困擾企業的開源軟件漏洞

已發表: 2022-06-30

開源編碼為創建軟件的企業以及需要利用它進行順利業務運營的等待企業提供了許多好處。 開源軟件只是使用開源編碼的軟​​件編碼。 這意味著編碼是開放的,人們可以相對輕鬆地查看和操作。 它的主要精神是在一定程度上分散和民主化有權訪問某些代碼的人。

它是一種高度通用但也不穩定的編碼,是 Web、應用程序和軟件開發人員的主要選擇。 這種通用且易於操作的開源代碼的漏洞可能導致軟件停機和困擾企業的安全問題。 讓我們探索一下。

廣告

目錄顯示
  • 什麼是開源代碼?
  • 它會給企業帶來什麼問題?
  • 開源軟件漏洞示例
    • 2017 年 Equifax 數據洩露
    • 亞馬遜網絡服務
  • 對企業的網絡攻擊普遍增加
  • 解決辦法是什麼?
  • 最後的話

什麼是開源代碼?

攻擊代碼網絡數據黑客安全

開源最初是指開源軟件的一個術語。 該軟件的構成將是開放編碼。 這意味著它是可公開訪問的,因此任何人都可以根據需要查看、修改和分發編碼。 另一種方法是閉源編碼,與開源軟件一樣,它指的是閉源軟件。 封閉源代碼軟件的背後是封閉編碼,這意味著它不能免費訪問。

最顯著的區別(不包括修改編碼的能力)是開源和閉源軟件的開發方式。 閉源軟件通常由一個或一小群軟件開發人員的工作來實現,每個開發人員都擁有對軟件編碼的主要訪問權限。 他們決定如何以及何時繼續開發軟件。

開源軟件看到了大規模協作來創建軟件。 大規模協作是開源開放的原因。 對於一大群人來說,它需要易於訪問。 一組開發人員可以在多個不同的國家協同工作,這本身就產生了問題。 多人在同一個房間裡從事同一個項目,便於協作。 但是在不同國家工作的開發人員可能會阻礙開發、更新和補丁。

為您推薦:網絡安全 101:保護您的辦公網絡免受在線威脅的 15 種最佳方法。

它會給企業帶來什麼問題?

辦公軟件設計師開發人員編碼器程序員團隊工作

閉源軟件有漏洞,但遠不及開源軟件那麼多。 開源軟件的主要弱點是編碼允許幾乎任何人操作它。 這是 2021 年對開源軟件的攻擊增加 650% 的原因之一。執行威脅評估和加密代碼等應用程序安全最佳實踐可以創建更安全的軟件。 但是開源編碼如此易於訪問的固有風險仍然存在。

另一個問題集中在可用性上。 開源軟件通常適合開發人員的需求,而不考慮用戶的需求。 公司必須參與應用程序的設計和測試,以確保它滿足用戶的需求。 與可用性相關的另一個問題是,如果出現問題,缺乏可用的支持。 兼容性等問題可能是開源軟件的一個大問題。 開發人員不一定會提供後續支持,因為來自不同地點的多個開發人員將完成該軟件的工作。

依賴開源軟件及其背後的編碼的企業也可能面臨糟糕的開發人員實踐和對集成的寬鬆疏忽。 完美的例子是 2021 年的 SolarWinds 黑客攻擊。這被認為是歷史上對供應鏈最具破壞性的黑客攻擊。

廣告

超過 250 家企業和政府組織受到滲透到使用開源軟件運行的 Orion 系統的影響。 在兩次軟件更新期間,黑客在整個網絡中發布了惡意軟件,導致數百家企業崩潰。 整個供應鏈幾乎停止工作。 企業和政府組織仍在感受到黑客攻擊的影響。 很多人都說需要數年才能恢復。

開源軟件漏洞示例

代碼編程開發人員投影儀演示數據

有許多使用開源軟件的企業遭受網絡攻擊的例子。 這與許多公司使用開源軟件的事實有關,從而成為坐鴨子。 以下是兩個最值得注意的事件以及公司從中學到的東西。

2017 年 Equifax 數據洩露

漏洞-開源-軟件-1

2017 年 Equifax 數據洩露事件暴露了開源軟件的真正漏洞。 導致網絡攻擊的多重安全漏洞導致許多 Web 開發人員和公司都加強他們的軟件以防止此類攻擊。 為什麼是公司和開發商? 因為雙方都有錯。 黑客利用廣為人知的漏洞並通過消費者投訴門戶網站進入。 Equifax 應該修補這些漏洞,但事實並非如此。

一旦通過門戶網站,黑客就可以在整個系統中移動並設法竊取數百萬客戶的個人數據。 幾天前,針對該軟件中的一個已知漏洞發布了一個補丁。 但 Equifax 選擇不及時實施補丁。

他們從這次襲擊中學到了什麼? Equifax 發現,如果一個補丁需要實現,它需要在發佈時實現。 值得注意的是,大型組織是最脆弱的。 中小型企業不會像擁有龐大客戶群的組織那樣成為目標。 這就是為什麼擁有數百萬客戶財務數據的公司 Equifax 應該盡快實施變革。

廣告

亞馬遜網絡服務

漏洞-開源-軟件-2

這件事還沒有發生。 但黑客正在悄悄地在後台工作,企圖成為最新的供應鏈軟件攻擊。 Python 和 PHP 開發人員正慢慢受到一些成功的黑客攻擊的影響。 但是黑客還沒有達到他們的目標。 他們攻擊的包是 Python CTX 和 PHP 的 phpass。 兩者都是為企業服務多年的舊軟件包。

目前,受到影響的是使用軟件包的軟件開發人員,但滲透的顯著增加已導致對也使用這些軟件包的公司發出警告。

您可能會喜歡:每個企業都應該知道的 12 種端點安全類型。

對企業的網絡攻擊普遍增加

Code-Byte-Digital-Cryptography-Cyber​​-Electronic-Encryption-Algorithm-Data

開源軟件攻擊不僅僅是一個問題。 對企業的網絡攻擊顯著且普遍增加。 例如,在英國,政府最近發布了一份報告,敦促企業和慈善機構在攻擊急劇增加的情況下加強其網絡安全實踐。

許多人認為這是大流行,許多公司投資於允許他們繼續虛擬運營的軟件。 一項研究發現,在大流行期間和之後的幾個月內,襲擊事件增加了 300%。 但大流行並不是唯一的罪魁禍首——例如,5G 也導致了攻擊的增加。 世界急於尋求更快的帶寬。 但是通過增加帶寬,物聯網設備將更容易受到攻擊。

組織內部的網絡安全技能差距似乎也在攻擊的增加中發揮了作用。 許多員工根本不了解不安全網絡行為的風險和後果。 此外,許多公司甚至沒有專門的網絡安全團隊。 管理層有責任對網絡釣魚電子郵件等問題進行教育並鼓勵安全的網絡實踐。

解決辦法是什麼?

開發人員編碼人員編程團隊工作辦公室

解決方案不是停止使用開源軟件。 考慮漏洞和相關風險,並確定哪些開源軟件可以盡可能多地緩解這些風險。 企業將需要尋找最適合其需求的軟件。 例如,對於尋找更便宜替代品的品牌來說,開源軟件可能會更好。 開源軟件通常沒有與閉源軟件相同的價格標籤。

廣告

閉源軟件具有更高的穩定性和安全性,該軟件不會受到黑客的攻擊。 如上所述,開源軟件存在一個重大安全漏洞,導致 2021 年網絡攻擊增加了 650%。即使企業願意,他們也不是運行安全檢查和加密編碼的人。 需要這樣做的將是開發人員的大規模協作。

品牌還應該花時間與開發人員合作。 他們應該識別軟件中的弱點並在補丁發佈時實施補丁。 與 Equifax 黑客一樣,軟件開發人員在攻擊前幾天發布了補丁。 因為他們已經應用了補丁,所以攻擊不會發生。 同樣,實施定期更新是必不可少的,但這也涉及與開發人員合作以確保安全發布更新。 與 SolarWinds 的示例一樣,Orion 系統的兩個更新暴露了黑客立即利用的弱點。

對於許多品牌來說,閉源軟件並不是一個可行的選擇。 更好的選擇可能是投資專門的網絡安全團隊或花更多時間來教育員工。 例如,許多備受矚目的網絡攻擊始於糟糕的密碼實踐,但這是一個相對容易解決的問題。 2021 年對 Ticketmaster 的攻擊是員工沒有安全密碼時可能發生的事情的完美例子。

您可能還喜歡:編寫不爛的網絡安全政策的 17 個很酷的技巧。

最後的話

漏洞-開源-軟件-瘟疫-企業-結論

從技術上講,即使是閉源軟件也存在與開源軟件相同的漏洞; 他們只是不那麼突出。 企業可以通過仔細選擇由知名開發人員創建的軟件(無論是開放的還是封閉的)自行降低風險。

然而,顯而易見的是,需要採取措施保護全球企業,尤其是使用開源軟件的供應鏈。 網絡攻擊的急劇增加證明了公司和消費者對網絡攻擊的脆弱程度。 網絡犯罪分子現在可以使用複雜的軟件。 開發人員和品牌需要變得更加精通網絡安全以防止攻擊。

廣告