开源系列 | 开源软件对网络安全的影响
“开源软件是过去几十年最具创新性的发展之一。
作者:Kyndall Elliott |
编译:唐诗 |
出新推出“产业洞察”栏目,聚焦各新兴技术领域,解析各行业发展最前沿的问题。本周推出开源系列,本篇盘点开源与网络安全的关系及影响。欢迎大家持续关注!
用户和安全供应商可以访问类似的资源和技术来应对恶意参与者社区。但是,团队合作是网络安全经常不足的领域。这种分散的安全环境可能会伤害客户,造成威胁参与者可以利用的安全漏洞。
根据X-Force威胁情报指数,恶意行为者的网络攻击处于历史最高水平,仅勒索软件就占攻击的23%。与此同时,运营技术基础设施攻击增加了2000%。
这种令人担忧的发展的原因之一是客户通常自主运营,而恶意行为者在协作环境中集体工作。
开源软件 (OSS) 安全性是指用于管理和确保从生产到开发的合规性的流程和工具。最好的方案是会自动探索应用中的开源依赖项,提供有价值的信息和关键版本控制,并触发警报以识别策略违规行为。
然后,它们会自动监控、警报和阻止生产中的攻击,针对任何开源组件的漏洞,以帮助快速采取行动。
不再依赖供应商或安全团队的专家和开发人员使用开源软件。相反,可以联系整个开源社区,就像其他组织或供应商一样,包括研究人员和大学,所有人都在查看相同的代码并对其进行改进。
01
开源如何帮助网络安全团队?
网络安全专家可以快速评估开源的相关风险。例如,程序员可能会在不知不觉中将有缺陷的开源代码插入到企业软件应用程序中。此操作可能会使组织、其客户和合作伙伴容易受到日益复杂的数据泄露的影响。
然而,随着 IT 攻击威胁的飙升在 Covid-19 期间给该行业带来了极大的压力,越来越多的网络安全专业人员理解开源的重要性,以及它如何成为保护客户和领先于安全审计问题的强大工具。
随着免费和开源工具和组件在企业环境中变得越来越普遍,作为安全供应商,在产品集成和威胁情报方面进行更多协作至关重要。
采用开源软件可以最大限度地降低整体开发成本,并使开发人员能够专注于更多增值工作。开源软件的另一个显着好处是成本较低。如果出现问题,您可以轻松地立即打开并修复代码,而无需等待供应商回答。
包括微软在内的IT领域的巨头已经接受了OSS网络安全,但一个重要的问题是,由于源代码是免费提供的,因此它更容易被利用。一些安全领导者认为专有软件比OSS更安全,因为它的代码是隐藏的。毕竟,即使代码中存在缺陷,恶意行为者如果看不到它们,也无法利用它们。
虽然专有软件也存在漏洞,但源代码的披露是一个重大的合规性问题。这种方法被称为“通过默默无闻获得安全性”,其中包括几个缺陷。
美国国家标准与技术研究院(NIST)明确建议依靠“通过隐蔽性实现安全性”来确保系统的安全性。系统安全不应依赖于实现保密性或其组件。
代码的透明度意味着更多的用户花时间评估漏洞解决方案。但事实并非如此。开源代码的每个组件都没有专门的用户群,甚至不能保证团队是否有足够的知识和专业知识来识别和解决所有问题。
以下是安全专业人员确保安全性的一些方法,即使使用开源代码也是如此:
使用多重身份验证和强密码
消除不再使用的软件
及时了解所有软件的安全更新
规范用户访问,确保数据安全
部署违规检测工具
根据需要加密数据
准备好响应协议,以防检测到安全漏洞
随着有关多个组织中网络安全攻击的最新报告,充分保护公司的 Web 应用程序、软件、供应链和数据免受恶意软件、勒索软件和网络钓鱼威胁至关重要。
计算技术的进步和发展使开源安全工具能够识别各个领域各行各业的网络威胁和漏洞。
02
实施开源软件有哪些风险?
在组织中部署开源软件之前,必须考虑与其部署相关的问题和风险。以下是开源软件的一些危险:
过多的访问和代码漏洞。开放获取意味着所有人都可以访问代码。因此,这为恶意行为者创造了随心所欲地操纵代码的机会。利用 OSS 可以为不良行为者提供多种途径来未经授权访问您的信息和网络。
缺乏支持。大多数OSS系统没有专门的支持团队。如果没有可靠的支持团队,可能无法获得安全补丁和更新。如果不良行为者检测到开源软件中的漏洞,他们可以利用这些系统漏洞获得对公司信息和网络的未经批准的访问权限。
缺乏验证。不能保证合格的专家在开源软件开发中执行充分的测试和质量保证,也不能保证审查代码的人员会仔细评估其安全性。缺乏确认会使您的计算机基础架构容易受到攻击
在获取和部署开源软件之前,必须彻底开展保障活动。通过这些预防措施,您可以更好地保护和最小化公司系统和网络的安全风险。
另一方面,专有软件具有内置控件,以防止使用不兼容或多个版本。开源元素通常依赖于用户来验证正确使用。
03
开源系统和封闭系统之间是否存在平衡?
在自动化和技术时代,软件在日常任务中越来越多地被利用和接受。但是,无论特定软件的用途如何,都有两种主要类型:开源和闭源。
闭源软件是保持源代码加密和安全的软件。用户不能修改、复制或删除代码段而不承担从取消保修到法律后果的后果。
另一方面,开源软件恰恰相反。它使用户能够自行修改、删除或复制代码节。此外,用户可以在他们的程序上使用功能而不会产生任何影响。
总体而言,如果想要灵活性、可扩展性和最低成本,开源软件项目是开始网络安全之旅的绝佳场所。但是,选择非常适合的需求的技术可能具有挑战性。
本文提供的信息仅用于一般指导和信息目的,本文的内容在任何情况下均不应被视为投资、业务、法律或税务建议。