Socket – Securizarea software-ului cu sursă deschisă împotriva atacurilor lanțului de aprovizionare cu analiza pachetelor de următoarea generație

Odată cu apariția și ubicuitatea internetului, companiile se bazează din ce în ce mai mult pe digitalizare pentru a supraviețui și a prospera în mediul de afaceri de astăzi. Dar cu avantajele aduse de progresele tehnologice, există probleme cu care aceste afaceri trebuie să se confrunte. Încălcarea securității cibernetice este o problemă importantă pentru companii, care poate provoca multe daune. Deci, pentru a rezolva această problemă, Socket și-a lansat platforma de securitate cibernetică pentru a ajuta companiile să se protejeze împotriva atacurilor lanțului de aprovizionare cu software. Aceste companii folosesc platforma de securitate cibernetică pentru a-și proteja aplicațiile software și serviciile critice de malware și amenințări de securitate care provin din codul open source.

Citește și: 7 motive pentru care managementul resurselor este important pentru întreprinderile mici

Fondată de Feross Aboukhadijeh, compania a fost fondată în 2021 cu viziunea de a proteja ecosistemele open-source pentru companii. Accentul său a fost pe software-ul open source, care permite echipelor să construiască aplicații puternice într-un timp mai scurt. Mai mult, oricine din grup poate inspecta și contribui la cod. Aboukhadijeh și-a dat seama că, în calitate de comunitate de încredere în general, unii atacatori profită de această încredere și deschidere pentru a efectua atacuri neplăcute pe lanțul de aprovizionare. A existat o creștere fără precedent a amplorii programelor malware open-source. Aceasta este rata de creștere cu care au circulat preocupările cu privire la utilizarea continuă a software-ului open-source.

Există motive pentru care abordările încercate și de încredere nu au funcționat pentru a proteja open-source. Întreaga industrie a securității a fost întotdeauna preocupată de scanarea pentru vulnerabilități cunoscute, o abordare prea reactivă pentru a opri un atac activ al lanțului de aprovizionare. Expunerea poate dura săptămâni sau luni pentru a fi descoperite.

În cultura actuală a dezvoltării rapide, o dependență rău intenționată poate fi actualizată, îmbinată și rulată în producție în zile sau chiar ore. Acesta nu este timp suficient pentru ca un CVE să fie creat și să-și facă loc în instrumentele de scanare a vulnerabilităților pe care le folosesc echipele.

Atacurile și vulnerabilitățile lanțului de aprovizionare sunt foarte diferite și au nevoie de soluții foarte diferite:

️ Vulnerabilitățile sunt introduse accidental de un întreținător open-source. Uneori, este bine să expediați o vulnerabilitate la producție dacă are un impact redus.

️ Atacurile din lanțul de aprovizionare sunt introduse în mod intenționat de către un atacator. Nu este NICIODATĂ în regulă să trimiți programe malware pentru a afișa. Trebuie să îl prindeți ÎNAINTE să îl instalați sau să depindeți de el.

Echipele care doresc să abordeze atacurile lanțului de aprovizionare au în prezent două opțiuni:

• Efectuați un audit complet - Citiți fiecare linie de cod din toate dependențele. Foarte puține companii fac acest lucru, dar este standardul de aur pentru prevenirea atacurilor lanțului de aprovizionare. Este nevoie de o echipă cu normă întreagă pentru a gestiona acest proces – auditurile, actualizările, lista permisă și aplicarea de corecții critice de securitate. Această abordare nu este la îndemâna tuturor, cu excepția celor mai proeminente companii sau a celor mai critice aplicații pentru securitate. Este multă muncă, este lent și este scump.
• Nu face nimic – Încrucișează-ți degetele și speră la bine. Aceasta este opțiunea pe care o iau majoritatea echipelor. Pe majoritatea unităților, orice dezvoltator poate instala orice dependență pentru a face treaba și nimeni nici măcar nu se uită la codul din aceste dependențe înainte de a aproba cererea de extragere. După cum v-ați putea aștepta, această abordare lasă companiile complet vulnerabile la atacurile lanțului de aprovizionare.

Nicio abordare nu este ideală.

Citește și: 10 motive pentru care testarea software-ului este un domeniu de carieră în creștere astăzi

În timpul dezvoltării aplicației Wormhole (un instrument de transfer de fișiere criptat de la capăt la capăt), compania s-a confruntat cu provocările de selectare, gestionare și actualizare a dependențelor open source în mijlocul unui atac constant al lanțului de aprovizionare. Acest lucru a condus la necesitatea unei soluții groaznice la problemă. Și astfel, compania a investigat ce fac atacatorii de fapt odată ce au compromis un pachet. Aproape fiecare atac al lanțului de aprovizionare din ecosistemul JavaScript a urmat un model familiar. Odată ce atacatorul a obținut controlul asupra unui pachet, a adăugat scripturi de instalare, conexiuni de rețea, comenzi shell, acces la sistemul de fișiere sau cod ofuscat. Alții au folosit ingineria socială, cum ar fi typo-squatting; aceasta a oferit direcția corectă pentru o soluție. Soluția inovatoare presupune că toate pachetele open source pot fi rău intenționate și funcționează înapoi pentru a detecta în mod proactiv semnele de pachete compromise. Compania a căutat cea mai simplă modalitate de a atenua acest risc fără a afecta gradul de utilizare. Și așa, și-au propus să ajute dezvoltatorii să folosească în siguranță open source fără a sacrifica viteza de dezvoltare. În lunile următoare, Socket a luat ființă cu pachetele sale populare open source.

Compania poate detecta semnele revelatoare ale unui atac al lanțului de aprovizionare analizând static pachetele open-source și dependențele acestora. Apoi alertează dezvoltatorii atunci când pachetele se modifică în moduri relevante pentru securitate, evidențiind evenimente precum introducerea de scripturi de instalare, cod obfuscat sau utilizarea API-urilor privilegiate, cum ar fi shell, rețea, sistem de fișiere și variabile de mediu. De exemplu, pentru a detecta dacă un pachet folosește rețeaua, Socket analizează dacă modulele fetch(), retea Node, dgram, DNS, HTTP sau HTTPS sunt utilizate în pachet sau în oricare dintre dependențele acestuia. Dacă o nouă versiune a unui pachet – în special o versiune minoră sau de corecție – adaugă cod pentru a comunica cu rețeaua, acesta este un semnal roșu imens. Și astfel, problemele pachetului sunt detectate.

Răspunsul clienților la produsele și serviciile digitale ale companiei a fost excelent! Compania a protejat mii de organizații și zeci de mii de depozite în două luni de la lansare.

Clienții companiei constau din companii care doresc să se protejeze de atacuri. Este nevoie de doar câteva minute pentru a fi protejat de atacurile lanțului de aprovizionare prin instalarea aplicației companiei.

Povestea următoare: Kaaruka – O marcă de îmbrăcăminte proaspătă pentru pasionații de artă!

Mesaj pentru clienți și spectatori:

„Bibliotecile open-source sunt mai populare decât oricând. Având în vedere că codul open-source reprezintă 80-90% din majoritatea bazelor de cod, este esențial să îl gestionați eficient pentru a reduce riscul de securitate al unei organizații. Atacurile lanțului de aprovizionare cu software au explodat în ultimul an, iar componentele open source sunt din ce în ce mai folosite ca vectori. Utilizarea dependențelor de la terți fără o verificare adecvată poate duce la hacking, încălcări și diverse probleme de securitate. Socket detectează atacurile lanțului de aprovizionare înainte de dezastru, prevenind problemele de securitate cauzate de codul open-source în timp real. Socket oferă mult mai mult decât scanarea de bază a vulnerabilităților. Prin integrarea directă în fluxul de lucru al dezvoltatorului, Socket previne atacurile la care nu vă așteptați – malware, cod ascuns, greșeli de scriere și pachete înșelătoare. Socket îi ajută pe dezvoltatori să se ocupe de sănătatea dependențelor lor, spunându-le ce sursă deschisă folosesc, ce face (sau ar putea face) și ce componente prezintă cel mai mare risc. Afișând informațiile de securitate direct în GitHub și alte sisteme de control al sursei, dezvoltatorii pot evita problemele de securitate înainte de a le introduce în producție.”