困擾企業的開源軟件的漏洞

已發表: 2022-06-30

開源編碼為創建軟件的企業和需要利用它實現平穩業務運營的等待企業提供了許多好處。 開源軟件只是使用開源代碼編碼的軟件。 這意味著編碼是開放的,人們可以相對輕鬆地查看和操作。 它的主要精神是它在一定程度上分散和民主化了有權訪問某些代碼的人。

它是一種高度通用但也易變的編碼,是網絡、應用程序和軟件開發人員的主要選擇。 這種通用且易於操作的開源代碼的漏洞可能會導致軟件停機和困擾企業的安全問題。 讓我們探索一下。

目錄顯示
  • 什麼是開源代碼?
  • 它會給企業帶來什麼問題?
  • 開源軟件漏洞示例
    • 2017 年 Equifax 數據洩露
    • 亞馬遜網絡服務
  • 對企業的網絡攻擊普遍增加
  • 解決辦法是什麼?
  • 最後的話

什麼是開源代碼?

攻擊代碼網絡數據黑客安全

開源最初是指開源軟件的術語。 該軟件的構成將是開放式編碼。 這意味著它可以公開訪問,因此任何人都可以按照自己的意願查看、修改和分發代碼。 另一種方法是閉源編碼,它與開源軟件一樣,指的是閉源軟件。 封閉源代碼軟件的背後是封閉編碼,這意味著它不能自由訪問。

最顯著的區別(不包括修改編碼的能力)是開源軟件和閉源軟件的開發方式。 封閉源代碼軟件通常由一個或一小組軟件開發人員的工作來實現,每個軟件開發人員都將擁有對軟件編碼的主要訪問權限。 他們決定如何以及何時繼續開發軟件。

開源軟件需要大規模協作來創建軟件。 大規模協作是開源開放的原因。 對於一大群人來說,它需要很容易訪問。 一組開發人員可以在多個不同的國家協同工作,這本身就產生了一個問題。 多個人在同一個房間內處理同一個項目可以輕鬆協作。 但在不同國家工作的開發人員可能會阻礙開發、更新和補丁。

為您推薦:網絡安全 101:保護辦公室網絡免受在線威脅的 15 種最佳方法。

它會給企業帶來什麼問題?

辦公軟件設計師開發人員編碼器程序員團隊合作

閉源軟件存在漏洞,但遠不及開源軟件。 開源軟件的主要弱點是編碼允許幾乎任何人操縱它。 這就是 2021 年對開源軟件的攻擊增加 650% 的原因之一。執行威脅評估和加密代碼等應用程序安全最佳實踐可以創建更安全的軟件。 但是,開放源代碼如此易於訪問的固有風險仍然存在。

另一個問題圍繞著可用性。 開源軟件通常只滿足開發人員的需求,而不考慮用戶的需求。 公司必須參與應用程序的設計和測試,以確保它滿足用戶的需求。 與可用性相關的另一個問題是,如果出現問題,則缺乏可用的支持。 兼容性等問題可能是開源軟件的一個大問題。 不一定有開發人員的後續支持,因為來自不同位置的多個開發人員將完成該軟件的工作。

依賴開源軟件及其背後編碼的企業也可能面臨糟糕的開發人員實踐和鬆散的集成監督。 最好的例子是 2021 年的 SolarWinds 黑客攻擊。這被認為是歷史上對供應鏈造成的最具破壞性的黑客攻擊。

超過 250 家企業和政府組織受到滲透到使用開源軟件運行的 Orion 系統的影響。 在兩次軟件更新期間,黑客在整個網絡中發布了惡意軟件,導致數百家企業倒閉。 整個供應鏈幾乎停止運轉。 企業和政府組織仍能感受到黑客攻擊的影響。 許多人說需要數年時間才能恢復。

開源軟件漏洞示例

代碼編程開發人員投影儀演示數據

有許多針對使用開源軟件的企業進行網絡攻擊的例子。 這與如此多的公司使用開源軟件,從而成為坐騎的事實有關。 以下是兩個最著名的事件以及公司從中學到的東西。

2017 年 Equifax 數據洩露

漏洞-開源軟件-1

2017 年的 Equifax 數據洩露事件揭示了開源軟件的真正漏洞。 導致網絡攻擊的多重安全漏洞導致許多網絡開發人員和公司加強他們的軟件以防止此類攻擊。 為什麼是公司和開發商? 因為雙方都有錯。 黑客利用廣為人知的漏洞並通過消費者投訴門戶網站進入。 這些漏洞本應由 Equifax 修補,但事實並非如此。

一旦通過門戶網站,黑客就可以在整個系統中移動並設法竊取數百萬客戶的個人數據。 幾天前,針對軟件中的一個已知漏洞發布了補丁。 但 Equifax 選擇不及時實施補丁。

他們從這次襲擊中學到了什麼? Equifax 發現,如果補丁需要實施,則在發佈時需要實施。 值得注意的是,大型組織最容易受到攻擊。 中小型企業不會像擁有大量客戶群的組織那樣成為攻擊目標。 這就是為什麼 Equifax 這家擁有數百萬客戶財務數據的公司應該儘早實施變革。

亞馬遜網絡服務

漏洞-開源軟件-2

這件事還沒有發生。 但黑客正在後台悄悄工作,企圖成為最新的供應鏈軟件攻擊者。 Python 和 PHP 開發人員正逐漸受到一些成功黑客攻擊的影響。 但黑客尚未達到他們的目標。 他們攻擊的包是 Python CTX 和 PHP 的 phpass。 兩者都是為企業服務多年的舊軟件包。

目前,受影響的是使用軟件包的軟件開發人員,但滲透的顯著增加導致對也使用軟件包的公司發出警告。

您可能喜歡:每個企業都應該知道的 12 種端點安全。

對企業的網絡攻擊普遍增加

代碼字節數字密碼學網絡電子加密算法數據

不僅僅是開源軟件攻擊的問題。 對企業的全面網絡攻擊顯著且普遍增加。 例如,在英國,政府最近發布了一份報告,敦促企業和慈善機構在攻擊急劇增加的情況下加強其網絡安全實踐。

許多人認為這一點適用於大流行病,在這場大流行病中,許多公司投資於允許他們繼續虛擬運營的軟件。 一項研究發現,在大流行期間和之後的幾個月裡,襲擊事件增加了 300%。 但大流行並不是唯一的罪魁禍首——例如,5G 也導致了攻擊的增加。 世界急需更快的帶寬。 但通過增加帶寬,物聯網設備將更容易受到攻擊。

組織內部的網絡安全技能差距似乎也在攻擊增加中發揮了作用。 許多員工根本不了解不安全網絡行為的風險和後果。 此外,許多公司甚至沒有專門的網絡安全團隊。 管理層有責任就網絡釣魚電子郵件等問題進行教育,並鼓勵安全的網絡實踐。

解決辦法是什麼?

開發人員編碼員編程團隊工作辦公室

解決方案並不是停止使用開源軟件。 考慮漏洞和相關風險,並確定哪些開源軟件可以盡可能多地緩解這些漏洞。 企業需要選擇最適合其需求的軟件。 例如,開源軟件可能更適合尋找更便宜替代品的品牌。 開源軟件通常不具有與封閉源軟件相同的價格標籤。

閉源軟件具有更高的穩定性和安全性,不會受到黑客的攻擊。 如上所述,開源軟件存在一個重大安全漏洞,導致 2021 年網絡攻擊增加了 650%。即使企業願意,他們也不是運行安全檢查和加密編碼的人。 需要這樣做的是開發人員的大規模協作。

品牌還應該花時間與開發商合作。 他們應該找出軟件中的弱點,並在發布補丁時實施補丁。 與 Equifax 黑客攻擊一樣,軟件開發人員在攻擊前幾天發布了補丁。 因為他們應用了補丁,攻擊就不會發生。 同樣,實施定期更新是必不可少的,但這也涉及與開發人員合作以確保安全發布更新。 與 SolarWinds 的例子一樣,Orion 系統的兩次更新暴露了黑客立即利用的弱點。

對於許多品牌來說,閉源軟件並不是一個可行的選擇。 更好的選擇可能是投資專門的網絡安全團隊或花更多時間來教育員工。 例如,許多備受矚目的網絡攻擊都是從密碼操作不當開始的,但這些問題相對容易解決。 2021 年對 Ticketmaster 的攻擊是員工沒有安全密碼時可能發生的情況的完美例子。

您可能還喜歡: 17 條關於編寫不差勁的網絡安全策略的絕妙技巧。

最後的話

漏洞-開源-軟件-瘟疫-企業-結論

從技術上講,即使是閉源軟件也有與開源軟件相同的漏洞; 他們只是不那麼突出。 企業可以通過謹慎選擇信譽良好的開發人員創建的軟件(無論是開放式還是封閉式)來自行降低風險。

然而,顯而易見的是,需要採取哪些措施來保護全球企業,尤其是使用開源軟件的供應鏈。 網絡攻擊的急劇增加證明了公司和消費者在網絡攻擊面前是多麼脆弱。 網絡罪犯現在可以訪問複雜的軟件。 開發商和品牌需要更加了解網絡安全以防止攻擊。