• Strona główna
  • Artykuły
  • Marketing
  • Socket — zabezpieczenie oprogramowania typu open source przed atakami w łańcuchu dostaw dzięki analizie pakietów nowej generacji

Socket — zabezpieczenie oprogramowania typu open source przed atakami w łańcuchu dostaw dzięki analizie pakietów nowej generacji

Opublikowany: 2022-05-30

Wraz z nadejściem i wszechobecnością Internetu, firmy w coraz większym stopniu polegają na cyfryzacji, aby przetrwać i rozwijać się w dzisiejszym środowisku biznesowym. Jednak wraz z korzyściami płynącymi z postępu technologicznego istnieją problemy, z którymi te firmy muszą się zmagać. Naruszenie cyberbezpieczeństwa to poważny problem dla firm, który może spowodować wiele szkód. Aby rozwiązać ten problem, Socket uruchomił platformę cyberbezpieczeństwa, aby pomóc firmom chronić się przed atakami w łańcuchu dostaw oprogramowania. Firmy te wykorzystują platformę cyberbezpieczeństwa do ochrony swoich aplikacji i krytycznych usług przed złośliwym oprogramowaniem i zagrożeniami bezpieczeństwa pochodzącymi z kodu open source.

Przeczytaj także: 7 powodów, dla których zarządzanie zasobami jest ważne dla małych firm

Założona przez Ferossa Aboukhadijeha firma została założona w 2021 roku z wizją ochrony ekosystemów open source dla firm. Skupiono się na oprogramowaniu open source, które umożliwia zespołom tworzenie potężnych aplikacji w krótszym czasie. Co więcej, każdy w grupie może sprawdzić i wnieść swój wkład w kod. Aboukhadijeh zdał sobie sprawę, że jako ogólnie ufająca społeczność, niektórzy napastnicy wykorzystują to zaufanie i otwartość do przeprowadzania bezczelnych ataków na łańcuch dostaw. Nastąpił bezprecedensowy wzrost skali złośliwego oprogramowania typu open source. Taka jest stopa wzrostu, że pojawiły się obawy dotyczące dalszego korzystania z oprogramowania typu open source.

Istnieją powody, dla których wypróbowane i zaufane metody nie sprawdziły się w ochronie open source. Cała branża bezpieczeństwa zawsze była zajęta skanowaniem w poszukiwaniu znanych luk w zabezpieczeniach, zbyt reaktywnym podejściem do powstrzymania aktywnego ataku łańcucha dostaw. Odkrycie ekspozycji może zająć tygodnie lub miesiące.

W dzisiejszej kulturze szybkiego programowania złośliwą zależność można zaktualizować, scalić i uruchomić w środowisku produkcyjnym w ciągu dni, a nawet godzin. To za mało czasu, aby utworzyć CVE i trafić do narzędzi do skanowania luk w zabezpieczeniach, z których korzystają zespoły.

Ataki i luki w łańcuchu dostaw są bardzo różne i wymagają bardzo różnych rozwiązań:

️ Luki zostały przypadkowo wprowadzone przez opiekuna open-source. Czasami można wysłać lukę do produkcji, jeśli ma ona niewielki wpływ.

️ Ataki łańcucha dostaw są celowo przeprowadzane przez atakującego. Wysyłanie złośliwego oprogramowania do pokazania NIGDY nie jest w porządku. Musisz go złapać ZANIM go zainstalujesz lub na nim polegasz.

Zespoły, które chcą zająć się atakami w łańcuchu dostaw, mają obecnie dwie możliwości:

  • Wykonaj pełny audyt — przeczytaj każdy wiersz kodu we wszystkich zależnościach. Bardzo niewiele firm to robi, ale jest to złoty standard zapobiegania atakom w łańcuchu dostaw. Zarządzanie tym procesem wymaga pełnoetatowego zespołu – audyty, aktualizacje, lista dozwolonych i stosowanie krytycznych poprawek bezpieczeństwa. Takie podejście jest poza zasięgiem wszystkich poza najważniejszymi firmami lub aplikacjami o największym znaczeniu dla bezpieczeństwa. To dużo pracy, jest powolne i drogie.
  • Nic nie rób – trzymaj kciuki i miej nadzieję na najlepsze. Jest to opcja, którą wybiera większość zespołów. W większości jednostek każdy programista może zainstalować dowolną zależność, aby wykonać zadanie, i nikt nawet nie patrzy na kod w tych zależnościach przed zatwierdzeniem żądania ściągnięcia. Jak można się spodziewać, takie podejście pozostawia firmy całkowicie podatne na ataki w łańcuchu dostaw.

Żadne z podejść nie jest idealne.

Przeczytaj także: 10 powodów, dla których testowanie oprogramowania jest dziś rosnącą dziedziną kariery

Podczas opracowywania aplikacji Wormhole (narzędzie do przesyłania szyfrowanych plików typu end-to-end) firma napotkała wyzwania związane z wybieraniem, zarządzaniem i aktualizowaniem zależności open source pośród nieustannych ataków w łańcuchu dostaw. Doprowadziło to do konieczności straszliwego rozwiązania problemu. Dlatego firma zbadała, co tak naprawdę robią napastnicy po zhakowaniu pakietu. Prawie każdy atak łańcucha dostaw w ekosystemie JavaScript przebiegał według znanego wzorca. Gdy atakujący przejął kontrolę nad pakietem, dodawał skrypty instalacyjne, połączenia sieciowe, polecenia powłoki, dostęp do systemu plików lub zaciemniony kod. Inni stosowali socjotechnikę, na przykład przysiady z literówkami; to zapewniło właściwy kierunek rozwiązania. Innowacyjne rozwiązanie zakłada, że ​​wszystkie pakiety open source mogą być złośliwe i działają wstecz, aby aktywnie wykrywać oznaki złamanych pakietów. Firma szukała najprostszego sposobu na złagodzenie tego ryzyka bez szkody dla użyteczności. Dlatego postanowili pomóc programistom w bezpiecznym korzystaniu z open source bez poświęcania szybkości rozwoju. W ciągu następnych miesięcy Socket powstało z popularnymi pakietami open source.

Firma może wykryć charakterystyczne oznaki ataku w łańcuchu dostaw, analizując statycznie pakiety open source i ich zależności. Następnie ostrzega programistów, gdy pakiety zmieniają się w sposób istotny z punktu widzenia bezpieczeństwa, podkreślając zdarzenia, takie jak wprowadzenie skryptów instalacyjnych, zaciemniony kod lub użycie uprzywilejowanych interfejsów API, takich jak powłoka, sieć, system plików i zmienne środowiskowe. Na przykład, aby wykryć, czy pakiet korzysta z sieci, Socket sprawdza, czy w pakiecie są używane moduły fetch(), Node's net, dgram, DNS, HTTP lub HTTPS lub którekolwiek z jego zależności. Jeśli nowa wersja pakietu – zwłaszcza wersja podrzędna lub łatka – dodaje kod do komunikacji z siecią, jest to wielka czerwona flaga. I tak wykryto problemy z pakietem.

Reakcja klientów na cyfrowe produkty i usługi firmy była znakomita! W ciągu dwóch miesięcy od uruchomienia firma chroni tysiące organizacji i dziesiątki tysięcy repozytoriów.

Klientami firmy są firmy, które chcą chronić się przed atakami. Wystarczy kilka minut, aby zabezpieczyć się przed atakami w łańcuchu dostaw poprzez zainstalowanie aplikacji firmowej.

Next Story: Kaaruka – marka świeżej odzieży dla miłośników sztuki!

Wiadomość do klientów i widzów:

„Biblioteki open source są bardziej popularne niż kiedykolwiek wcześniej. Ponieważ kod typu open source stanowi 80-90% większości baz kodu, skuteczne zarządzanie nim ma kluczowe znaczenie w celu zmniejszenia ryzyka bezpieczeństwa organizacji. Ataki w łańcuchu dostaw oprogramowania eksplodowały w ubiegłym roku, a komponenty open source są coraz częściej wykorzystywane jako wektory. Korzystanie z zależności zewnętrznych bez odpowiedniej weryfikacji może prowadzić do włamań, naruszeń i różnych problemów z bezpieczeństwem. Socket wykrywa ataki w łańcuchu dostaw przed katastrofą, zapobiegając problemom bezpieczeństwa spowodowanym przez kod open source w czasie rzeczywistym. Socket oferuje znacznie więcej niż podstawowe skanowanie luk w zabezpieczeniach. Integrując się bezpośrednio z przepływem pracy programisty, Socket zapobiega nieoczekiwanym atakom — złośliwemu oprogramowaniu, ukrytemu kodowi, literówkom i wprowadzającym w błąd pakietom. Socket pomaga programistom zadbać o kondycję ich zależności, mówiąc im, jakiego oprogramowania open source używają, co robi (lub może zrobić) i które komponenty są najbardziej zagrożone. Udostępniając informacje o bezpieczeństwie bezpośrednio w GitHub i innych systemach kontroli źródła, programiści mogą uniknąć problemów z bezpieczeństwem przed wprowadzeniem ich do produkcji”.