困扰企业的开源软件漏洞

已发表: 2022-06-30

开源编码为创建软件的企业以及需要利用它进行顺利业务运营的等待企业提供了许多好处。 开源软件只是使用开源编码的软件编码。 这意味着编码是开放的,人们可以相对轻松地查看和操作。 它的主要精神是在一定程度上分散和民主化有权访问某些代码的人。

它是一种高度通用但也不稳定的编码,是 Web、应用程序和软件开发人员的主要选择。 这种通用且易于操作的开源代码的漏洞可能导致软件停机和困扰企业的安全问题。 让我们探索一下。

广告

目录显示
  • 什么是开源代码?
  • 它会给企业带来什么问题?
  • 开源软件漏洞示例
    • 2017 年 Equifax 数据泄露
    • 亚马逊网络服务
  • 对企业的网络攻击普遍增加
  • 解决办法是什么?
  • 最后的话

什么是开源代码?

攻击代码网络数据黑客安全

开源最初是指开源软件的一个术语。 该软件的构成将是开放编码。 这意味着它是可公开访问的,因此任何人都可以根据需要查看、修改和分发编码。 另一种方法是闭源编码,与开源软件一样,它指的是闭源软件。 封闭源代码软件的背后是封闭编码,这意味着它不能免费访问。

最显着的区别(不包括修改编码的能力)是开源和闭源软件的开发方式。 闭源软件通常由一个或一小群软件开发人员的工作来实现,每个开发人员都拥有对软件编码的主要访问权限。 他们决定如何以及何时继续开发软件。

开源软件看到了大规模协作来创建软件。 大规模协作是开源开放的原因。 对于一大群人来说,它需要易于访问。 一组开发人员可以在多个不同的国家协同工作,这本身就产生了问题。 多人在同一个房间里从事同一个项目,便于协作。 但是在不同国家工作的开发人员可能会阻碍开发、更新和补丁。

为您推荐:网络安全 101:保护您的办公网络免受在线威胁的 15 种最佳方法。

它会给企业带来什么问题?

办公软件设计师开发人员编码器程序员团队工作

闭源软件有漏洞,但远不及开源软件那么多。 开源软件的主要弱点是编码允许几乎任何人操作它。 这是 2021 年对开源软件的攻击增加 650% 的原因之一。执行威胁评估和加密代码等应用程序安全最佳实践可以创建更安全的软件。 但是开源编码如此易于访问的固有风险仍然存在。

另一个问题集中在可用性上。 开源软件通常适合开发人员的需求,而不考虑用户的需求。 公司必须参与应用程序的设计和测试,以确保它满足用户的需求。 与可用性相关的另一个问题是,如果出现问题,缺乏可用的支持。 兼容性等问题可能是开源软件的一个大问题。 开发人员不一定会提供后续支持,因为来自不同地点的多个开发人员将完成该软件的工作。

依赖开源软件及其背后的编码的企业也可能面临糟糕的开发人员实践和对集成的宽松疏忽。 完美的例子是 2021 年的 SolarWinds 黑客攻击。这被认为是历史上对供应链最具破坏性的黑客攻击。

广告

超过 250 家企业和政府组织受到渗透到使用开源软件运行的 Orion 系统的影响。 在两次软件更新期间,黑客在整个网络中发布了恶意软件,导致数百家企业崩溃。 整个供应链几乎停止工作。 企业和政府组织仍在感受到黑客攻击的影响。 很多人都说需要数年才能恢复。

开源软件漏洞示例

代码编程开发人员投影仪演示数据

有许多使用开源软件的企业遭受网络攻击的例子。 这与许多公司使用开源软件的事实有关,从而成为坐鸭子。 以下是两个最值得注意的事件以及公司从中学到的东西。

2017 年 Equifax 数据泄露

漏洞-开源-软件-1

2017 年 Equifax 数据泄露事件暴露了开源软件的真正漏洞。 导致网络攻击的多重安全漏洞导致许多 Web 开发人员和公司都加强他们的软件以防止此类攻击。 为什么是公司和开发商? 因为双方都有错。 黑客利用广为人知的漏洞并通过消费者投诉门户网站进入。 Equifax 应该修补这些漏洞,但事实并非如此。

一旦通过门户网站,黑客就可以在整个系统中移动并设法窃取数百万客户的个人数据。 几天前,针对该软件中的一个已知漏洞发布了一个补丁。 但 Equifax 选择不及时实施补丁。

他们从这次袭击中学到了什么? Equifax 发现,如果一个补丁需要实现,它需要在发布时实现。 值得注意的是,大型组织是最脆弱的。 中小型企业不会像拥有庞大客户群的组织那样成为目标。 这就是为什么拥有数百万客户财务数据的公司 Equifax 应该尽快实施变革。

广告

亚马逊网络服务

漏洞-开源-软件-2

这件事还没有发生。 但黑客正在悄悄地在后台工作,企图成为最新的供应链软件攻击。 Python 和 PHP 开发人员正慢慢受到一些成功的黑客攻击的影响。 但是黑客还没有达到他们的目标。 他们攻击的包是 Python CTX 和 PHP 的 phpass。 两者都是为企业服务多年的旧软件包。

目前,受到影响的是使用软件包的软件开发人员,但渗透的显着增加已导致对也使用这些软件包的公司发出警告。

您可能会喜欢:每个企业都应该知道的 12 种端点安全类型。

对企业的网络攻击普遍增加

Code-Byte-Digital-Cryptography-Cyber​​-Electronic-Encryption-Algorithm-Data

开源软件攻击不仅仅是一个问题。 对企业的网络攻击显着且普遍增加。 例如,在英国,政府最近发布了一份报告,敦促企业和慈善机构在攻击急剧增加的情况下加强其网络安全实践。

许多人认为这是大流行,许多公司投资于允许他们继续虚拟运营的软件。 一项研究发现,在大流行期间和之后的几个月内,袭击事件增加了 300%。 但大流行并不是唯一的罪魁祸首——例如,5G 也导致了攻击的增加。 世界急于寻求更快的带宽。 但是通过增加带宽,物联网设备将更容易受到攻击。

组织内部的网络安全技能差距似乎也在攻击的增加中发挥了作用。 许多员工根本不了解不安全网络行为的风险和后果。 此外,许多公司甚至没有专门的网络安全团队。 管理层有责任对网络钓鱼电子邮件等问题进行教育并鼓励安全的网络实践。

解决办法是什么?

开发人员编码人员编程团队工作办公室

解决方案不是停止使用开源软件。 考虑漏洞和相关风险,并确定哪些开源软件可以尽可能多地缓解这些风险。 企业将需要寻找最适合其需求的软件。 例如,对于寻找更便宜替代品的品牌来说,开源软件可能会更好。 开源软件通常没有与闭源软件相同的价格标签。

广告

闭源软件具有更高的稳定性和安全性,该软件不会受到黑客的攻击。 如上所述,开源软件存在一个重大安全漏洞,导致 2021 年网络攻击增加了 650%。即使企业愿意,他们也不是运行安全检查和加密编码的人。 需要这样做的将是开发人员的大规模协作。

品牌还应该花时间与开发人员合作。 他们应该识别软件中的弱点并在补丁发布时实施补丁。 与 Equifax 黑客一样,软件开发人员在攻击前几天发布了补丁。 因为他们已经应用了补丁,所以攻击不会发生。 同样,实施定期更新是必不可少的,但这也涉及与开发人员合作以确保安全发布更新。 与 SolarWinds 的示例一样,Orion 系统的两个更新暴露了黑客立即利用的弱点。

对于许多品牌来说,闭源软件并不是一个可行的选择。 更好的选择可能是投资专门的网络安全团队或花更多时间来教育员工。 例如,许多备受瞩目的网络攻击始于糟糕的密码实践,但这是一个相对容易解决的问题。 2021 年对 Ticketmaster 的攻击是员工没有安全密码时可能发生的事情的完美例子。

您可能还喜欢:编写不烂的网络安全政策的 17 个很酷的技巧。

最后的话

漏洞-开源-软件-瘟疫-企业-结论

从技术上讲,即使是闭源软件也存在与开源软件相同的漏洞; 他们只是不那么突出。 企业可以通过仔细选择由知名开发人员创建的软件(无论是开放的还是封闭的)自行降低风险。

然而,显而易见的是,需要采取措施保护全球企业,尤其是使用开源软件的供应链。 网络攻击的急剧增加证明了公司和消费者对网络攻击的脆弱程度。 网络犯罪分子现在可以使用复杂的软件。 开发人员和品牌需要变得更加精通网络安全以防止攻击。

广告