好きなようにコーディングを表示、変更、配布できるように、一般公開されていることを意味します。 代替案はクローズドソースコーディングであり、オープンソースソフトウェアと同様に、クローズドソースソフトウェアを指します。 その背後にあるクローズドソースソフトウェアはクローズドコーディングでした。つまり、自由にアクセスすることはできません。

コーディングを変更する機能を除いて、最も顕著な違いは、オープンソースソフトウェアとクローズドソースソフトウェアの開発方法です。 クローズドソースソフトウェアは通常、ソフトウェアのコーディングへのマスターアクセス権を持つソフトウェア開発者の1つまたは小さなチームの作業によって実現します。 彼らは、ソフトウェアの開発をいつどのように継続するかを決定します。

オープンソースソフトウェアは、ソフトウェアを作成するためのマスコラボレーションを見ています。 マスコラボレーションは、オープンソースがオープンである理由です。 大勢の人が簡単にアクセスできる必要があります。 1つの開発者グループが複数の国で共同作業を行う可能性があり、それ自体が問題を引き起こします。 同じ部屋で同じプロジェクトに取り組む複数の人が、簡単なコラボレーションを実現します。 ただし、さまざまな国で作業している開発者は、開発、更新、およびパッチを妨げる可能性があります。

おすすめ:ネットワークセキュリティ101:オンラインの脅威からOfficeネットワークを保護するための15の最良の方法。

それはビジネスにどのような問題を引き起こす可能性がありますか?

オフィス-ソフトウェア-デザイナー-開発者-コーダー-プログラマー-チームワーク

クローズドソースソフトウェアには脆弱性がありますが、オープンソースソフトウェアほど多くはありません。 オープンソースソフトウェアの主な弱点は、コーディングによってほぼすべての人がそれを操作できることです。 これが、2021年にオープンソースソフトウェアへの攻撃が650%増加した理由の1つです。脅威評価の実行やコードの暗号化などのアプリケーションセキュリティのベストプラクティスにより、より安全なソフトウェアを作成できます。 しかし、オープンソースコーディングが非常にアクセスしやすいという固有のリスクは依然として存在します。

もう1つの問題は、ユーザビリティに集中しています。 オープンソースソフトウェアは通常、ユーザーのニーズを考慮せずに開発者のニーズに適合します。 企業は、アプリがユーザーのニーズを満たしていることを確認するために、アプリの設計とテストに関与する必要があります。 使いやすさに関連するもう1つの問題は、何か問題が発生した場合に利用できるサポートが不足していることです。 互換性などの問題は、オープンソースソフトウェアでは大きな問題になる可能性があります。 異なる場所からの複数の開発者がソフトウェアの作業を完了しているため、開発者からのフォローアップサポートは必ずしもありません。

オープンソースソフトウェアとその背後にあるコーディングに依存している企業は、開発者の慣習が不十分であり、統合の監視が緩和されている可能性もあります。 完璧な例は、2021年のSolarWindsハックです。これは、歴史上、サプライチェーンで最も損害を与えるハッキングであると考えられています。

広告

250以上の企業や政府機関が、オープンソースソフトウェアを使用して動作するOrionシステムへの侵入の影響を受けました。 2回のソフトウェア更新中に、ハッカーがネットワーク全体にマルウェアをリリースし、何百もの企業がクラッシュしました。 サプライチェーン全体がほとんど機能しなくなりました。 ハッキングの影響は、企業や政府機関によってまだ感じられています。 多くの人が回復するのに何年もかかると言っています。

オープンソースソフトウェアの脆弱性の例

code-programming-developer-projector-presentation-data

オープンソースソフトウェアを利用する企業に対するサイバー攻撃の例はたくさんあります。 これは、非常に多くの企業がオープンソースソフトウェアを使用しているため、アヒルになっているという事実に関連しています。 以下は、最も注目すべき2つのイベントと、企業がそれらから学んだことです。

2017Equifaxのデータ侵害

脆弱性-オープンソースソフトウェア-1

2017年のEquifaxのデータ侵害により、オープンソースソフトウェアの真の脆弱性が明らかになりました。 サイバー攻撃につながった複数のセキュリティの失効により、多くのWeb開発者や企業は、そのような攻撃を防ぐためにソフトウェアを強化することになりました。 なぜ会社と開発者の両方なのか? 両方に問題があったからです。 ハッカーは広く理解されている脆弱性を悪用し、消費者の苦情Webポータルから侵入しました。 これらの脆弱性はEquifaxによって修正されるべきでしたが、そうではありませんでした。

Webポータルを通過すると、ハッカーはシステム内を移動して、何百万もの顧客の個人データを盗むことができます。 その数日前に、ソフトウェア内の既知の脆弱性に対するパッチがリリースされました。 しかし、Equifaxは、パッチを十分な時間内に実装しないことを選択しました。

彼らは攻撃から何を学びましたか? Equifaxは、パッチの実装が必要な場合、リリース時に実装が必要であることを発見しました。 特に、最も脆弱なのは大規模な組織です。 中小企業は、大規模な顧客基盤を持つ組織ほどターゲットになりません。 そのため、何百万もの顧客の財務データを保持しているEquifaxは、変更をより早く実装するために取り組む必要がありました。

広告

アマゾンウェブサービス

脆弱性-オープンソースソフトウェア-2

これはまだ起こっていません。 しかし、ハッカーは、最新のサプライチェーンソフトウェア攻撃になろうとして、バックグラウンドで静かに働いています。 PythonとPHPの開発者は、報告されているいくつかの成功したハッキン​​グによって徐々に危険にさらされています。 しかし、ハッカーはまだ目標を達成していません。 彼らが攻撃しているパッケージは、PythonCTXとPHPのphpassです。 どちらも、長年にわたってビジネスに役立ってきた古いソフトウェアパッケージです。

現在、影響を受けるパッケージを使用しているのはソフトウェア開発者ですが、侵入の著しい増加により、ソフトウェアパッケージも使用している企業に対して警告が発せられています。

あなたは好きかもしれません:すべてのビジネスが知っておくべき12種類のエンドポイントセキュリティ。

企業に対するサイバー攻撃の広範な増加

コード-バイト-デジタル-暗号化-サイバー-電子-暗号化-アルゴリズム-データ

オープンソースソフトウェアの攻撃だけに問題があるわけではありません。 全面的に企業へのサイバー攻撃が顕著かつ広範囲に増加しています。 たとえば英国では、政府は最近、攻撃が急増する中、企業や慈善団体にサイバーセキュリティ慣行を強化するよう要請したレポートを発表しました。

多くの企業がこれをパンデミックと信じており、多くの企業が仮想的に運用を継続できるソフトウェアに投資しています。 ある調査によると、パンデミック中およびパンデミック後の数か月間に攻撃が300%増加しました。 しかし、パンデミックだけが原因ではありません。たとえば、5Gも攻撃の増加に貢献しています。 世界はより高速な帯域幅を求めて急いでいました。 ただし、帯域幅を増やすことで、IoTデバイスは攻撃に対してより脆弱になります。

組織内のサイバーセキュリティスキルのギャップも、攻撃の増加の一因となっているようです。 多くの従業員は、安全でないサイバー慣行のリスクと結果を単に理解していません。 さらに、多くの企業には専用のサイバーセキュリティチームさえありません。 フィッシングメールなどの問題について教育し、安全なサイバー慣行を奨励するのは経営者の責任です。

解決策は何ですか?

開発者-コーダー-プログラミング-チーム-ワーク-オフィス

解決策は、オープンソースソフトウェアの使用をやめないことです。 脆弱性とそれに関連するリスクを考慮し、どのオープンソースソフトウェアがそれらの多くを可能な限り軽減するかを判断します。 企業は、ニーズに最も適したソフトウェアを選択する必要があります。 たとえば、オープンソースソフトウェアは、より安価な代替品を探しているブランドに適している可能性があります。 オープンソースソフトウェアは通常、クローズドソースソフトウェアと同じ値札を持っていません。

広告

クローズドソースソフトウェアには、ソフトウェアがハッカーからの攻撃を受けないように、より安定性とセキュリティが備わっています。 前述のように、オープンソースソフトウェアには重大なセキュリティ上の欠陥があり、2021年にサイバー攻撃が650%増加しました。企業が望んでいたとしても、セキュリティチェックを実行してコーディングを暗号化するのはオープンソースソフトウェアではありません。 そうする必要があるのは、開発者のマスコラボレーションです。

ブランドはまた、開発者と協力するために時間をかける必要があります。 ソフトウェアの弱点を特定し、リリース時にパッチを実装する必要があります。 Equifaxハックと同様に、ソフトウェア開発者は攻撃の数日前にパッチをリリースしました。 彼らはパッチを適用していたので、攻撃は起こらなかったでしょう。 同様に、定期的な更新の実装は不可欠ですが、これには、更新が安全にリリースされるように開発者と協力することも含まれます。 SolarWindsの例と同様に、Orionシステムの2つの更新により、ハッカーがすぐに悪用した弱点が明らかになりました。

クローズドソースソフトウェアは、多くのブランドにとって実行可能なオプションではありません。 より良い代替策は、専用のサイバーセキュリティチームに投資するか、従業員を教育するためにより多くの時間をかけることかもしれません。 たとえば、多くの注目を集めるサイバー攻撃は、不十分なパスワード慣行から始まりましたが、解決するのは比較的簡単な問題です。 2021年のTicketmasterへの攻撃は、従業員が安全なパスワードを持っていない場合に起こり得ることの完璧な例です。

あなたも好きかもしれません:吸わないサイバーセキュリティポリシーを書くための17のクールなヒント。

最後の言葉

脆弱性-オープンソース-ソフトウェア-ペスト-ビジネス-結論

技術的に言えば、クローズドソースソフトウェアでさえ、オープンソースソフトウェアと同じ脆弱性を持っています。 彼らはそれほど目立たないだけです。 企業は、評判の良い開発者が作成した、オープンかクローズかに関係なく、ソフトウェアを慎重に選択することで、リスク自体を軽減できます。

ただし、明らかなことは、世界中のビジネス、特にオープンソースソフトウェアを使用するサプライチェーンを保護するために何をする必要があるかということです。 サイバー攻撃の急増は、企業や消費者がサイバー攻撃に対していかに脆弱であるかを証明しています。 サイバー犯罪者は、洗練されたソフトウェアにアクセスできるようになりました。 開発者とブランドは、攻撃を防ぐために、サイバーセキュリティに精通する必要があります。

広告