開源有毒:企業信息安全需要借助欺騙技術

2019-11-07 23:06:24 Pixabay.com CashCat 分享

近年來,各種規模的組織對開源框架的采用迅速增加。同時,有關開源框架中漏洞的統計信息已使安全管理員重新考慮是否采用此類開源框架。
為了應對這些針對開源漏洞的攻擊,企業正在轉向諸如DevSecOps之類的現代安全實踐。此外,企業正在使用基于欺騙技術的解決方案來實施這些實踐。

在廣泛使用的流行開放源代碼框架中,已經發現了許多關鍵漏洞。Heartbleed(跟蹤為CVE-2014-0160)是OpenSSL 1.01中的關鍵安全漏洞,于2014年被發現,當時影響了幾乎所有安全網站的三分之二。
盡管此錯誤是在2014年發現的,但到2017年為止,全球仍存在超過200,000臺未打補丁的服務器,很容易受到攻擊。同樣,ShellShock漏洞(漏洞代號CVE-2014-6271)被發現之前,已經在Unix,Linux和Mac服務器的Bash shell中存在超過二十年!
臭名昭著的Equifax安全漏洞已影響了超過1.43億美國人的納稅記錄,這是開源系統中的漏洞可以對任何組織造成影響的一個例子。該公司的聲明顯示,開源服務器框架Apache Struts中的錯誤(懷疑是CVE-2017-9805或CVE-2017-5638)是造成破紀錄的安全漏洞的主要原因之一。
該供應商已經在2017年3月修補了該漏洞,但兩個月后,即2017年5月至7月之間,黑客利用該漏洞獲得了對Equifax服務器的訪問權限。修補開放源代碼漏洞的延遲最終導致對Equifax處以超過7億美元的罰款。
不幸的是,Equifax并不是唯一使用這種開源框架的公司。大約有65%的財富100強公司(Office Depot,花旗集團,維珍航空,沃達豐和洛克希德·馬丁公司)使用Apache Struts。還有其他幾起事件,黑客利用開源技術中的錯誤在組織內站穩了腳跟,然后實現了他們的惡意意圖。

盡管發生了上述事件,但許多開發人員仍然會爭辯(這也是正確的),使用開放源代碼框架的好處仍然大于其安全風險。開源代碼應用的大幅增長也證明了這種觀點。
RubyGems見證了開放源代碼庫中新庫的兩位數增長,而Python代碼庫的下載量超過140億。npm代碼庫的下載量高達3170億次,這也是Javascript生態系統的核心。
對待開源框架的正確方法不是因噎廢食,而是開發一種系統,可以在黑客利用漏洞之前主動發現并修補漏洞。一個好的方法是持續跟蹤供應商網站的任何更新,并在補丁發布時及時打補丁。這對于知名廠商的流行產品非常有效。
例如,眾所周知,Red Hat Linux在公開披露的一天之內修復了超過65%的漏洞,而在14天內修復了約90%的漏洞。但是,并非所有開源應用程序供應商都這樣。估計表明,只有25%的開源供應商將其漏洞通知給用戶,而其中只有10%的用戶樂于于提交CVE等活動。而且,當一個應用程序涉及多個第三方開源應用程序時,很難立即跟上所有此類供應商的所有更新。

除了核心應用程序之外,開放源代碼開發人員經常會對各種現成可用的開放源代碼軟件包(稱為依賴項)產生影響,因為它使他們可以控制整個源代碼,并簡化了可用性和部署。但這也增加了整個應用程序的潛在攻擊面。
例如,對于使用十個開源依賴項的任何中型應用程序,攻擊者都將在整個應用程序中獲得十個機會,他們可以利用這些機會獲得整個源代碼,并可以嘗試進行滲透。隨著大量各種規模的第三方供應商的參與,總體風險增加。例如,諸如社交共享插件之類的小型第三方組件中的漏洞可能降低整個電子商務平臺的安全性。
GitHub是最大的開源代碼存儲庫,它確實可以幫助開發人員跟蹤其開源項目和依賴項中的漏洞。它為托管項目提供漏洞跟蹤和依賴關系管理。當引發任何安全警報時,GitHub會識別使用受影響的依賴版本的所有公共和私有存儲庫,并將安全警報發送給有關人員,建議他們盡早解決此問題。
盡管這實現了一定程度的自動化,但仍然限于托管在GitHub上的項目,其有效性僅限于警報的配置(每周,每天等),以及每個代碼庫所有者的響應速度。
根據Synopsys2018年發布的報告,組織在持續集成/連續交付(CI / CD)工作流程中對應用程序安全性測試面臨的最大挑戰是缺乏自動化的集成安全性測試工具。
在這種情況下,您不能依靠供應商或外部機構的通知,而應采取主動的方法來應對任何威脅。所有這些都表明需要一種解決方案,該解決方案需要在整個組織中自動掃描開源應用程序中的漏洞,并主動報告這些漏洞并采取措施。欺騙技術(Deception)就是這種解決方案。

欺騙技術能提供額外的安全性(例如使用誘餌),主動防御已知和未知威脅,能夠增強組織網絡安全性。它通過開發一些模擬組織真正網絡元素的誘餌或陷阱來工作。
當任何對手觸碰欺騙技術設置的誘餌時,通知就會與所有有助于跟蹤和遏制違規的有用信息一起廣播到集中式服務器。基于此技術的工具和產品還可以實時識別和分析零日攻擊和其他高級攻擊,而使用傳統的安全產品則無法解決這些攻擊。

使用欺騙性技術可以幫助組織主動防御高級威脅和未知威脅。
無形的安全披風
誘餌基礎設施充當了看不見的安全層,可以使攻擊者大吃一驚。通過搞定誘餌,攻擊者自以為獲得了進入內部環境的權限,將采取進一步措施以揭示其意圖。
同時,您會實時獲得準確的警報,通過它們您可以隨時關注他們的一舉一動,收集有關其戰術,技術和規程(TTP)的所有可能信息,這些信息可進一步用于保護您的安全。通過及時采取行動來保護環境。
降低風險和精力
安全的誘餌元素會生成實時警報以及豐富而充足的取證數據,以進行詳細分析。這樣的數據可以幫助濾除誤報,使安全管理員可以節省時間和精力來解決實際問題。
垂直和水平可伸縮性
自動警報可以幫助您消除操作任務中所需的手動工作,從而可以提高整個網絡外圍的安全級別。欺騙技術還可以為各種設備提供面包屑,包括現代IoT設備以及整個組織的舊環境。
實際實施-開源的DevSecOps
DevSecOps提供了一種操作開源軟件欺騙技術的方法。DevSecOps幫助實現整個DevOps供應鏈的內置安全性,從需求分析到編碼,再到部署,然后連續監控應用程序。在DevOps生命周期的早期階段引入安全性可以幫助最大程度地減少暴露于外界的脆弱表面。
首先,您可以考慮在持續集成和持續交付(CI / CD)過程的各個階段中使用自動化漏洞掃描工具。有幾種可用于監視安全性和合規性的工具,可以與基于云的敏捷DevOps方法集成,并跟上快速發布周期。
這可以幫助確保應用程序安全以及快速的應用程序開發和穩定的發布周期。靜態應用程序安全測試(SAST)還提供了幾種方法,例如源代碼分析(SCA),可以直接集成到開發環境中,并幫助掃描各個漏洞,并在各個階段(例如每天)發現專有代碼中的漏洞。召開會議。這樣可以確保及早發現和修復漏洞。

聲明:本站部分資源來源于網絡,版權歸原作者或者來源機構所有,如作者或來源機構不同意本站轉載采用,請通知我們,我們將第一時間刪除內容。本站刊載文章出于傳遞更多信息之目的,所刊文章觀點僅代表作者本人觀點,并不意味著本站贊同作者觀點或證實其描述,其原創性及對文章內容的真實性、完整性、及時性本站亦不作任何保證或承諾,請讀者僅作參考。
編輯:牛牛
4887王中王鉄算 盘开奖结果