Vulnerabilitățile software-ului open-source care afectează afacerile

Codarea open-source oferă multe beneficii pentru întreprinderile care creează software-ul și pentru companiile în așteptare care trebuie să-l folosească pentru operațiuni de afaceri fără probleme. Software-ul cu sursă deschisă este pur și simplu un software codat folosind codare cu sursă deschisă. Acest lucru înseamnă că codificarea este deschisă pentru ca oamenii să poată vizualiza și manipula relativ ușor. Principalul său etos este că descentralizează și democratizează – într-o măsură – cine are acces la anumite coduri.

Este o codificare extrem de versatilă, dar și volatilă, care este alegerea dominantă pentru dezvoltatorii web, aplicații și software. Vulnerabilitățile unui cod open-source atât de versatil și ușor de manipulat pot cauza perioade de nefuncționare a software-ului și probleme de siguranță care afectează companiile. Să explorăm.

Ce este codul open-source?

Open source este inițial un termen care se referea la software cu sursă deschisă. Structura acelui software ar fi codare deschisă. Aceasta înseamnă că este accesibil public, astfel încât oricine îl poate vedea, modifica și distribui codificarea după cum dorește. Alternativa este codarea cu sursă închisă, care, la fel ca software-ul open-source, se referă la software-ul cu sursă închisă. În spatele acestui software cu sursă închisă se afla codarea închisă, ceea ce înseamnă că nu este liber accesibil.

Cea mai notabilă diferență, fără a include posibilitatea de a modifica codarea, este modul în care este dezvoltat software-ul cu sursă deschisă și închisă. Software-ul cu sursă închisă se realizează de obicei prin munca unuia sau a unei echipe mici de dezvoltatori de software, care vor avea fiecare acces principal la codificarea software-ului. Ei determină cum și când continuă să dezvolte software-ul.

Software-ul open-source vede colaborarea în masă pentru a crea software-ul. Colaborarea în masă este motivul pentru care open-source este deschis. Trebuie să fie ușor accesibil pentru o echipă mare de oameni. Un grup de dezvoltatori ar putea lucra în colaborare în mai multe țări diferite, ceea ce creează o problemă în sine. Mai multe persoane care lucrează la același proiect în aceeași cameră facilitează colaborarea. Dar dezvoltatorii care lucrează în diferite țări pot împiedica dezvoltarea, actualizările și corecțiile.

Recomandat pentru dvs.: Network Security 101: 15 Cele mai bune moduri de a vă proteja rețeaua de birou de amenințările online.

Ce probleme poate crea pentru afaceri?

Software-ul cu sursă închisă are vulnerabilități, dar nici pe departe atât de multe ca software-ul cu sursă deschisă. Principala slăbiciune a software-ului open-source este că codarea permite aproape oricui să-l manipuleze. Acesta este unul dintre motivele pentru care a existat o creștere cu 650% a atacurilor asupra software-ului open-source în 2021. Cele mai bune practici de securitate a aplicațiilor, cum ar fi efectuarea evaluărilor amenințărilor și criptarea codului, pot crea software mai sigur. Dar riscul inerent ca codarea open-source să fie atât de accesibilă încă există.

O altă problemă se concentrează în jurul gradului de utilizare. Software-ul open-source se potrivește de obicei nevoilor dezvoltatorilor fără a lua în considerare nevoile utilizatorului. Companiile trebuie să fie implicate în proiectarea și testarea aplicației pentru a se asigura că satisface nevoile utilizatorului. O altă problemă legată de utilizare este lipsa suportului disponibil dacă ceva ar merge prost. Probleme precum compatibilitatea pot fi o mare problemă cu software-ul open-source. Nu există neapărat asistență ulterioară din partea dezvoltatorilor, deoarece mai mulți dezvoltatori din locații diferite vor fi finalizat lucrările la software.

Companiile care se bazează pe software open-source și care codifică în spatele acestuia s-ar putea confrunta, de asemenea, cu practici slabe ale dezvoltatorilor și cu supravegheri relaxate ale integrărilor. Exemplul perfect este hack-ul SolarWinds din 2021. Acesta este considerat a fi cel mai dăunător hack pe un lanț de aprovizionare din istorie.

Peste 250 de întreprinderi și organizații guvernamentale au fost afectate de infiltrarea în sistemul Orion, care a funcționat folosind software open-source. În timpul a două actualizări de software, hackerii au lansat malware în întreaga rețea, provocând prăbușirea a sute de companii. Întregul lanț de aprovizionare aproape că a încetat să funcționeze. Efectele hack-ului sunt încă resimțite de întreprinderi și organizații guvernamentale. Mulți spun că va dura ani să se recupereze.

Exemple de vulnerabilități software open-source

Există multe exemple de atacuri cibernetice asupra companiilor care utilizează software open-source. Acest lucru este legat de faptul că atât de multe companii folosesc software open-source, devenind astfel rațe șezute. Mai jos sunt două dintre cele mai notabile evenimente și ce au învățat companiile din ele.

Încălcarea datelor Equifax 2017

Încălcarea datelor Equifax din 2017 a scos la lumină adevăratele vulnerabilități ale software-ului open-source. Multiplele deficiențe de securitate care au dus la atacul cibernetic au determinat mulți dezvoltatori web și companii deopotrivă să-și consolideze software-ul pentru a preveni un astfel de atac. De ce atât compania, cât și dezvoltatorul? Pentru că amândoi au fost de vină. Hackerii au exploatat vulnerabilități larg înțelese și au intrat printr-un portal web pentru reclamații ale consumatorilor. Aceste vulnerabilități ar fi trebuit să fie remediate de Equifax, dar nu au fost.

Odată trecând prin portalul web, hackerii ar putea trece prin sistem și ar putea reuși să fure milioane de date personale ale clienților. Cu câteva zile înainte, a fost lansat un patch pentru o vulnerabilitate cunoscută din software. Dar Equifax a ales să nu implementeze patch-ul în timp suficient.

Ce au învățat din atac? Equifax a constatat că, dacă un patch necesită implementare, acesta trebuie implementat atunci când este lansat. În special, organizațiile mari sunt cele mai vulnerabile. Întreprinderile mici și mijlocii nu se vor găsi ținta la fel de mult ca organizațiile cu o bază masivă de clienți. De aceea, Equifax, o companie care deține milioane de date financiare ale clienților, ar fi trebuit să depună eforturi pentru a implementa schimbările mai devreme.

Amazon Web Services

Acesta nu s-a întâmplat încă. Dar hackerii lucrează în liniște în fundal în încercarea de a deveni cel mai recent atac software pentru lanțul de aprovizionare. Dezvoltatorii Python și PHP devin încet-încet compromisi de câteva hack-uri de succes raportate. Dar hackerii nu își ating încă ținta. Pachetele pe care le atacă sunt Python CTX și PHP-ul PHP. Ambele sunt pachete software vechi care au servit afacerilor de mulți ani.

În prezent, sunt dezvoltatorii de software care folosesc pachetele afectate, dar creșterea notabilă a infiltrărilor a dus la avertismente lansate către companiile care utilizează și pachetele software.

S-ar putea să vă placă: 12 tipuri de securitate endpoint pe care fiecare companie ar trebui să le cunoască.

Creșterea pe scară largă a atacurilor cibernetice asupra întreprinderilor

Nu există doar o problemă cu atacurile software open-source. Există o creștere notabilă și larg răspândită a atacurilor cibernetice asupra companiilor în general. În Marea Britanie, de exemplu, guvernul a lansat recent un raport care îndeamnă întreprinderile și organizațiile de caritate să-și consolideze practicile de securitate cibernetică pe fondul unei creșteri puternice a atacurilor.

Mulți cred acest lucru pentru pandemie, care a văzut multe companii investind în software care le-a permis să continue să funcționeze virtual. Un studiu a constatat că a existat o creștere cu 300% a atacurilor în timpul și în lunile de după pandemie. Dar pandemia nu este singura de vină – 5G, de exemplu, contribuie și ea la creșterea atacurilor. Lumea se grăbea pentru o lățime de bandă mai rapidă. Dar prin creșterea lățimii de bandă, dispozitivele IoT vor fi mai vulnerabile la atacuri.

Decalajul de competențe de securitate cibernetică din cadrul organizațiilor pare să joace, de asemenea, un rol în creșterea atacurilor. Mulți angajați pur și simplu nu înțeleg riscurile și consecințele practicilor cibernetice nesigure. În plus, multe companii nici măcar nu vor avea o echipă dedicată de securitate cibernetică. Depinde de conducere să educe cu privire la probleme precum e-mailurile de phishing și să încurajeze practicile cibernetice sigure.

Care este solutia?

Soluția este să nu încetați să utilizați software open-source. Luați în considerare vulnerabilitățile și riscurile asociate și determinați care software open-source atenuează cât mai multe dintre acestea. Companiile vor trebui să opteze pentru software-ul cel mai potrivit pentru nevoile lor. De exemplu, software-ul open-source ar putea fi mai bun pentru mărcile care caută alternative mai ieftine. Software-ul open-source nu are de obicei același preț ca software-ul cu sursă închisă.

Software-ul cu sursă închisă vine cu mai multă stabilitate și securitate, astfel încât software-ul nu va fi atacat de hackeri. După cum s-a menționat mai sus, software-ul open-source are o defecțiune majoră de securitate care a provocat o creștere a atacurilor cibernetice cu 650% în 2021. Chiar dacă companiile ar dori, nu sunt ele care să efectueze verificări de securitate și să cripteze codificarea. Ar fi colaborarea în masă a dezvoltatorilor care trebuie să facă acest lucru.

De asemenea, mărcile ar trebui să-și ia timp pentru a colabora cu dezvoltatorii. Ar trebui să identifice punctele slabe ale software-ului și să implementeze patch-uri pe măsură ce sunt lansate. Ca și în cazul hack-ului Equifax, dezvoltatorii de software au lansat patch-ul cu câteva zile înainte de atac. Pentru că aplicaseră plasturele, atacul nu s-ar fi întâmplat. În mod similar, implementarea actualizărilor regulate este esențială, dar aceasta implică și colaborarea cu dezvoltatorii pentru a se asigura că actualizările sunt lansate în siguranță. La fel ca în exemplul SolarWinds, cele două actualizări ale sistemului Orion au scos la iveală punctele slabe pe care hackerii le-au exploatat imediat.

Software-ul cu sursă închisă nu este o opțiune viabilă pentru multe mărci. Alternativa mai bună ar putea fi să investești într-o echipă dedicată de securitate cibernetică sau să iei mai mult timp pentru a educa angajații. Numeroase atacuri cibernetice de nivel înalt au început cu practici proaste pentru parole, de exemplu, dar sunt o problemă relativ ușor de rezolvat. Atacul asupra Ticketmaster din 2021 este exemplul perfect a ceea ce se poate întâmpla atunci când angajații nu au parole sigure.

De asemenea, s-ar putea să vă placă: 17 sfaturi interesante pentru a scrie o politică de securitate cibernetică care nu dă nasol.

Cuvinte finale

Tehnic vorbind, chiar și software-ul cu sursă închisă are aceleași vulnerabilități ca și software-ul cu sursă deschisă; pur și simplu nu sunt la fel de proeminente. Companiile pot atenua riscurile prin selectarea cu atenție a software-ului, fie că este deschis sau închis, pe care dezvoltatorii reputați l-au creat.

Ceea ce este evident, totuși, este ceea ce trebuie făcut pentru a proteja întreprinderile din întreaga lume, în special lanțurile de aprovizionare care utilizează software open-source. Creșterea bruscă a atacurilor cibernetice demonstrează cât de vulnerabili sunt companiile și consumatorii la atacurile cibernetice. Infractorii cibernetici au acum acces la software sofisticat. Dezvoltatorii și mărcile trebuie să devină mai pricepuți la securitatea cibernetică pentru a preveni atacurile.