ช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์สที่สร้างความเสียหายให้กับธุรกิจ

เผยแพร่แล้ว: 2022-06-30

การเข้ารหัสแบบโอเพนซอร์สมีประโยชน์มากมายสำหรับองค์กรที่สร้างซอฟต์แวร์และธุรกิจที่รออยู่ซึ่งจำเป็นต้องใช้เพื่อการดำเนินธุรกิจที่ราบรื่น ซอฟต์แวร์โอเพนซอร์ซเป็นเพียงซอฟต์แวร์ที่เข้ารหัสโดยใช้การเข้ารหัสโอเพนซอร์ซ ซึ่งหมายความว่าการเข้ารหัสเปิดให้ผู้คนดูและจัดการได้ค่อนข้างง่าย ร๊อคหลักของมันคือการกระจายอำนาจและทำให้เป็นประชาธิปไตย - ในระดับหนึ่ง - ผู้ที่สามารถเข้าถึงรหัสบางอย่างได้

เป็นการเข้ารหัสที่ใช้งานได้หลากหลายแต่ยังมีความผันผวนซึ่งเป็นตัวเลือกที่โดดเด่นสำหรับนักพัฒนาเว็บ แอป และซอฟต์แวร์ ช่องโหว่ของรหัสโอเพนซอร์ซที่ใช้งานได้หลากหลายและจัดการได้ง่ายดังกล่าว อาจทำให้ซอฟต์แวร์หยุดทำงานและปัญหาด้านความปลอดภัยที่สร้างภัยพิบัติให้กับธุรกิจ มาสำรวจกัน

โฆษณา

สารบัญ แสดง
  • รหัสโอเพนซอร์ซคืออะไร?
  • สามารถสร้างปัญหาอะไรให้กับธุรกิจได้บ้าง?
  • ตัวอย่างช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์ส
    • 2017 การละเมิดข้อมูล Equifax
    • Amazon Web Services
  • การโจมตีทางไซเบอร์ในธุรกิจที่เพิ่มขึ้นอย่างแพร่หลาย
  • ทางออกคืออะไร?
  • คำพูดสุดท้าย

รหัสโอเพนซอร์ซคืออะไร?

โจมตี-รหัส-ไซเบอร์-ข้อมูล-แฮ็ค-การรักษาความปลอดภัย

เดิมโอเพ่นซอร์สเป็นคำที่อ้างถึงซอฟต์แวร์โอเพ่นซอร์ส การแต่งหน้าของซอฟต์แวร์นั้นจะเป็นการเข้ารหัสแบบเปิด ซึ่งหมายความว่าสามารถเข้าถึงได้โดยสาธารณะ เพื่อให้ทุกคนสามารถดู แก้ไข และแจกจ่ายรหัสได้ตามต้องการ ทางเลือกอื่นคือการเข้ารหัสแบบโอเพนซอร์ซ ซึ่งเหมือนกับซอฟต์แวร์โอเพนซอร์ซ หมายถึงซอฟต์แวร์โอเพนซอร์ซ เบื้องหลังซอฟต์แวร์โอเพ่นซอร์สนั้นมีการเข้ารหัสแบบปิด ซึ่งหมายความว่าไม่สามารถเข้าถึงได้โดยอิสระ

ความแตกต่างที่โดดเด่นที่สุด ไม่รวมความสามารถในการปรับเปลี่ยนโค้ดดิ้ง คือวิธีการพัฒนาซอฟต์แวร์โอเพ่นซอร์สและโอเพ่นซอร์ส ซอฟต์แวร์โอเพ่นซอร์สมักเกิดขึ้นโดยการทำงานของนักพัฒนาซอฟต์แวร์หนึ่งหรือทีมเล็กๆ ซึ่งแต่ละคนจะมีสิทธิ์เข้าถึงหลักในการเขียนโปรแกรมซอฟต์แวร์ พวกเขากำหนดว่าจะพัฒนาซอฟต์แวร์ต่อไปอย่างไรและเมื่อใด

ซอฟต์แวร์โอเพนซอร์ซมองเห็นการทำงานร่วมกันจำนวนมากเพื่อสร้างซอฟต์แวร์ การทำงานร่วมกันจำนวนมากเป็นเหตุผลที่โอเพ่นซอร์สเปิดกว้าง ต้องสามารถเข้าถึงได้ง่ายสำหรับทีมขนาดใหญ่ นักพัฒนากลุ่มหนึ่งสามารถทำงานร่วมกันได้ในหลายประเทศ ซึ่งสร้างปัญหาขึ้นเอง หลายคนที่ทำงานในโครงการเดียวกันในห้องเดียวกันช่วยให้ทำงานร่วมกันได้ง่าย แต่นักพัฒนาที่ทำงานในประเทศต่างๆ อาจขัดขวางการพัฒนา อัปเดต และแพตช์ได้

แนะนำสำหรับคุณ: ความปลอดภัยเครือข่าย 101: 15 วิธีที่ดีที่สุดในการรักษาความปลอดภัยเครือข่ายสำนักงานของคุณจากภัยคุกคามออนไลน์

สามารถสร้างปัญหาอะไรให้กับธุรกิจได้บ้าง?

office-software-designer-developer-coder-programmer-team-work

ซอฟต์แวร์โอเพนซอร์ซมีช่องโหว่ แต่ไม่มีที่ไหนใกล้เท่าซอฟต์แวร์โอเพ่นซอร์ส จุดอ่อนหลักของซอฟต์แวร์โอเพนซอร์ซคือการเข้ารหัสช่วยให้เกือบทุกคนสามารถจัดการกับมันได้ นี่คือสาเหตุหนึ่งที่ทำให้การโจมตีซอฟต์แวร์โอเพ่นซอร์สเพิ่มขึ้น 650% ในปี 2564 แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของแอปพลิเคชัน เช่น การประเมินภัยคุกคามและการเข้ารหัสโค้ดสามารถสร้างซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้นได้ แต่ความเสี่ยงโดยธรรมชาติของการเข้ารหัสโอเพนซอร์ซที่สามารถเข้าถึงได้ยังคงมีอยู่

อีกประเด็นหนึ่งอยู่ที่การใช้งาน ซอฟต์แวร์โอเพ่นซอร์สมักจะเหมาะสมกับความต้องการของนักพัฒนาโดยไม่คำนึงถึงความต้องการของผู้ใช้ บริษัทต่างๆ จะต้องเกี่ยวข้องกับการออกแบบและทดสอบแอปเพื่อให้แน่ใจว่าตรงตามความต้องการของผู้ใช้ ปัญหาอีกประการหนึ่งที่เกี่ยวข้องกับการใช้งานคือการขาดการสนับสนุนหากมีสิ่งผิดปกติเกิดขึ้น ปัญหาต่างๆ เช่น ความเข้ากันได้อาจเป็นปัญหาใหญ่กับซอฟต์แวร์โอเพนซอร์ซ ไม่จำเป็นต้องมีการสนับสนุนติดตามผลจากนักพัฒนา เนื่องจากนักพัฒนาหลายคนจากสถานที่ต่างๆ จะทำงานบนซอฟต์แวร์เสร็จแล้ว

ธุรกิจที่ใช้ซอฟต์แวร์โอเพนซอร์ซและการเข้ารหัสเบื้องหลังอาจเผชิญกับแนวทางปฏิบัติที่ไม่ดีของนักพัฒนาและการกำกับดูแลการผสานรวมที่ผ่อนคลาย ตัวอย่างที่สมบูรณ์แบบคือการแฮ็ก SolarWinds ในปี 2021 ซึ่งถือเป็นการแฮ็กที่สร้างความเสียหายมากที่สุดในห่วงโซ่อุปทานในประวัติศาสตร์

โฆษณา

ธุรกิจและหน่วยงานของรัฐกว่า 250 แห่งได้รับผลกระทบจากการแทรกซึมเข้าสู่ระบบ Orion ซึ่งดำเนินการโดยใช้ซอฟต์แวร์โอเพ่นซอร์ส ในระหว่างการอัปเดตซอฟต์แวร์สองครั้ง แฮกเกอร์ได้ปล่อยมัลแวร์ออกทั่วทั้งเครือข่าย ทำให้ธุรกิจหลายร้อยแห่งต้องหยุดชะงัก ห่วงโซ่อุปทานทั้งหมดเกือบจะหยุดทำงาน ธุรกิจและองค์กรภาครัฐยังคงรู้สึกถึงผลกระทบของการแฮ็ก หลายคนบอกว่าต้องใช้เวลาหลายปีกว่าจะฟื้นตัว

ตัวอย่างช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์ส

รหัส-การเขียนโปรแกรม-ผู้พัฒนา-โปรเจ็กเตอร์-การนำเสนอ-data

มีตัวอย่างมากมายของการโจมตีทางไซเบอร์ในธุรกิจที่ใช้ซอฟต์แวร์โอเพนซอร์ซ สิ่งนี้เชื่อมโยงกับความจริงที่ว่าหลายบริษัทใช้ซอฟต์แวร์โอเพนซอร์ซจึงกลายเป็นเป็ดนั่ง ด้านล่างนี้คือ 2 เหตุการณ์ที่โดดเด่นที่สุดและสิ่งที่บริษัทได้เรียนรู้จากเหตุการณ์เหล่านี้

2017 การละเมิดข้อมูล Equifax

ช่องโหว่-โอเพ่นซอร์ส-ซอฟต์แวร์-1

การละเมิดข้อมูล Equifax ในปี 2560 ทำให้เกิดช่องโหว่ที่แท้จริงของซอฟต์แวร์โอเพ่นซอร์ส ช่องโหว่ด้านความปลอดภัยหลายจุดซึ่งนำไปสู่การโจมตีทางไซเบอร์ทำให้นักพัฒนาเว็บและบริษัทหลายแห่งต้องเสริมกำลังซอฟต์แวร์ของตนเพื่อป้องกันการโจมตีดังกล่าว ทำไมทั้งบริษัทและผู้พัฒนา? เพราะทั้งคู่มีความผิด แฮกเกอร์ใช้ช่องโหว่ที่เข้าใจกันอย่างแพร่หลายและเข้าสู่เว็บพอร์ทัลการร้องเรียนของผู้บริโภค ช่องโหว่เหล่านั้นควรได้รับการแก้ไขโดย Equifax แต่ก็ไม่เป็นเช่นนั้น

เมื่อผ่านเว็บพอร์ทัล แฮกเกอร์สามารถย้ายข้ามระบบและจัดการเพื่อขโมยข้อมูลส่วนบุคคลของลูกค้านับล้าน วันก่อนหน้านั้น แพตช์ถูกปล่อยออกมาสำหรับช่องโหว่ที่ทราบภายในซอฟต์แวร์ แต่ Equifax เลือกที่จะไม่ใช้โปรแกรมแก้ไขในเวลาที่เพียงพอ

พวกเขาเรียนรู้อะไรจากการโจมตี? Equifax พบว่าหากโปรแกรมแก้ไขจำเป็นต้องมีการนำไปใช้ จะต้องมีการนำไปใช้งานเมื่อเปิดตัว โดยเฉพาะอย่างยิ่งองค์กรขนาดใหญ่ที่มีความเสี่ยงมากที่สุด ธุรกิจขนาดเล็กถึงขนาดกลางจะไม่พบว่าตัวเองเป็นเป้าหมายมากเท่ากับองค์กรที่มีฐานลูกค้าขนาดใหญ่ นั่นคือเหตุผลที่ Equifax ซึ่งเป็นบริษัทที่มีข้อมูลทางการเงินของลูกค้าหลายล้านคนควรดำเนินการเปลี่ยนแปลงให้เร็วขึ้น

โฆษณา

Amazon Web Services

ช่องโหว่-โอเพ่นซอร์ส-ซอฟต์แวร์-2

สิ่งนี้ยังไม่เกิดขึ้น แต่แฮกเกอร์กำลังทำงานอยู่เบื้องหลังอย่างเงียบๆ เพื่อพยายามเป็นการโจมตีซอฟต์แวร์ซัพพลายเชนล่าสุด นักพัฒนา Python และ PHP ค่อยๆ ถูกบุกรุกโดยรายงานการแฮ็กที่ประสบความสำเร็จ แต่แฮกเกอร์ยังไม่บรรลุเป้าหมาย แพ็คเกจที่พวกเขากำลังโจมตีคือ Python CTX และ phpass ของ PHP ทั้งสองเป็นแพ็คเกจซอฟต์แวร์เก่าที่ให้บริการธุรกิจมาหลายปีแล้ว

ปัจจุบันเป็นนักพัฒนาซอฟต์แวร์ที่ใช้แพ็คเกจที่ได้รับผลกระทบ แต่การแทรกซึมที่เพิ่มขึ้นอย่างเด่นชัดส่งผลให้มีการส่งคำเตือนไปยังบริษัทต่างๆ ที่ใช้แพ็คเกจซอฟต์แวร์ด้วย

คุณอาจชอบ: 12 ประเภทของ Endpoint Security ที่ธุรกิจทุกคนควรรู้

การโจมตีทางไซเบอร์ในธุรกิจที่เพิ่มขึ้นอย่างแพร่หลาย

Code-Byte-Digital-Cryptography-Cyber-Electronic-Encryption-Algorithm-Data

ไม่ใช่แค่ปัญหาเกี่ยวกับการโจมตีซอฟต์แวร์โอเพนซอร์ซเท่านั้น มีการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างเด่นชัดในธุรกิจต่างๆ ทั่วกระดาน ตัวอย่างเช่น ในสหราชอาณาจักร รัฐบาลเพิ่งออกรายงานที่กระตุ้นให้ธุรกิจและองค์กรการกุศลต่าง ๆ เสริมสร้างแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของตนท่ามกลางการโจมตีที่เพิ่มขึ้นอย่างรวดเร็ว

หลายคนเชื่อสิ่งนี้กับการระบาดใหญ่ ซึ่งเห็นบริษัทหลายแห่งลงทุนในซอฟต์แวร์ที่อนุญาตให้พวกเขาดำเนินการแบบเสมือนจริงต่อไป การศึกษาหนึ่งพบว่ามีการโจมตีเพิ่มขึ้น 300% ในระหว่างและในเดือนหลังการระบาดใหญ่ แต่การระบาดใหญ่ไม่ใช่สิ่งเดียวที่ต้องตำหนิ ตัวอย่างเช่น 5G ก็มีส่วนทำให้การโจมตีเพิ่มขึ้นเช่นกัน โลกกำลังเร่งรีบสำหรับแบนด์วิดท์ที่เร็วขึ้น แต่ด้วยการเพิ่มแบนด์วิดธ์ อุปกรณ์ IoT จะเสี่ยงต่อการถูกโจมตีมากขึ้น

ช่องว่างทักษะความปลอดภัยทางไซเบอร์ภายในองค์กรก็ดูเหมือนว่าจะมีส่วนในการโจมตีที่เพิ่มขึ้นเช่นกัน พนักงานหลายคนไม่เข้าใจถึงความเสี่ยงและผลที่ตามมาของการปฏิบัติทางไซเบอร์ที่ไม่ปลอดภัย นอกจากนี้ หลายๆ บริษัทจะไม่มีทีมรักษาความปลอดภัยทางไซเบอร์โดยเฉพาะ การให้ความรู้ในประเด็นต่างๆ เช่น อีเมลฟิชชิ่ง และส่งเสริมการปฏิบัติทางไซเบอร์ที่ปลอดภัยนั้นขึ้นอยู่กับผู้บริหาร

ทางออกคืออะไร?

Developer-coders-programming-team-work-office

วิธีแก้ไขคืออย่าหยุดใช้ซอฟต์แวร์โอเพ่นซอร์ส พิจารณาช่องโหว่และความเสี่ยงที่เกี่ยวข้อง และพิจารณาว่าซอฟต์แวร์โอเพนซอร์ซตัวใดบรรเทาได้มากที่สุด ธุรกิจต่างๆ จะต้องเลือกซอฟต์แวร์ที่เหมาะสมกับความต้องการของตนมากที่สุด ตัวอย่างเช่น ซอฟต์แวร์โอเพนซอร์สอาจดีกว่าสำหรับแบรนด์ที่มองหาทางเลือกที่ถูกกว่า ซอฟต์แวร์โอเพนซอร์สมักไม่มีป้ายราคาเหมือนกับซอฟต์แวร์โอเพนซอร์ซ

โฆษณา

ซอฟต์แวร์โอเพนซอร์ซมาพร้อมกับความเสถียรและความปลอดภัยที่มากกว่า ซึ่งซอฟต์แวร์จะไม่ถูกโจมตีจากแฮกเกอร์ ดังที่กล่าวไว้ข้างต้น ซอฟต์แวร์โอเพนซอร์ซมีข้อบกพร่องด้านความปลอดภัยที่สำคัญซึ่งทำให้เกิดการโจมตีทางไซเบอร์เพิ่มขึ้น 650% ในปี 2564 แม้ว่าธุรกิจต่างๆ จะต้องการก็ตาม พวกเขาไม่ใช่คนที่ต้องดำเนินการตรวจสอบความปลอดภัยและเข้ารหัสการเข้ารหัส มันจะเป็นการทำงานร่วมกันจำนวนมากของนักพัฒนาที่จำเป็นต้องทำเช่นนั้น

แบรนด์ควรใช้เวลาในการร่วมมือกับนักพัฒนาซอฟต์แวร์ พวกเขาควรระบุจุดอ่อนในซอฟต์แวร์และใช้โปรแกรมแก้ไขเมื่อมีการเผยแพร่ เช่นเดียวกับการแฮ็ก Equifax นักพัฒนาซอฟต์แวร์ได้เผยแพร่แพตช์วันก่อนการโจมตี เนื่องจากพวกเขาใช้แพทช์ การโจมตีจึงไม่เกิดขึ้น ในทำนองเดียวกัน การใช้การอัปเดตเป็นประจำเป็นสิ่งสำคัญ แต่ยังรวมถึงการร่วมมือกับนักพัฒนาเพื่อให้แน่ใจว่ามีการเผยแพร่การอัปเดตอย่างปลอดภัย เช่นเดียวกับตัวอย่างของ SolarWinds การอัปเดตทั้งสองบนระบบ Orion เผยให้เห็นจุดอ่อนที่แฮ็กเกอร์ใช้ประโยชน์ในทันที

ซอฟต์แวร์โอเพนซอร์ซไม่ใช่ตัวเลือกที่ใช้ได้สำหรับหลายยี่ห้อ ทางเลือกที่ดีกว่าอาจเป็นการลงทุนในทีมรักษาความปลอดภัยทางไซเบอร์โดยเฉพาะ หรือใช้เวลาในการให้ความรู้แก่พนักงานมากขึ้น ตัวอย่างเช่น การโจมตีทางอินเทอร์เน็ตที่มีชื่อเสียงจำนวนมากเริ่มต้นด้วยการใช้รหัสผ่านที่ไม่ดี แต่เป็นปัญหาที่ค่อนข้างง่ายในการแก้ไข การโจมตี Ticketmaster ในปี 2021 เป็นตัวอย่างที่สมบูรณ์แบบของสิ่งที่จะเกิดขึ้นเมื่อพนักงานไม่มีรหัสผ่านที่ปลอดภัย

คุณอาจชอบ: 17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่เลว

คำพูดสุดท้าย

vulnerabilities-open-source-software-plague-businesses-conclusion . ช่องโหว่

ในทางเทคนิคแล้ว ซอฟต์แวร์โอเพ่นซอร์สก็มีช่องโหว่เช่นเดียวกับซอฟต์แวร์โอเพ่นซอร์ส พวกมันไม่โดดเด่นเท่า ธุรกิจสามารถลดความเสี่ยงได้ด้วยตนเองโดยการเลือกซอฟต์แวร์อย่างรอบคอบ ไม่ว่าจะเป็นซอฟต์แวร์แบบเปิดหรือปิด ซึ่งนักพัฒนาที่มีชื่อเสียงได้สร้างขึ้น

อย่างไรก็ตาม สิ่งที่เห็นได้ชัดคือสิ่งที่ต้องทำเพื่อปกป้องธุรกิจทั่วโลก โดยเฉพาะอย่างยิ่งซัพพลายเชนที่ใช้ซอฟต์แวร์โอเพนซอร์ส การโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วพิสูจน์ให้เห็นว่าบริษัทและผู้บริโภคที่อ่อนแอต่อการโจมตีทางอินเทอร์เน็ตเป็นอย่างไร อาชญากรไซเบอร์สามารถเข้าถึงซอฟต์แวร์ที่ซับซ้อนได้แล้ว นักพัฒนาและแบรนด์จำเป็นต้องเข้าใจความปลอดภัยในโลกไซเบอร์มากขึ้นเพื่อป้องกันการโจมตี

โฆษณา