ช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์สที่สร้างความเสียหายให้กับธุรกิจ

เผยแพร่แล้ว: 2022-06-30

การเข้ารหัสแบบโอเพ่นซอร์สมีประโยชน์มากมายสำหรับองค์กรที่สร้างซอฟต์แวร์และธุรกิจที่รอคอยซึ่งจำเป็นต้องใช้ซอฟต์แวร์นี้เพื่อการดำเนินธุรกิจที่ราบรื่น ซอฟต์แวร์โอเพ่นซอร์สเป็นเพียงซอฟต์แวร์ที่เข้ารหัสโดยใช้การเข้ารหัสโอเพ่นซอร์ส ซึ่งหมายความว่าการเข้ารหัสเปิดให้ผู้คนดูและจัดการได้ค่อนข้างง่าย ร๊อคหลักของมันคือการกระจายอำนาจและทำให้เป็นประชาธิปไตย - ในระดับหนึ่ง - ใครสามารถเข้าถึงรหัสบางอย่างได้

เป็นการเข้ารหัสที่มีความอเนกประสงค์สูงแต่ยังมีความผันผวนซึ่งเป็นตัวเลือกหลักสำหรับนักพัฒนาเว็บ แอป และซอฟต์แวร์ ช่องโหว่ของรหัสโอเพ่นซอร์สที่หลากหลายและจัดการได้ง่ายเช่นนี้อาจทำให้ซอฟต์แวร์หยุดทำงานและปัญหาด้านความปลอดภัยที่สร้างความเสียหายให้กับธุรกิจ มาสำรวจกัน

แสดง สารบัญ
  • โอเพ่นซอร์สโค้ดคืออะไร?
  • สร้างประเด็นอะไรให้กับธุรกิจได้บ้าง?
  • ตัวอย่างช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์ส
    • การละเมิดข้อมูล Equifax ในปี 2560
    • บริการเว็บอเมซอน
  • การโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วต่อธุรกิจ
  • ทางออกคืออะไร?
  • คำสุดท้าย

โอเพ่นซอร์สโค้ดคืออะไร?

โจมตีรหัสไซเบอร์ข้อมูลแฮ็คความปลอดภัย

โอเพ่นซอร์สเดิมเป็นคำที่อ้างถึงซอฟต์แวร์โอเพ่นซอร์ส ส่วนประกอบของซอฟต์แวร์นั้นจะเป็นการเข้ารหัสแบบเปิด ซึ่งหมายความว่าสามารถเข้าถึงได้แบบสาธารณะ ดังนั้นทุกคนสามารถดู แก้ไข และแจกจ่ายโค้ดได้ตามต้องการ ทางเลือกอื่นคือการเข้ารหัสแบบโอเพ่นซอร์ส ซึ่งเหมือนกับซอฟต์แวร์โอเพ่นซอร์ส ซึ่งหมายถึงซอฟต์แวร์แบบโอเพ่นซอร์ส เบื้องหลังซอฟต์แวร์โอเพนซอร์สนั้นเป็นการเข้ารหัสแบบปิด ซึ่งหมายความว่าไม่สามารถเข้าถึงได้โดยอิสระ

ความแตกต่างที่เห็นได้ชัดเจนที่สุด ซึ่งไม่รวมถึงความสามารถในการแก้ไขโค้ด คือวิธีการพัฒนาซอฟต์แวร์โอเพ่นซอร์สและโอเพ่นซอร์ส โดยทั่วไปแล้วซอฟต์แวร์โอเพนซอร์ซจะประสบความสำเร็จโดยการทำงานของนักพัฒนาซอฟต์แวร์หนึ่งหรือทีมเล็กๆ ซึ่งแต่ละคนจะมีสิทธิ์เข้าถึงหลักในการเข้ารหัสของซอฟต์แวร์ พวกเขากำหนดวิธีการและเวลาที่พวกเขาจะพัฒนาซอฟต์แวร์ต่อไป

ซอฟต์แวร์โอเพ่นซอร์สเห็นการทำงานร่วมกันจำนวนมากเพื่อสร้างซอฟต์แวร์ การทำงานร่วมกันจำนวนมากเป็นเหตุผลที่โอเพ่นซอร์สเปิดอยู่ ต้องสามารถเข้าถึงได้ง่ายสำหรับกลุ่มคนจำนวนมาก นักพัฒนาซอฟต์แวร์กลุ่มหนึ่งสามารถทำงานร่วมกันในหลายๆ ประเทศ ซึ่งสร้างปัญหาในตัวมันเอง หลายคนทำงานในโครงการเดียวกันในห้องเดียวกันทำให้ทำงานร่วมกันได้ง่าย แต่นักพัฒนาที่ทำงานในประเทศต่างๆ อาจขัดขวางการพัฒนา การอัปเดต และแพตช์

แนะนำสำหรับคุณ: ความปลอดภัยเครือข่าย 101: 15 วิธีที่ดีที่สุดในการรักษาความปลอดภัยเครือข่ายสำนักงานของคุณจากภัยคุกคามออนไลน์

สร้างประเด็นอะไรให้กับธุรกิจได้บ้าง?

office-software-designer-developer-coder-programmer-team-work

ซอฟต์แวร์โอเพ่นซอร์สมีช่องโหว่ แต่ไม่มีที่ไหนใกล้เคียงกับซอฟต์แวร์โอเพ่นซอร์ส จุดอ่อนหลักของซอฟต์แวร์โอเพ่นซอร์สคือการเข้ารหัสทำให้เกือบทุกคนสามารถจัดการได้ นี่คือหนึ่งในเหตุผลที่ทำให้มีการโจมตีซอฟต์แวร์โอเพ่นซอร์สเพิ่มขึ้น 650% ในปี 2564 แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของแอปพลิเคชัน เช่น การประเมินภัยคุกคามและการเข้ารหัสโค้ดสามารถสร้างซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น แต่ความเสี่ยงโดยธรรมชาติของการเข้ารหัสโอเพ่นซอร์สที่สามารถเข้าถึงได้ยังคงมีอยู่

ปัญหาอื่นเกี่ยวกับการใช้งาน โดยทั่วไปซอฟต์แวร์โอเพ่นซอร์สจะเหมาะกับความต้องการของนักพัฒนาโดยไม่คำนึงถึงความต้องการของผู้ใช้ บริษัทต้องมีส่วนร่วมในการออกแบบและทดสอบแอปเพื่อให้แน่ใจว่าตรงตามความต้องการของผู้ใช้ ปัญหาอีกประการหนึ่งที่เกี่ยวข้องกับการใช้งานคือการขาดการสนับสนุนหากมีสิ่งผิดปกติเกิดขึ้น ปัญหาเช่นความเข้ากันได้อาจเป็นปัญหาใหญ่กับซอฟต์แวร์โอเพ่นซอร์ส ไม่จำเป็นต้องมีการสนับสนุนติดตามผลจากนักพัฒนา เนื่องจากนักพัฒนาหลายคนจากสถานที่ต่างๆ จะทำงานบนซอฟต์แวร์จนเสร็จสิ้น

ธุรกิจที่อาศัยซอฟต์แวร์โอเพ่นซอร์สและการเข้ารหัสที่อยู่เบื้องหลังอาจต้องเผชิญกับแนวทางปฏิบัติที่ไม่ดีของนักพัฒนาและการกำกับดูแลการผสานรวมที่ผ่อนคลาย ตัวอย่างที่สมบูรณ์แบบคือการแฮ็ก SolarWinds ในปี 2021 ซึ่งคิดว่าเป็นการแฮ็กที่สร้างความเสียหายมากที่สุดในห่วงโซ่อุปทานในประวัติศาสตร์

ธุรกิจและองค์กรภาครัฐกว่า 250 แห่งได้รับผลกระทบจากการแทรกซึมเข้าไปในระบบ Orion ซึ่งดำเนินการโดยใช้ซอฟต์แวร์โอเพ่นซอร์ส ในระหว่างการอัปเดตซอฟต์แวร์ 2 ครั้ง แฮ็กเกอร์ได้ปล่อยมัลแวร์ไปทั่วเครือข่าย ทำให้ธุรกิจหลายร้อยแห่งล่ม ห่วงโซ่อุปทานทั้งหมดเกือบจะหยุดทำงาน ธุรกิจและองค์กรภาครัฐยังคงรู้สึกถึงผลกระทบของการแฮ็ก หลายคนบอกว่าจะใช้เวลาหลายปีในการฟื้นตัว

ตัวอย่างช่องโหว่ของซอฟต์แวร์โอเพ่นซอร์ส

โค้ดโปรแกรมมิ่งผู้พัฒนาโปรเจ็กเตอร์การนำเสนอข้อมูล

มีตัวอย่างมากมายของการโจมตีทางไซเบอร์ในธุรกิจที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส สิ่งนี้เชื่อมโยงกับความจริงที่ว่าหลายบริษัทใช้ซอฟต์แวร์โอเพ่นซอร์ส ดังนั้นจึงกลายเป็นเป็ด ด้านล่างนี้คือเหตุการณ์ที่โดดเด่นที่สุด 2 เหตุการณ์และสิ่งที่บริษัทต่างๆ ได้เรียนรู้จากเหตุการณ์เหล่านี้

การละเมิดข้อมูล Equifax ในปี 2560

ช่องโหว่-โอเพ่นซอร์ส-ซอฟต์แวร์-1

การละเมิดข้อมูลของ Equifax ในปี 2560 ทำให้เห็นช่องโหว่ที่แท้จริงของซอฟต์แวร์โอเพ่นซอร์ส การขาดความปลอดภัยหลายครั้งซึ่งนำไปสู่การโจมตีทางไซเบอร์ทำให้นักพัฒนาเว็บและบริษัทหลายแห่งต้องเสริมกำลังซอฟต์แวร์ของตนเพื่อป้องกันการโจมตีดังกล่าว ทำไมทั้งบริษัทและผู้พัฒนา? เพราะมีความผิดด้วยกันทั้งคู่ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ที่เข้าใจกันอย่างกว้างขวางและเข้าสู่เว็บพอร์ทัลการร้องเรียนของผู้บริโภค ช่องโหว่เหล่านั้นควรได้รับการแก้ไขโดย Equifax แต่ก็ไม่เป็นเช่นนั้น

เมื่อผ่านเว็บพอร์ทัลแล้ว แฮ็กเกอร์สามารถย้ายผ่านระบบและจัดการเพื่อขโมยข้อมูลส่วนตัวของลูกค้าหลายล้านราย วันก่อนหน้านั้น แพตช์สำหรับช่องโหว่ที่รู้จักภายในซอฟต์แวร์ได้รับการปล่อยตัวออกมา แต่ Equifax เลือกที่จะไม่ใช้แพตช์ในเวลาที่เพียงพอ

พวกเขาเรียนรู้อะไรจากการโจมตี? Equifax พบว่าหากแพตช์จำเป็นต้องมีการใช้งาน จะต้องมีการติดตั้งใช้งานเมื่อเผยแพร่ เป็นองค์กรขนาดใหญ่ที่มีความเสี่ยงมากที่สุด ธุรกิจขนาดเล็กถึงขนาดกลางจะไม่พบว่าตัวเองเป็นเป้าหมายมากเท่ากับองค์กรที่มีฐานลูกค้าจำนวนมาก นั่นคือเหตุผลที่ Equifax ซึ่งเป็นบริษัทที่เก็บข้อมูลทางการเงินของลูกค้าหลายล้านราย ควรดำเนินการเปลี่ยนแปลงให้เร็วกว่านี้

บริการเว็บอเมซอน

ช่องโหว่-โอเพ่นซอร์ส-ซอฟต์แวร์-2

สิ่งนี้ยังไม่เกิดขึ้น แต่แฮ็กเกอร์กำลังทำงานอยู่เบื้องหลังอย่างเงียบๆ เพื่อพยายามกลายเป็นผู้โจมตีซอฟต์แวร์ซัพพลายเชนรายล่าสุด นักพัฒนา Python และ PHP กำลังถูกโจมตีอย่างช้าๆ จากรายงานการแฮ็กที่ประสบความสำเร็จเพียงไม่กี่รายการ แต่แฮ็กเกอร์ยังไปไม่ถึงเป้าหมาย แพ็คเกจที่พวกเขาโจมตีคือ Python CTX และ phpass ของ PHP ทั้งสองเป็นชุดซอฟต์แวร์เก่าที่ให้บริการธุรกิจมาหลายปี

ปัจจุบัน นักพัฒนาซอฟต์แวร์ที่ใช้แพ็คเกจได้รับผลกระทบ แต่การเพิ่มขึ้นของการแทรกซึมส่งผลให้มีการเตือนไปยังบริษัทต่างๆ ที่ใช้แพ็คเกจซอฟต์แวร์เช่นกัน

คุณอาจชอบ: 12 ประเภทของการรักษาความปลอดภัยปลายทางที่ทุกธุรกิจควรรู้

การโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วต่อธุรกิจ

Code-Byte-Digital-Cryptography-Cyber-Electronic-Encryption-Algorithm-Data

ไม่ใช่แค่ปัญหาเกี่ยวกับการโจมตีซอฟต์แวร์โอเพ่นซอร์สเท่านั้น มีการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างโดดเด่นและแพร่หลายในธุรกิจต่างๆ ทั่วทั้งกระดาน ตัวอย่างเช่น ในสหราชอาณาจักร รัฐบาลเพิ่งเผยแพร่รายงานที่กระตุ้นให้ธุรกิจและองค์กรการกุศลเสริมสร้างความปลอดภัยทางไซเบอร์ท่ามกลางการโจมตีที่เพิ่มขึ้นอย่างรวดเร็ว

หลายคนเชื่อเรื่องนี้จากโรคระบาด ซึ่งเห็นหลายบริษัทลงทุนในซอฟต์แวร์ที่ช่วยให้พวกเขาทำงานแบบเสมือนจริงต่อไปได้ การศึกษาหนึ่งพบว่ามีการโจมตีเพิ่มขึ้น 300% ในระหว่างและในช่วงหลายเดือนหลังการระบาดใหญ่ แต่การแพร่ระบาดไม่ได้เป็นเพียงสาเหตุเดียว – ตัวอย่างเช่น 5G ก็มีส่วนทำให้การโจมตีเพิ่มขึ้นเช่นกัน โลกกำลังเร่งรีบสำหรับแบนด์วิธที่เร็วขึ้น แต่ด้วยการเพิ่มแบนด์วิธ อุปกรณ์ IoT จะเสี่ยงต่อการถูกโจมตีมากขึ้น

ช่องว่างทักษะด้านความปลอดภัยในโลกไซเบอร์ภายในองค์กรก็ดูเหมือนจะมีส่วนในการโจมตีที่เพิ่มขึ้น พนักงานจำนวนมากไม่เข้าใจถึงความเสี่ยงและผลที่ตามมาของการปฏิบัติที่ไม่ปลอดภัยทางไซเบอร์ นอกจากนี้ หลายๆ บริษัทจะไม่มีทีมรักษาความปลอดภัยทางไซเบอร์โดยเฉพาะด้วยซ้ำ การจัดการให้ความรู้เกี่ยวกับประเด็นต่างๆ เช่น อีเมลฟิชชิ่งและส่งเสริมการปฏิบัติทางไซเบอร์อย่างปลอดภัยขึ้นอยู่กับการจัดการ

ทางออกคืออะไร?

นักพัฒนา-coders-programming-team-work-office

วิธีแก้ไขคืออย่าหยุดใช้ซอฟต์แวร์โอเพ่นซอร์ส พิจารณาช่องโหว่และความเสี่ยงที่เกี่ยวข้อง และพิจารณาว่าซอฟต์แวร์โอเพ่นซอร์สใดที่ลดความเสี่ยงดังกล่าวได้มากที่สุด ธุรกิจจะต้องเลือกซอฟต์แวร์ที่เหมาะสมที่สุดสำหรับความต้องการของพวกเขา ตัวอย่างเช่น ซอฟต์แวร์โอเพ่นซอร์สอาจดีกว่าสำหรับแบรนด์ที่มองหาทางเลือกอื่นที่ถูกกว่า ซอฟต์แวร์โอเพ่นซอร์สมักไม่มีป้ายราคาเดียวกันกับซอฟต์แวร์โอเพ่นซอร์ส

ซอฟต์แวร์แบบปิดมาพร้อมความเสถียรและความปลอดภัยที่มากขึ้น ซึ่งซอฟต์แวร์จะไม่ถูกโจมตีจากแฮ็กเกอร์ ดังที่กล่าวไว้ข้างต้น ซอฟต์แวร์โอเพ่นซอร์สมีข้อบกพร่องด้านความปลอดภัยที่สำคัญซึ่งทำให้เกิดการโจมตีทางไซเบอร์เพิ่มขึ้น 650% ในปี 2564 แม้ว่าธุรกิจต่างๆ จะต้องการทำเช่นนั้น แต่พวกเขาก็ไม่ใช่ผู้ที่จะเรียกใช้การตรวจสอบความปลอดภัยและเข้ารหัสการเข้ารหัส มันจะเป็นความร่วมมือจำนวนมากของนักพัฒนาที่ต้องทำเช่นนั้น

แบรนด์ควรใช้เวลาในการร่วมมือกับนักพัฒนา พวกเขาควรระบุจุดอ่อนในซอฟต์แวร์และนำแพตช์ไปใช้เมื่อมีการเผยแพร่ เช่นเดียวกับการแฮ็ก Equifax นักพัฒนาซอฟต์แวร์ได้ปล่อยแพทช์ก่อนวันโจมตี เนื่องจากพวกเขาใช้แพตช์ การโจมตีจะไม่เกิดขึ้น ในทำนองเดียวกัน การติดตั้งการอัปเดตเป็นประจำก็มีความสำคัญ แต่ก็เกี่ยวข้องกับการร่วมมือกับนักพัฒนาเพื่อให้แน่ใจว่าการอัปเดตจะออกอย่างปลอดภัย เช่นเดียวกับตัวอย่างของ SolarWinds การอัปเดตทั้งสองบนระบบ Orion เปิดเผยจุดอ่อนที่แฮ็กเกอร์ใช้ประโยชน์ในทันที

ซอฟต์แวร์โอเพนซอร์สไม่ใช่ตัวเลือกที่ใช้ได้กับหลายๆ แบรนด์ ทางเลือกที่ดีกว่าคือการลงทุนในทีมรักษาความปลอดภัยทางไซเบอร์โดยเฉพาะหรือใช้เวลามากขึ้นในการให้ความรู้แก่พนักงาน การโจมตีทางไซเบอร์ที่มีรายละเอียดสูงจำนวนมากเริ่มต้นจากการใช้รหัสผ่านที่ไม่ดี เป็นต้น แต่เป็นปัญหาที่ค่อนข้างง่ายในการแก้ไข การโจมตี Ticketmaster ในปี 2564 เป็นตัวอย่างที่สมบูรณ์แบบของสิ่งที่เกิดขึ้นเมื่อพนักงานไม่มีรหัสผ่านที่ปลอดภัย

คุณอาจชอบ: 17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่ดูด

คำสุดท้าย

ช่องโหว่โอเพ่นซอร์สซอฟต์แวร์โรคระบาดธุรกิจสรุป

ในทางเทคนิคแล้ว แม้แต่ซอฟต์แวร์โอเพ่นซอร์สก็มีช่องโหว่เช่นเดียวกับซอฟต์แวร์โอเพ่นซอร์ส พวกมันไม่โดดเด่นเท่า ธุรกิจสามารถลดความเสี่ยงได้ด้วยตนเองโดยการเลือกซอฟต์แวร์อย่างระมัดระวัง ไม่ว่าจะเป็นแบบเปิดหรือแบบปิดที่นักพัฒนาที่มีชื่อเสียงได้สร้างขึ้น

อย่างไรก็ตาม สิ่งที่เห็นได้ชัดคือสิ่งที่ต้องทำเพื่อปกป้องธุรกิจทั่วโลก โดยเฉพาะห่วงโซ่อุปทานที่ใช้ซอฟต์แวร์โอเพ่นซอร์ส การโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างรวดเร็วพิสูจน์ให้เห็นว่าบริษัทและผู้บริโภคที่มีความเสี่ยงต่อการโจมตีทางไซเบอร์นั้นเป็นอย่างไร อาชญากรไซเบอร์สามารถเข้าถึงซอฟต์แวร์ที่ซับซ้อนได้แล้ว นักพัฒนาซอฟต์แวร์และแบรนด์ต่าง ๆ จำเป็นต้องมีความเข้าใจด้านความปลอดภัยทางไซเบอร์มากขึ้นเพื่อป้องกันการโจมตี