近年来,随着网络攻击事件的不断增加,各种规模的组织对开源框架的采用迅速增加。同时,有关开源框架中漏洞的统计信息已使安全管理员重新考虑采用此类开源框架。为了应对这些攻击,企业正在转向诸如DevSecOps之类的现代安全实践。此外,企业正在使用基于欺骗技术的解决方案来实施这些实践,以防止网络攻击事件的发生,提高企业的网络安全性。
开源漏洞和漏洞的风险
在广泛使用的流行开源框架中,已经发现了许多关键漏洞。Heartbleed是OpenSSL 1.01中的关键安全漏洞,于2014年被发现,当时影响了几乎所有安全网站的三分之二。
尽管此错误是在2014年发现的,但到2017年为止,全球仍存在超过200,000台未打补丁的服务器,使它们容易受到攻击。同样,弹震错误在Unix,Linux和Mac服务器的Bash shell中存在超过二十年,它被发现之前。而且,此类漏洞在被黑客利用时可能会对各种规模的组织产生不利影响。
臭名昭著的Equifax安全漏洞已经影响了超过1.43亿美国人的纳税记录,这是开源系统中的漏洞可以对任何组织造成影响的一个例子。该公司的声明显示,开源服务器框架Apache Struts中的一个错误是造成破纪录的安全漏洞的主要原因之一。
该供应商已经在2017年3月修补了该漏洞,但是两个月后,即2017年5月至7月之间,黑客利用该漏洞来访问Equifax服务器。修补开放源代码漏洞的延迟最终导致Equifax被罚款超过7亿美元。
不幸的是,并非只有Equifax使用这种开源框架。大约有65%的财富100强公司使用Apache Struts。还有其他几起事件,黑客利用开源技术中的错误在组织内站稳了脚跟,然后实现了他们的恶意意图。
正确的开源方法
尽管发生了上述事件,但许多开发人员仍会争论,使用开源框架的好处仍然大于相关的安全风险。开源采用的大量增长也证明了这种观点。
RubyGems见证了开放源代码注册表中新库的两位数增长,而Python注册表中的下载量超过140亿。从npm注册表中下载的次数为3170亿次,这是Javascript生态系统的核心。
对待开源框架的正确方法不是完全避免它们,而是开发一种系统,该系统可以通过在黑客利用它们之前主动发现并修补错误来防止此类事件的发生。做到这一点的一种好方法是持续跟踪供应商的网站以跟踪任何更新,并在补丁发布时应用它们。这对于知名厂商的流行产品非常有效。
例如,众所周知,Red Hat Linux在公开披露的一天之内修复了65%以上的漏洞,而在14天内修复了大约90%的漏洞。但是,并非所有开源应用程序供应商都这样。估计表明,只有25%的开源供应商将其漏洞通知给用户,而只有10%的用户沉迷于提交CVE等其他活动。而且,当一个应用程序涉及多个第三方开源应用程序时,很难立即跟上所有此类供应商的所有更新。
开源依赖性问题
除了核心应用程序之外,开放源代码开发人员经常会对各种现成可用的开放源代码软件包产生兴趣,因为它使他们可以控制整个源代码,并易于获得和部署。但这也增加了整个应用程序的可能攻击面。
例如,对于使用十个开源依赖项的任何中型应用程序,攻击者在整个应用程序中都会获得十个机会,他们可以利用这些机会获得整个源代码,并可以尝试进行渗透。随着大量各种规模的第三方供应商的参与,总体风险增加。例如,社交共享插件之类的小型第三方组件中的漏洞可能降低整个电子商务平台的安全性。
根据报告,组织在持续集成/连续交付工作流程中对应用程序安全性测试面临的最大挑战是缺乏自动化的集成安全性测试工具。
在这种情况下,您不能依靠供应商或外部机构的通知,而应采取主动的方法来应对任何威胁。所有这些都表明需要一种解决方案,该解决方案需要自动扫描整个组织中的开源应用程序中的漏洞,并主动报告这些漏洞并采取措施。欺骗技术就是解决方案。
欺骗技术如何提供帮助?
欺骗技术通过提供额外的安全性以及主动防御已知和未知威胁的方式,提供了增强组织网络安全性的方法。它通过开发一些模仿组织真正网络元素的诱饵或陷阱来工作。
当任何对手击中任何诱饵时,通知就会与所有有用的信息一起广播到中央服务器,这些有用的信息可以帮助跟踪和遏制违规行为。基于此技术的工具和产品还可以实时识别和分析零日攻击和其他高级攻击,而使用传统的安全产品则无法解决这些攻击。
使用欺骗技术的好处
使用欺骗性技术可以帮助组织主动防御高级威胁和未知威胁。
无形的安全披风
诱饵基础设施充当了看不见的安全层,可以使攻击者大吃一惊。通过破坏诱饵的网络元素,他们将被认为已经获得了进入内部环境的权限,将采取进一步措施以揭示其意图。
同时,您会实时获得准确的警报,通过它们您可以随时关注他们的一举一动,收集有关其战术,技术和规程的所有可能信息,这些信息可进一步用于保护您的安全。通过及时采取行动来保护环境。
降低风险和精力
安全的诱饵元素会生成实时警报以及丰富而充足的取证数据,以进行详细分析。这样的数据可以帮助滤除误报,使安全管理员可以节省时间和精力来解决实际问题。
垂直和水平可伸缩性
自动警报可以帮助您消除操作任务中所需的手动工作,从而使您能够提高整个网络外围的安全级别。欺骗技术还可以为各种设备提供面包屑,包括现代物联网设备以及整个组织的旧环境。
实际实施-面向开源的DevSecOps
DevSecOps提供了一种操作开源软件欺骗技术的方法。DevSecOps帮助实现整个DevOps供应链的内置安全性,从需求分析到编码,再到部署,然后连续监控应用程序。在DevOps生命周期的早期阶段引入安全性可以帮助最大程度地减少暴露于外界的脆弱表面。
首先,您可以考虑在持续集成和持续交付过程的各个阶段中使用自动化漏洞扫描工具。可以使用多种工具来监视安全性和合规性,这些工具可以与基于云的敏捷DevOps方法论集成,并与快速发布周期保持同步。
这可以帮助确保应用程序安全以及快速的应用程序开发和稳定的发布周期。静态应用程序安全测试还提供了几种方法,例如源代码分析,可以直接集成到开发环境中,并帮助扫描各个漏洞,并在各个阶段发现专有代码中的漏洞。召开会议。这样可确保及早发现和修复漏洞。
结论
使用开源框架和组件会带来巨大的风险,但是,当前有关开源框架的积极趋势仍然暗示了未来的发展方向。为了忍受开源框架的挑战,您需要采用DevSecOps。集成安全性的方法应该是无缝且敏捷的,以承受动态DevOps周期而不破坏它。
为自动化开源管理选择正确的工具集可以帮助控制相关的风险。欺骗技术在采取积极的对策以打击攻击者方面非常有用。它们对于实现开源工具的全部收益并避免相关风险至关重要。想了解更多关于网络安全的信息,请继续关注中培教育。