开源有毒：企业信息安全需要借助欺骗技术

growtika-developer-marketing-agency-0Hjb-YSd3xQ-unsplash

近年来，各种规模的组织对开源框架的采用迅速增加。同时，有关开源框架中漏洞的统计信息已使安全管理员重新考虑是否采用此类开源框架。
为了应对这些针对开源漏洞的攻击，企业正在转向诸如DevSecOps之类的现代安全实践。此外，企业正在使用基于欺骗技术的解决方案来实施这些实践。

开源软件漏洞的风险

在广泛使用的流行开放源代码框架中，已经发现了许多关键漏洞。Heartbleed（跟踪为CVE-2014-0160）是OpenSSL 1.01中的关键安全漏洞，于2014年被发现，当时影响了几乎所有安全网站的三分之二。
尽管此错误是在2014年发现的，但到2017年为止，全球仍存在超过200,000台未打补丁的服务器，很容易受到攻击。同样，ShellShock漏洞（漏洞代号CVE-2014-6271）被发现之前，已经在Unix，Linux和Mac服务器的Bash shell中存在超过二十年！
臭名昭著的Equifax安全漏洞已影响了超过1.43亿美国人的纳税记录，这是开源系统中的漏洞可以对任何组织造成影响的一个例子。该公司的声明显示，开源服务器框架Apache Struts中的错误（怀疑是CVE-2017-9805或CVE-2017-5638）是造成破纪录的安全漏洞的主要原因之一。
该供应商已经在2017年3月修补了该漏洞，但两个月后，即2017年5月至7月之间，黑客利用该漏洞获得了对Equifax服务器的访问权限。修补开放源代码漏洞的延迟最终导致对Equifax处以超过7亿美元的罚款。
不幸的是，Equifax并不是唯一使用这种开源框架的公司。大约有65％的财富100强公司（Office Depot，花旗集团，维珍航空，沃达丰和洛克希德·马丁公司）使用Apache Struts。还有其他几起事件，黑客利用开源技术中的错误在组织内站稳了脚跟，然后实现了他们的恶意意图。

正确的开源方法

尽管发生了上述事件，但许多开发人员仍然会争辩（这也是正确的），使用开放源代码框架的好处仍然大于其安全风险。开源代码应用的大幅增长也证明了这种观点。
RubyGems见证了开放源代码库中新库的两位数增长，而Python代码库的下载量超过140亿。npm代码库的下载量高达3170亿次，这也是Javascript生态系统的核心。
对待开源框架的正确方法不是因噎废食，而是开发一种系统，可以在黑客利用漏洞之前主动发现并修补漏洞。一个好的方法是持续跟踪供应商网站的任何更新，并在补丁发布时及时打补丁。这对于知名厂商的流行产品非常有效。
例如，众所周知，Red Hat Linux在公开披露的一天之内修复了超过65％的漏洞，而在14天内修复了约90％的漏洞。但是，并非所有开源应用程序供应商都这样。估计表明，只有25％的开源供应商将其漏洞通知给用户，而其中只有10％的用户乐于于提交CVE等活动。而且，当一个应用程序涉及多个第三方开源应用程序时，很难立即跟上所有此类供应商的所有更新。

开源依赖性问题

除了核心应用程序之外，开放源代码开发人员经常会对各种现成可用的开放源代码软件包（称为依赖项）产生影响，因为它使他们可以控制整个源代码，并简化了可用性和部署。但这也增加了整个应用程序的潜在攻击面。
例如，对于使用十个开源依赖项的任何中型应用程序，攻击者都将在整个应用程序中获得十个机会，他们可以利用这些机会获得整个源代码，并可以尝试进行渗透。随着大量各种规模的第三方供应商的参与，总体风险增加。例如，诸如社交共享插件之类的小型第三方组件中的漏洞可能降低整个电子商务平台的安全性。
GitHub是最大的开源代码存储库，它确实可以帮助开发人员跟踪其开源项目和依赖项中的漏洞。它为托管项目提供漏洞跟踪和依赖关系管理。当引发任何安全警报时，GitHub会识别使用受影响的依赖版本的所有公共和私有存储库，并将安全警报发送给有关人员，建议他们尽早解决此问题。
尽管这实现了一定程度的自动化，但仍然限于托管在GitHub上的项目，其有效性仅限于警报的配置（每周，每天等），以及每个代码库所有者的响应速度。
根据Synopsys2018年发布的报告，组织在持续集成/连续交付（CI / CD）工作流程中对应用程序安全性测试面临的最大挑战是缺乏自动化的集成安全性测试工具。
在这种情况下，您不能依靠供应商或外部机构的通知，而应采取主动的方法来应对任何威胁。所有这些都表明需要一种解决方案，该解决方案需要在整个组织中自动扫描开源应用程序中的漏洞，并主动报告这些漏洞并采取措施。欺骗技术（Deception）就是这种解决方案。

欺骗技术如何发挥作用？

欺骗技术能提供额外的安全性（例如使用诱饵），主动防御已知和未知威胁，能够增强组织网络安全性。它通过开发一些模拟组织真正网络元素的诱饵或陷阱来工作。
当任何对手触碰欺骗技术设置的诱饵时，通知就会与所有有助于跟踪和遏制违规的有用信息一起广播到集中式服务器。基于此技术的工具和产品还可以实时识别和分析零日攻击和其他高级攻击，而使用传统的安全产品则无法解决这些攻击。

使用欺骗技术的好处

使用欺骗性技术可以帮助组织主动防御高级威胁和未知威胁。
无形的安全披风
诱饵基础设施充当了看不见的安全层，可以使攻击者大吃一惊。通过搞定诱饵，攻击者自以为获得了进入内部环境的权限，将采取进一步措施以揭示其意图。
同时，您会实时获得准确的警报，通过它们您可以随时关注他们的一举一动，收集有关其战术，技术和规程（TTP）的所有可能信息，这些信息可进一步用于保护您的安全。通过及时采取行动来保护环境。
降低风险和精力
安全的诱饵元素会生成实时警报以及丰富而充足的取证数据，以进行详细分析。这样的数据可以帮助滤除误报，使安全管理员可以节省时间和精力来解决实际问题。
垂直和水平可伸缩性
自动警报可以帮助您消除操作任务中所需的手动工作，从而可以提高整个网络外围的安全级别。欺骗技术还可以为各种设备提供面包屑，包括现代IoT设备以及整个组织的旧环境。
实际实施-开源的DevSecOps
DevSecOps提供了一种操作开源软件欺骗技术的方法。DevSecOps帮助实现整个DevOps供应链的内置安全性，从需求分析到编码，再到部署，然后连续监控应用程序。在DevOps生命周期的早期阶段引入安全性可以帮助最大程度地减少暴露于外界的脆弱表面。
首先，您可以考虑在持续集成和持续交付（CI / CD）过程的各个阶段中使用自动化漏洞扫描工具。有几种可用于监视安全性和合规性的工具，可以与基于云的敏捷DevOps方法集成，并跟上快速发布周期。
这可以帮助确保应用程序安全以及快速的应用程序开发和稳定的发布周期。静态应用程序安全测试（SAST）还提供了几种方法，例如源代码分析（SCA），可以直接集成到开发环境中，并帮助扫描各个漏洞，并在各个阶段（例如每天）发现专有代码中的漏洞。召开会议。这样可以确保及早发现和修复漏洞。

结论

使用开源框架和组件会带来巨大的风险，但是，开源框架的流行趋势不可阻挡。承受开源框架的安全风险，您需要采用DevSecOps。集成安全性的方法应该是无缝且敏捷的，以承受动态DevOps周期而不破坏它。
为自动化开源管理选择正确的工具集可以帮助控制相关的风险。欺骗技术在采取主动对策打击攻击者方面非常有用。它们对于企业获得开源工具的全部收益并避免相关风险至关重要。

本文来源：Pixabay.com