Уязвимости программного обеспечения с открытым исходным кодом, от которых страдает бизнес

Программирование с открытым исходным кодом дает множество преимуществ для предприятий, создающих программное обеспечение, и для тех предприятий, которым необходимо использовать его для бесперебойной работы бизнеса. Программное обеспечение с открытым исходным кодом — это просто программное обеспечение, закодированное с использованием кодирования с открытым исходным кодом. Это означает, что код открыт для просмотра и манипулирования людьми относительно легко. Его основная идея заключается в том, что он децентрализует и демократизирует — до некоторой степени — тех, кто имеет доступ к определенным кодам.

Это очень универсальный, но также изменчивый код, который является доминирующим выбором для веб-разработчиков, разработчиков приложений и программного обеспечения. Уязвимости такого универсального и легко манипулируемого кода с открытым исходным кодом могут привести к простою программного обеспечения и проблемам с безопасностью, от которых страдает бизнес. Давайте исследовать.

Что такое открытый код?

Открытый исходный код изначально был термином, который относился к программному обеспечению с открытым исходным кодом. Состав этого программного обеспечения будет открытым кодированием. Это означает, что он общедоступен, поэтому каждый может его просматривать, изменять и распространять код по своему усмотрению. Альтернативой является кодирование с закрытым исходным кодом, которое, как и программное обеспечение с открытым исходным кодом, относится к программному обеспечению с закрытым исходным кодом. За этим программным обеспечением с закрытым исходным кодом стояло закрытое кодирование, что означает, что оно не находится в свободном доступе.

Наиболее заметное различие, не считая возможности изменять код, заключается в том, как разрабатывается программное обеспечение с открытым и закрытым исходным кодом. Программное обеспечение с закрытым исходным кодом обычно создается благодаря работе одного или небольшой группы разработчиков программного обеспечения, каждый из которых будет иметь главный доступ к кодированию программного обеспечения. Они определяют, как и когда они будут продолжать разработку программного обеспечения.

Программное обеспечение с открытым исходным кодом предполагает массовое сотрудничество для создания программного обеспечения. Массовое сотрудничество — причина, по которой открытый исходный код открыт. Он должен быть легко доступен для большой группы людей. Одна группа разработчиков может совместно работать в нескольких разных странах, что само по себе создает проблему. Несколько человек, работающих над одним проектом в одной комнате, упрощают совместную работу. Но разработчики, работающие в разных странах, могут мешать разработке, обновлениям и патчам.

Рекомендуется для вас: Network Security 101: 15 лучших способов защитить вашу офисную сеть от онлайн-угроз.

Какие проблемы это может создать для бизнеса?

Программное обеспечение с закрытым исходным кодом имеет уязвимости, но далеко не так много, как программное обеспечение с открытым исходным кодом. Основная слабость программного обеспечения с открытым исходным кодом заключается в том, что код позволяет почти любому манипулировать им. Это одна из причин, по которой в 2021 году количество атак на программное обеспечение с открытым исходным кодом увеличилось на 650%. Передовые методы обеспечения безопасности приложений, такие как оценка угроз и шифрование кода, могут создавать более безопасное программное обеспечение. Но неотъемлемый риск того, что код с открытым исходным кодом будет настолько доступным, все еще существует.

Еще одна проблема связана с удобством использования. Программное обеспечение с открытым исходным кодом обычно удовлетворяет потребности разработчиков без учета потребностей пользователя. Компании должны участвовать в разработке и тестировании приложения, чтобы убедиться, что оно отвечает потребностям пользователя. Еще одна проблема, связанная с удобством использования, — отсутствие поддержки на случай, если что-то пойдет не так. Такие вопросы, как совместимость, могут быть большой проблемой для программного обеспечения с открытым исходным кодом. Последующая поддержка со стороны разработчиков не обязательна, потому что несколько разработчиков из разных мест завершили работу над программным обеспечением.

Компании, полагающиеся на программное обеспечение с открытым исходным кодом и программирование, стоящее за ним, также могут столкнуться с плохой практикой разработчиков и слабым контролем за интеграциями. Прекрасным примером является взлом SolarWinds в 2021 году. Считается, что это самый разрушительный взлом цепочки поставок в истории.

Более 250 предприятий и государственных организаций пострадали от проникновения в систему Orion, которая работала с использованием программного обеспечения с открытым исходным кодом. Во время двух обновлений программного обеспечения хакеры распространили вредоносное ПО по всей сети, что привело к краху сотен предприятий. Вся цепочка поставок практически перестала работать. Последствия взлома до сих пор ощущаются предприятиями и государственными организациями. Многие говорят, что на восстановление уйдут годы.

Примеры уязвимостей программного обеспечения с открытым исходным кодом

Есть много примеров кибератак на предприятия, использующие программное обеспечение с открытым исходным кодом. Это связано с тем, что очень многие компании используют программное обеспечение с открытым исходным кодом, становясь, таким образом, легкой добычей. Ниже приведены два наиболее заметных события и то, чему они научились.

Нарушение данных Equifax в 2017 г.

Утечка данных Equifax в 2017 году выявила настоящие уязвимости программного обеспечения с открытым исходным кодом. Многочисленные нарушения безопасности, которые привели к кибератаке, побудили многих веб-разработчиков и компании усилить свое программное обеспечение, чтобы предотвратить такую ​​атаку. Почему и компания, и разработчик? Потому что оба были виноваты. Хакеры воспользовались широко известными уязвимостями и проникли через веб-портал жалоб потребителей. Эти уязвимости должны были быть закрыты Equifax, но этого не произошло.

Пройдя через веб-портал, хакеры могли перемещаться по системе и украсть личные данные миллионов клиентов. За несколько дней до этого был выпущен патч для устранения известной уязвимости в программном обеспечении. Но Equifax решила не внедрять патч в достаточное время.

Что они узнали из нападения? Компания Equifax обнаружила, что если патч нуждается в реализации, он должен быть реализован после выпуска. Примечательно, что наиболее уязвимыми являются крупные организации. Малый и средний бизнес не станет мишенью в такой степени, как организации с большой клиентской базой. Вот почему Equifax, компании, которая хранит финансовые данные миллионов клиентов, нужно было работать над внедрением изменений как можно раньше.

Веб-сервисы Амазонки

Этого еще не было. Но хакеры тихо работают в фоновом режиме, пытаясь стать последней атакой на программное обеспечение цепочки поставок. Разработчики Python и PHP постепенно становятся жертвами нескольких успешных взломов. Но хакеры еще не достигли своей цели. Пакеты, которые они атакуют, — это Python CTX и PHP phpass. Оба являются старыми программными пакетами, которые служат бизнесу уже много лет.

В настоящее время затронуты разработчики программного обеспечения, использующие пакеты программного обеспечения, но заметное увеличение числа заражений привело к предупреждениям, выдаваемым компаниям, которые также используют пакеты программного обеспечения.

Вам может понравиться: 12 типов Endpoint Security, которые должен знать каждый бизнес.

Повсеместный рост кибератак на бизнес

Проблема заключается не только в атаках на программное обеспечение с открытым исходным кодом. Наблюдается заметный и широко распространенный рост кибератак на предприятия по всем направлениям. В Великобритании, например, правительство недавно опубликовало отчет, в котором призвало предприятия и благотворительные организации укрепить свои методы кибербезопасности на фоне резкого роста атак.

Многие считают, что это связано с пандемией, когда многие компании инвестировали в программное обеспечение, что позволило им продолжать работать виртуально. Одно исследование показало, что во время и в течение нескольких месяцев после пандемии количество атак увеличилось на 300%. Но виновата не только пандемия — например, 5G также способствует росту атак. Мир спешил за более быстрой пропускной способностью. Но за счет увеличения пропускной способности устройства IoT будут более уязвимы для атак.

Нехватка навыков кибербезопасности в организациях также, по-видимому, играет роль в росте числа атак. Многие сотрудники просто не понимают рисков и последствий небезопасных действий в киберпространстве. Кроме того, во многих компаниях даже нет специальной команды по кибербезопасности. Руководство должно разъяснять такие проблемы, как фишинговые электронные письма, и поощрять безопасные методы кибербезопасности.

Каково решение?

Решение состоит в том, чтобы не прекращать использовать программное обеспечение с открытым исходным кодом. Рассмотрите уязвимости и связанные с ними риски и определите, какое программное обеспечение с открытым исходным кодом максимально снижает их количество. Предприятиям необходимо будет выбрать программное обеспечение, наиболее подходящее для их нужд. Например, программное обеспечение с открытым исходным кодом может быть лучше для брендов, которые ищут более дешевые альтернативы. Программное обеспечение с открытым исходным кодом обычно не имеет той же цены, что и программное обеспечение с закрытым исходным кодом.

Программное обеспечение с закрытым исходным кодом обладает большей стабильностью и безопасностью, поэтому программное обеспечение не подвергается атаке со стороны хакеров. Как упоминалось выше, программное обеспечение с открытым исходным кодом имеет серьезный недостаток безопасности, который привел к увеличению числа кибератак на 650% в 2021 году. Даже если бы компании захотели, они не должны проводить проверки безопасности и шифровать код. Для этого необходимо массовое сотрудничество разработчиков.

Бренды также должны уделять время сотрудничеству с разработчиками. Они должны выявлять слабые места в программном обеспечении и внедрять исправления по мере их выпуска. Как и в случае со взломом Equifax, разработчики программного обеспечения выпустили патч за несколько дней до атаки. Поскольку они применили патч, атаки не произошло бы. Точно так же очень важно внедрять регулярные обновления, но это также предполагает сотрудничество с разработчиками для обеспечения безопасного выпуска обновлений. Как и в случае с SolarWinds, два обновления системы Orion выявили слабые места, которыми немедленно воспользовались хакеры.

Программное обеспечение с закрытым исходным кодом не является жизнеспособным вариантом для многих брендов. Лучшей альтернативой может быть инвестирование в специальную команду по кибербезопасности или выделение большего количества времени на обучение сотрудников. Например, многочисленные громкие кибератаки начались с неправильного использования паролей, но решить эту проблему относительно легко. Атака на Ticketmaster в 2021 году — прекрасный пример того, что может произойти, если у сотрудников нет надежных паролей.

Вам также может понравиться: 17 крутых советов по написанию политики кибербезопасности, которая не будет отстойной.

Заключительные слова

С технической точки зрения, даже программное обеспечение с закрытым исходным кодом имеет те же уязвимости, что и программное обеспечение с открытым исходным кодом; они просто не такие заметные. Предприятия могут сами снизить риски, тщательно выбирая программное обеспечение, открытое или закрытое, созданное уважаемыми разработчиками.

Однако очевидно, что необходимо сделать для защиты предприятий по всему миру, особенно цепочек поставок, использующих программное обеспечение с открытым исходным кодом. Резкий рост кибератак доказывает, насколько уязвимы компании и потребители для кибератак. Киберпреступники теперь имеют доступ к сложному программному обеспечению. Разработчики и бренды должны лучше разбираться в кибербезопасности, чтобы предотвратить атаки.