نقاط الضعف في البرامج مفتوحة المصدر التي تصيب الشركات

يوفر الترميز مفتوح المصدر العديد من الفوائد للمؤسسات التي تقوم بإنشاء البرامج والشركات المنتظرة التي تحتاج إلى استخدامها لعمليات تجارية سلسة. البرمجيات مفتوحة المصدر هي ببساطة برمجيات مشفرة باستخدام ترميز مفتوح المصدر. هذا يعني أن الترميز مفتوح للأشخاص لعرضه والتعامل معه بسهولة نسبيًا. تتمثل روحها الرئيسية في أنها تجعل اللامركزية وتضفي الطابع الديمقراطي - إلى حد ما - على من لديه إمكانية الوصول إلى رموز معينة.

إنه ترميز متعدد الاستخدامات ولكنه أيضًا متقلب وهو الخيار السائد لمطوري الويب والتطبيقات والبرامج. يمكن أن تتسبب نقاط الضعف في رمز مفتوح المصدر متعدد الاستخدامات ويمكن التلاعب به بسهولة في تعطل البرامج ومشكلات السلامة التي تصيب الشركات. دعنا نستكشف.

ما هي التعليمات البرمجية مفتوحة المصدر؟

المصدر المفتوح هو في الأصل مصطلح يشير إلى البرامج مفتوحة المصدر. سيكون تركيب هذا البرنامج عبارة عن ترميز مفتوح. هذا يعني أنه يمكن الوصول إليه بشكل عام حتى يتمكن أي شخص من رؤيته وتعديله وتوزيعه كما يحلو له. البديل هو الترميز مغلق المصدر ، والذي يشير ، مثل البرامج مفتوحة المصدر ، إلى البرامج المغلقة المصدر. خلف هذا البرنامج مغلق المصدر ، كان هناك ترميز مغلق ، مما يعني أنه لا يمكن الوصول إليه بحرية.

يتمثل الاختلاف الأكثر بروزًا ، باستثناء القدرة على تعديل الترميز ، في كيفية تطوير برامج المصدر المفتوح والمغلق. عادةً ما تؤتي البرامج المغلقة المصدر ثمارها من خلال عمل واحد أو فريق صغير من مطوري البرامج الذين يتمتع كل منهم بإمكانية الوصول الرئيسي إلى تشفير البرنامج. إنهم يحددون كيف ومتى يواصلون تطوير البرنامج.

ترى البرامج مفتوحة المصدر تعاونًا كبيرًا لإنشاء البرنامج. التعاون الجماعي هو سبب فتح المصدر المفتوح. يجب أن يكون الوصول إليه سهلاً لفريق كبير من الأشخاص. يمكن لمجموعة واحدة من المطورين العمل بشكل تعاوني في عدة بلدان مختلفة ، مما يخلق مشكلة في حد ذاته. يعمل العديد من الأشخاص في نفس المشروع في نفس الغرفة على تسهيل التعاون. لكن يمكن للمطورين الذين يعملون في بلدان مختلفة إعاقة التطوير والتحديثات والتصحيحات.

موصى به لك: Network Security 101: 15 أفضل الطرق لتأمين شبكة Office من التهديدات عبر الإنترنت.

ما هي القضايا التي يمكن أن تخلقها للشركات؟

تحتوي البرامج المغلقة المصدر على نقاط ضعف ولكنها لا تقترب من البرامج مفتوحة المصدر. يتمثل الضعف الرئيسي في البرامج مفتوحة المصدر في أن الترميز يسمح لأي شخص تقريبًا بالتلاعب بها. هذا هو أحد الأسباب التي أدت إلى حدوث زيادة بنسبة 650٪ في الهجمات على البرامج مفتوحة المصدر في عام 2021. يمكن أن تؤدي أفضل ممارسات أمان التطبيقات ، مثل إجراء تقييمات للتهديدات وتشفير الشفرة ، إلى إنشاء برامج أكثر أمانًا. لكن الخطر الكامن في إمكانية الوصول إلى الترميز مفتوح المصدر بشكل كبير لا يزال قائماً.

قضية أخرى تتمحور حول سهولة الاستخدام. عادةً ما تلائم البرامج مفتوحة المصدر احتياجات المطورين دون مراعاة احتياجات المستخدم. يجب أن تشارك الشركات في تصميم واختبار التطبيق للتأكد من أنه يلبي احتياجات المستخدم. هناك مشكلة أخرى مرتبطة بقابلية الاستخدام وهي نقص الدعم المتاح إذا حدث خطأ ما. يمكن أن تكون مشكلات مثل التوافق مشكلة كبيرة في البرامج مفتوحة المصدر. لا يوجد بالضرورة دعم متابعة من المطورين لأن العديد من المطورين من مواقع مختلفة سيكونون قد أكملوا العمل على البرنامج.

قد تواجه الشركات التي تعتمد على البرامج مفتوحة المصدر والترميز وراءها أيضًا ممارسات مطورين سيئة وإشرافًا مريحًا على عمليات الدمج. وخير مثال على ذلك هو اختراق SolarWinds لعام 2021. ويُعتقد أن هذا الاختراق الأكثر ضررًا في سلسلة التوريد في التاريخ.

تأثر أكثر من 250 شركة ومنظمة حكومية بالتسلل إلى نظام Orion ، الذي كان يعمل باستخدام برمجيات مفتوحة المصدر. خلال تحديثين للبرنامج ، أطلق المتسللون برامج ضارة عبر الشبكة ، مما تسبب في تعطل مئات الشركات. توقفت سلسلة التوريد بأكملها عن العمل تقريبًا. لا تزال الشركات والمؤسسات الحكومية تشعر بآثار الاختراق. يقول الكثيرون إن التعافي سيستغرق سنوات.

أمثلة على ثغرات البرامج مفتوحة المصدر

هناك العديد من الأمثلة على الهجمات الإلكترونية على الشركات التي تستخدم برامج مفتوحة المصدر. هذا مرتبط بحقيقة أن العديد من الشركات تستخدم برمجيات مفتوحة المصدر ، وبالتالي تصبح بطيئة. فيما يلي اثنين من أبرز الأحداث وما تعلمته الشركات منهم.

2017 خرق بيانات Equifax

سلط خرق بيانات Equifax لعام 2017 الضوء على نقاط الضعف الحقيقية للبرامج مفتوحة المصدر. أدت الثغرات الأمنية المتعددة التي أدت إلى الهجوم السيبراني إلى قيام العديد من مطوري الويب والشركات على حد سواء بتعزيز برامجهم لمنع مثل هذا الهجوم. لماذا كل من الشركة والمطور؟ لأن كلاهما كان على خطأ. استغل المتسللون نقاط الضعف المفهومة على نطاق واسع ودخلوا من خلال بوابة إلكترونية لشكاوى المستهلكين. كان من المفترض أن يتم تصحيح هذه الثغرات الأمنية بواسطة Equifax ، لكنها لم تكن كذلك.

بمجرد عبور بوابة الويب ، يمكن للمتسللين التنقل عبر النظام وإدارة سرقة ملايين البيانات الشخصية للعملاء. قبل أيام من ذلك ، تم إصدار تصحيح لثغرة معروفة داخل البرنامج. لكن Equifax اختارت عدم تنفيذ التصحيح في وقت كافٍ.

ماذا تعلموه من الهجوم؟ وجد Equifax أنه إذا كان التصحيح يحتاج إلى التنفيذ ، فإنه يحتاج إلى التنفيذ عند إصداره. والجدير بالذكر أن المنظمات الكبيرة هي الأكثر عرضة للخطر. لن تجد الشركات الصغيرة والمتوسطة الحجم نفسها مستهدفة بقدر ما تجد المؤسسات التي لديها قاعدة عملاء ضخمة. هذا هو السبب في أن شركة Equifax ، وهي الشركة التي تحتفظ بالملايين من البيانات المالية للعملاء ، كان ينبغي أن تعمل على تنفيذ التغييرات في وقت أقرب.

خدمات أمازون ويب

هذا لم يحدث بعد. لكن المتسللين يعملون بهدوء في الخلفية في محاولة ليصبحوا أحدث هجوم لبرامج سلسلة التوريد. مطورو Python و PHP يتعرضون ببطء للاختراق من خلال عدد قليل من الاختراقات الناجحة المبلغ عنها. لكن المتسللين لم يصلوا بعد إلى هدفهم. الحزم التي يهاجمونها هي Python CTX و PHP's phpass. كلاهما عبارة عن حزم برامج قديمة خدمت الشركات لسنوات عديدة.

في الوقت الحالي ، يتأثر مطورو البرامج الذين يستخدمون الحزم ، لكن الزيادة الملحوظة في عمليات التسلل أدت إلى إطلاق تحذيرات تجاه الشركات التي تستخدم حزم البرامج أيضًا.

قد يعجبك: 12 نوعًا من أمان نقطة النهاية يجب أن يعرفها كل عمل.

الارتفاع الواسع في الهجمات الإلكترونية على الشركات

لا توجد مشكلة فقط في هجمات البرامج مفتوحة المصدر. هناك ارتفاع ملحوظ وواسع النطاق في الهجمات الإلكترونية على الشركات في جميع المجالات. في المملكة المتحدة ، على سبيل المثال ، أصدرت الحكومة مؤخرًا تقريرًا حث الشركات والجمعيات الخيرية على تعزيز ممارسات الأمن السيبراني وسط ارتفاع حاد في الهجمات.

يعتقد الكثيرون أن هذا الأمر يعود إلى الوباء ، الذي شهد قيام العديد من الشركات بالاستثمار في البرمجيات التي سمحت لهم بمواصلة العمل بشكل افتراضي. وجدت إحدى الدراسات أن هناك زيادة بنسبة 300٪ في الهجمات أثناء الجائحة وفي الأشهر التي تليها. لكن الوباء ليس هو المسؤول الوحيد - 5G ، على سبيل المثال ، تساهم أيضًا في زيادة الهجمات. كان العالم في عجلة من أمره للحصول على نطاق ترددي أسرع. ولكن من خلال زيادة النطاق الترددي ، ستكون أجهزة إنترنت الأشياء أكثر عرضة للهجمات.

يبدو أن فجوة مهارات الأمن السيبراني داخل المنظمات تلعب أيضًا دورًا في زيادة الهجمات. لا يفهم العديد من الموظفين مخاطر وعواقب الممارسات الإلكترونية غير الآمنة. بالإضافة إلى ذلك ، لن يكون لدى العديد من الشركات فريق متخصص للأمن السيبراني. الأمر متروك للإدارة للتثقيف بشأن قضايا مثل رسائل البريد الإلكتروني المخادعة وتشجيع الممارسات الإلكترونية الآمنة.

ماهو الحل؟

الحل هو عدم التوقف عن استخدام البرامج مفتوحة المصدر. ضع في اعتبارك نقاط الضعف والمخاطر المرتبطة بها وحدد البرامج مفتوحة المصدر التي تخفف أكبر عدد ممكن منها. ستحتاج الشركات إلى اختيار البرنامج الأنسب لاحتياجاتهم. على سبيل المثال ، قد تكون البرامج مفتوحة المصدر أفضل للعلامات التجارية التي تبحث عن بدائل أرخص. لا تحتوي البرامج مفتوحة المصدر عادةً على نفس سعر البرامج المغلقة المصدر.

يأتي البرنامج مغلق المصدر بمزيد من الاستقرار والأمان بحيث لا يتعرض البرنامج للهجوم من المتسللين. كما ذكرنا سابقًا ، فإن البرامج مفتوحة المصدر بها عيب أمني كبير تسبب في زيادة الهجمات الإلكترونية بنسبة 650٪ في عام 2021. حتى لو أرادت الشركات ذلك ، فهي ليست من يقوم بإجراء فحوصات أمنية وتشفير الترميز. سيكون التعاون الجماعي للمطورين هو الذي يحتاج إلى القيام بذلك.

يجب أن تأخذ العلامات التجارية الوقت أيضًا في التعاون مع المطورين. يجب عليهم تحديد نقاط الضعف في البرنامج وتنفيذ التصحيحات فور إصدارها. كما هو الحال مع Equifax hack ، أصدر مطورو البرامج التصحيح قبل أيام من الهجوم. لأنهم قاموا بتطبيق التصحيح ، لم يكن الهجوم ليحدث. وبالمثل ، يعد تنفيذ التحديثات المنتظمة أمرًا ضروريًا ، ولكن هذا يتضمن أيضًا التعاون مع المطورين لضمان إصدار التحديثات بشكل آمن. كما هو الحال مع مثال SolarWinds ، كشف التحديثان على نظام Orion نقاط الضعف التي استغلها المتسللون على الفور.

البرامج المغلقة المصدر ليست خيارًا قابلاً للتطبيق للعديد من العلامات التجارية. قد يكون البديل الأفضل هو الاستثمار في فريق متخصص للأمن السيبراني أو قضاء المزيد من الوقت لتثقيف الموظفين. بدأت العديد من الهجمات الإلكترونية رفيعة المستوى بممارسات كلمات المرور السيئة ، على سبيل المثال ، ولكنها مشكلة يسهل حلها نسبيًا. الهجوم على Ticketmaster في عام 2021 هو المثال المثالي لما يمكن أن يحدث عندما لا يمتلك الموظفون كلمات مرور آمنة.

قد يعجبك أيضًا: 17 نصيحة رائعة لكتابة سياسة الأمن السيبراني غير المقنعة.

الكلمات الأخيرة

من الناحية الفنية ، حتى البرمجيات المغلقة المصدر لديها نفس نقاط الضعف مثل البرمجيات مفتوحة المصدر. هم فقط ليسوا بارزين. يمكن للشركات أن تخفف من المخاطر بأنفسها عن طريق اختيار البرامج بعناية ، سواء كانت مفتوحة أو مغلقة ، والتي أنشأها المطورون ذوو السمعة الطيبة.

ما هو واضح ، مع ذلك ، هو ما يجب القيام به لحماية الشركات في جميع أنحاء العالم ، وخاصة سلاسل التوريد باستخدام برامج مفتوحة المصدر. يثبت الارتفاع الحاد في الهجمات الإلكترونية مدى تعرض الشركات والمستهلكين للهجمات الإلكترونية. يمكن لمجرمي الإنترنت الآن الوصول إلى البرامج المعقدة. يحتاج المطورون والعلامات التجارية إلى أن يصبحوا أكثر ذكاءً في مجال الأمن السيبراني لمنع الهجمات.