困扰企业的开源软件的漏洞

已发表: 2022-06-30

开源编码为创建软件的企业和需要利用它实现平稳业务运营的等待企业提供了许多好处。 开源软件只是使用开源代码编码的软件。 这意味着编码是开放的,人们可以相对轻松地查看和操作。 它的主要精神是它在一定程度上分散和民主化了有权访问某些代码的人。

它是一种高度通用但也易变的编码,是网络、应用程序和软件开发人员的主要选择。 这种通用且易于操作的开源代码的漏洞可能会导致软件停机和困扰企业的安全问题。 让我们探索一下。

目录显示
  • 什么是开源代码?
  • 它会给企业带来什么问题?
  • 开源软件漏洞示例
    • 2017 年 Equifax 数据泄露
    • 亚马逊网络服务
  • 对企业的网络攻击普遍增加
  • 解决办法是什么?
  • 最后的话

什么是开源代码?

攻击代码网络数据黑客安全

开源最初是指开源软件的术语。 该软件的构成将是开放式编码。 这意味着它可以公开访问,因此任何人都可以按照自己的意愿查看、修改和分发代码。 另一种方法是闭源编码,它与开源软件一样,指的是闭源软件。 封闭源代码软件的背后是封闭编码,这意味着它不能自由访问。

最显着的区别(不包括修改编码的能力)是开源软件和闭源软件的开发方式。 封闭源代码软件通常由一个或一小组软件开发人员的工作来实现,每个软件开发人员都将拥有对软件编码的主要访问权限。 他们决定如何以及何时继续开发软件。

开源软件需要大规模协作来创建软件。 大规模协作是开源开放的原因。 对于一大群人来说,它需要很容易访问。 一组开发人员可以在多个不同的国家协同工作,这本身就产生了一个问题。 多个人在同一个房间内处理同一个项目可以轻松协作。 但在不同国家工作的开发人员可能会阻碍开发、更新和补丁。

为您推荐:网络安全 101:保护办公室网络免受在线威胁的 15 种最佳方法。

它会给企业带来什么问题?

办公软件设计师开发人员编码器程序员团队合作

闭源软件存在漏洞,但远不及开源软件。 开源软件的主要弱点是编码允许几乎任何人操纵它。 这就是 2021 年对开源软件的攻击增加 650% 的原因之一。执行威胁评估和加密代码等应用程序安全最佳实践可以创建更安全的软件。 但是,开放源代码如此易于访问的固有风险仍然存在。

另一个问题围绕着可用性。 开源软件通常只满足开发人员的需求,而不考虑用户的需求。 公司必须参与应用程序的设计和测试,以确保它满足用户的需求。 与可用性相关的另一个问题是,如果出现问题,则缺乏可用的支持。 兼容性等问题可能是开源软件的一个大问题。 不一定有开发人员的后续支持,因为来自不同位置的多个开发人员将完成该软件的工作。

依赖开源软件及其背后编码的企业也可能面临糟糕的开发人员实践和松散的集成监督。 最好的例子是 2021 年的 SolarWinds 黑客攻击。这被认为是历史上对供应链造成的最具破坏性的黑客攻击。

超过 250 家企业和政府组织受到渗透到使用开源软件运行的 Orion 系统的影响。 在两次软件更新期间,黑客在整个网络中发布了恶意软件,导致数百家企业倒闭。 整个供应链几乎停止运转。 企业和政府组织仍能感受到黑客攻击的影响。 许多人说需要数年时间才能恢复。

开源软件漏洞示例

代码编程开发人员投影仪演示数据

有许多针对使用开源软件的企业进行网络攻击的例子。 这与如此多的公司使用开源软件,从而成为坐骑的事实有关。 以下是两个最著名的事件以及公司从中学到的东西。

2017 年 Equifax 数据泄露

漏洞-开源软件-1

2017 年的 Equifax 数据泄露事件揭示了开源软件的真正漏洞。 导致网络攻击的多重安全漏洞导致许多网络开发人员和公司加强他们的软件以防止此类攻击。 为什么是公司和开发商? 因为双方都有错。 黑客利用广为人知的漏洞并通过消费者投诉门户网站进入。 这些漏洞本应由 Equifax 修补,但事实并非如此。

一旦通过门户网站,黑客就可以在整个系统中移动并设法窃取数百万客户的个人数据。 几天前,针对软件中的一个已知漏洞发布了补丁。 但 Equifax 选择不及时实施补丁。

他们从这次袭击中学到了什么? Equifax 发现,如果补丁需要实施,则在发布时需要实施。 值得注意的是,大型组织最容易受到攻击。 中小型企业不会像拥有大量客户群的组织那样成为攻击目标。 这就是为什么 Equifax 这家拥有数百万客户财务数据的公司应该尽早​​实施变革。

亚马逊网络服务

漏洞-开源软件-2

这件事还没有发生。 但黑客正在后台悄悄工作,企图成为最新的供应链软件攻击者。 Python 和 PHP 开发人员正逐渐受到一些成功黑客攻击的影响。 但黑客尚未达到他们的目标。 他们攻击的包是 Python CTX 和 PHP 的 phpass。 两者都是为企业服务多年的旧软件包。

目前,受影响的是使用软件包的软件开发人员,但渗透的显着增加导致对也使用软件包的公司发出警告。

您可能喜欢:每个企业都应该知道的 12 种端点安全。

对企业的网络攻击普遍增加

代码字节数字密码学网络电子加密算法数据

不仅仅是开源软件攻击的问题。 对企业的全面网络攻击显着且普遍增加。 例如,在英国,政府最近发布了一份报告,敦促企业和慈善机构在攻击急剧增加的情况下加强其网络安全实践。

许多人认为这一点适用于大流行病,在这场大流行病中,许多公司投资于允许他们继续虚拟运营的软件。 一项研究发现,在大流行期间和之后的几个月里,袭击事件增加了 300%。 但大流行并不是唯一的罪魁祸首——例如,5G 也导致了攻击的增加。 世界急需更快的带宽。 但通过增加带宽,物联网设备将更容易受到攻击。

组织内部的网络安全技能差距似乎也在攻击增加中发挥了作用。 许多员工根本不了解不安全网络行为的风险和后果。 此外,许多公司甚至没有专门的网络安全团队。 管理层有责任就网络钓鱼电子邮件等问题进行教育,并鼓励安全的网络实践。

解决办法是什么?

开发人员编码员编程团队工作办公室

解决方案并不是停止使用开源软件。 考虑漏洞和相关风险,并确定哪些开源软件可以尽可能多地缓解这些漏洞。 企业需要选择最适合其需求的软件。 例如,开源软件可能更适合寻找更便宜替代品的品牌。 开源软件通常不具有与封闭源软件相同的价格标签。

闭源软件具有更高的稳定性和安全性,不会受到黑客的攻击。 如上所述,开源软件存在一个重大安全漏洞,导致 2021 年网络攻击增加了 650%。即使企业愿意,他们也不是运行安全检查和加密编码的人。 需要这样做的是开发人员的大规模协作。

品牌还应该花时间与开发商合作。 他们应该找出软件中的弱点,并在发布补丁时实施补丁。 与 Equifax 黑客攻击一样,软件开发人员在攻击前几天发布了补丁。 因为他们应用了补丁,攻击就不会发生。 同样,实施定期更新是必不可少的,但这也涉及与开发人员合作以确保安全发布更新。 与 SolarWinds 的例子一样,Orion 系统的两次更新暴露了黑客立即利用的弱点。

对于许多品牌来说,闭源软件并不是一个可行的选择。 更好的选择可能是投资专门的网络安全团队或花更多时间来教育员工。 例如,许多备受瞩目的网络攻击都是从密码操作不当开始的,但这些问题相对容易解决。 2021 年对 Ticketmaster 的攻击是员工没有安全密码时可能发生的情况的完美例子。

您可能还喜欢: 17 条关于编写不差劲的网络安全策略的绝妙技巧。

最后的话

漏洞-开源-软件-瘟疫-企业-结论

从技术上讲,即使是闭源软件也有与开源软件相同的漏洞; 他们只是不那么突出。 企业可以通过谨慎选择信誉良好的开发人员创建的软件(无论是开放式还是封闭式)来自行降低风险。

然而,显而易见的是,需要采取哪些措施来保护全球企业,尤其是使用开源软件的供应链。 网络攻击的急剧增加证明了公司和消费者在网络攻击面前是多么脆弱。 网络罪犯现在可以访问复杂的软件。 开发商和品牌需要更加了解网络安全以防止攻击。