ابزارهای منبع باز فوق العاده امنیت سایبری و مکان یافتن آنها | دانش مرکز داده

منبع باز یک شمشیر دولبه برای امنیت اطلاعات است.

از یک طرف، متخصصان امنیتی برای انجام کار خود به ابزارهای نرم افزاری امنیتی منبع باز بی شماری، چارچوب ها و پلتفرم های به اشتراک گذاری داده و اطلاعات متکی هستند.

از سوی دیگر، مهاجمان به ابزارهای مشابه دسترسی دارند. علاوه بر این، نرم افزار منبع باز، چه در عملیات امنیتی و چه در سایر نقاط مرکز داده، خود می تواند خطرات امنیتی ایجاد کند.

اهمیت ابزارهای متن باز

بر اساس یک نظرسنجی که اواخر ماه گذشته توسط Aqua Security منتشر شد، اکثر متخصصان امنیتی طرفدار استفاده از نرم افزارها و ابزارهای امنیتی منبع باز هستند.

در نظرسنجی از 100 CISO در 1000 شرکت Fortune، 70٪ گفتند که راه حل های امنیتی منبع باز راه سریع تری برای ایمن سازی محیط های آنها ارائه می دهد و 78٪ گفتند که آنها جدیدترین و بزرگترین نوآوری ها را در امنیت ابری ارائه می دهند.

مایک پارکین، مهندس سایبری در Vulcan Cyber ​​می گوید: «متن باز در مرکز داده نفوذ می کند. “اگر از ابزارهایی برای نظارت بر مرکز داده خود استفاده می کنید – بسیاری از آنها منبع باز هستند. من یک آزمایش کننده نفوذ بودم و هزاران ابزار منبع باز در آن دنیا وجود دارد.”

پارکین پیشنهاد کرد که برای آشنایی با موضوع، یکی از منابع برای شروع، فهرست ابزارهای امنیتی رایگان برنامه منبع باز OWASP است.

او افزود که موسسه SANS همچنین مجموعه ای از ابزارهای امنیتی منبع باز را دارد که توسط مربیان خود ساخته شده است.

او گفت که نقطه ضعف استفاده از نرم افزار امنیتی منبع باز این است که پشتیبانی ممکن است به راحتی در دسترس نباشد. ابزارهای کوچکتر و خاص ممکن است دارای جوامع کاربری کوچک و تعداد کمی از کارشناسان شخص ثالث باشند که آماده ورود و کمک هستند.

با این حال، برخی دیگر فروشنده هایی دارند که پشت سرشان ایستاده اند.

پارکین گفت: «تعداد نسبتاً زیادی از کسب‌وکارها وجود دارند که کل مدل کسب‌وکارشان حول کمک به استقرار، نگهداری و سرویس‌دهی یک پروژه منبع باز خاص ساخته شده است. “اگر از یک پروژه کاملاً متن باز استفاده می کنید، آن سطح از پشتیبانی تجاری وجود ندارد. این بدان معناست که شما به استعدادهای داخلی نیاز دارید که در نگهداری ابزار منبع باز راحت و توانا باشند.”

Vulcan Cyber ​​فهرستی از ابزارهای منبع باز خود را برای ارزیابی و کاهش خطرات سایبری منتشر می کند.

شرکت تست امنیتی Bishop Fox نیز فهرست دیگری از ابزارهای منبع باز دارد، این یکی به طور خاص در مورد باج افزار، با مزایا و معایب هر ابزار.

چارچوب های امنیتی و به اشتراک گذاری اطلاعات

چارچوب MITER ATT&CK توسعه یافته توسط شرکت غیرانتفاعی MITER به طور گسترده به عنوان استاندارد طلایی در امنیت سایبری شناخته شده است.

درک راش، مشاور مدیریت Bishop Fox، گفت: «این پایگاه دانشی از تمام کارهایی است که هکرها معمولاً انجام می دهند.

او گفت که در حال حاضر ATT&CK موثرترین چارچوبی است که ما داریم دانش مرکز داده. تاکتیک‌ها، تکنیک‌ها و رویه‌ها را با مشخصات هر حمله و شاخص‌های مصالحه پوشش می‌دهد.»

شرکت MITER همچنین یکی از حامیان لیست CVE است که توسط وزارت امنیت داخلی ایالات متحده و آژانس امنیت سایبری و امنیت زیرساخت حمایت می شود. ماموریت آن شناسایی، تعریف و فهرست‌نویسی آسیب‌پذیری‌های امنیت سایبری افشا شده عمومی است – در حال حاضر بیش از 175000 آسیب‌پذیری و افشای رایج را فهرست‌بندی می‌کند.

برنامه CVE بیش از 200 شرکت کننده دارد، از جمله بنیاد نرم افزار آپاچی، اپل، گوگل، آی بی ام، اینتل، مایکروسافت، رد هت و ابتکار روز صفر.

یکی دیگر از منابع ارزشمند برای متخصصان امنیتی، محصول اطلاعاتی تهدید منبع باز MISP است.

راش گفت: “سازمان های بالغ این رویکرد را دارند که اشتراک گذاری مراقبت است. اگر ما بتوانیم نحوه به خطر افتادن خود را به اشتراک بگذاریم، می توانیم از به خطر افتادن سایر سازمان ها جلوگیری کنیم.”

Sanjay Raja، معاون محصول در Gurucul، گفت: سازمان‌ها وقتی اطلاعات تهدیدات جمع‌سپاری شده و در سراسر جامعه به اشتراک گذاشته می‌شود، بسیار سود می‌برند.

او گفت: «این می‌تواند قابلیت‌های حفاظت یا شناسایی فوری را فراهم کند. در حالی که وابستگی به فروشندگانی که اغلب به‌روزرسانی‌ها را برای سیستم‌ها ارائه نمی‌دهند، برای هفته‌ها یا حتی ماه‌ها کاهش می‌دهد.»

به عنوان مثال، CISA دارای یک پلت فرم اشتراک گذاری خودکار است. در همین حال، در کانادا، تبادل تهدید سایبری کانادا وجود دارد.

ایزابل هرتانتو، مدیر تحقیقاتی اصلی در حوزه امنیت و حریم خصوصی در گروه تحقیقاتی Info-Tech توضیح داد: «این پلتفرم‌ها امکان تبادل و مصرف بی‌درنگ فیدهای خودکار و قابل خواندن توسط ماشین را می‌دهند.

او گفت که این جریان ثابت از شاخص های سازش می تواند به تیم های امنیتی کمک کند تا به تهدیدات امنیتی شبکه پاسخ دهند. دانش مرکز داده.

او گفت در واقع، مشکل کمبود داده های اطلاعاتی تهدید منبع باز نیست، بلکه در فراوانی بیش از حد است. فروشندگان تجاری برای کمک به تیم‌های امنیتی مرکز داده، راه‌حل‌های مبتنی بر هوش مصنوعی را برای جمع‌آوری و پردازش تمام این اطلاعات توسعه می‌دهند.

هرتانتو گفت: «ما این قابلیت را در فایروال های تجاری نسل بعدی و پلت فرم های جدید SIEM و SOAR می بینیم.

او همچنین انتظار دارد که چنین خدماتی توسط ارائه دهندگان خدمات امنیتی مدیریت شده ارائه شود.

تهدیدات امنیتی منبع باز

بر اساس گزارش تحلیل ریسک و امنیت منبع باز Synopsys در سال 2021، 98 درصد از پروژه های نرم افزاری سازمانی، اعم از داخلی و تجاری، حاوی مقداری کد منبع باز هستند.

Prakash Sutheraman، CISO در CloudBees، یک شرکت تحویل نرم‌افزار سازمانی، می‌گوید: «تقریباً هر نرم‌افزاری از منبع باز در جایی نشات می‌گیرد.

CloudBees خود مبتکر جنکینز، ابزار غالب اتوماسیون چرخه حیات تحویل نرم افزار است.

ساترمن گفت که نرم افزار منبع باز می تواند آسیب پذیر باشد. بسیاری از مردم بر این باورند که منبع باز امن است زیرا هر کسی می تواند به کد نگاه کند و آن را از نظر آسیب پذیری بررسی کند. اما این بدان معنا نیست که مردم این کار را می کنند.

برای مثال آسیب‌پذیری اخیر Log4j را در نظر بگیرید.

ساترامن گفت: «من با کسی برخورد نکرده‌ام که بتواند به من توضیح دهد که Log4j واقعاً چگونه کار می‌کند و کد منبع را بررسی کرده باشد. “هیچ کس به بسته نگاه نکرد. آنها فقط تصور کردند که خوب است.”

بسته های کوچکتر با نگهدارنده های کمی مشکل ساز هستند. مهاجمان می توانند از روش های مختلفی برای تزریق کدهای مخرب به نرم افزار استفاده کنند.

او گفت: «اما در بسیاری از بسته‌های اصلی، مانند جنکینز، کنترل‌ها و تعادل‌های زیادی وجود دارد. “ما متخصصان امنیتی اختصاص داده ایم تا مطمئن شویم که جنکینز ایمن است. این در مورد اکثر پروژه های اصلی منبع باز صادق است. آنها امنیت را بسیار جدی می گیرند.”

هر نرم افزار سازمانی می تواند به طور بالقوه به نقطه ورود یک حمله تبدیل شود. اما زمانی که از نرم‌افزار امنیتی برای این منظور استفاده می‌شود، تهدید بزرگ‌تر می‌شود زیرا ابزارهای امنیتی معمولاً به مناطق و سیستم‌های بسیار حساس دسترسی دارند.

البته، این فقط نرم افزارهای امنیتی منبع باز نیستند که مورد هدف مهاجمان قرار می گیرند. SolarWinds – که در سال 2020 از یک سوء استفاده بزرگ رنج می برد و منجر به نفوذ هزاران مشتری آن شد – یک محصول امنیتی شبکه تجاری بود. بنابراین اجتناب از منبع باز امنیت را تضمین نمی کند.

در عوض، مراکز داده باید هنگام استفاده از نرم افزار منبع باز، از جمله ابزارهای امنیتی منبع باز، بهداشت اولیه را رعایت کنند.

موشه زیونی، معاون تحقیقات امنیتی Apiiro، شرکتی که به تیم‌های امنیتی در مدیریت آسیب‌پذیری‌های منبع باز کمک می‌کند، گفت: «اولین سؤال باید کشف باشد. “هیچ کس واقعا نمی داند چه چیزی در حال استفاده است. سپس، چه نوع خطراتی را متحمل می شویم، و چگونه این خطر را اندازه گیری کنیم؟”

به عنوان مثال، او گفت، شرکت ها می توانند در نظر بگیرند که چگونه یک ابزار منبع باز خاص نگهداری می شود، یا یک رجیستری از بسته های نرم افزاری تایید شده راه اندازی کنند.

تعداد کمی از شرکت‌ها منابع لازم برای بررسی و رتبه‌بندی همه بسته‌های نرم‌افزار منبع باز ممکن را که می‌توان در محیط‌هایشان استفاده کرد، دارند. داشتن یک سیستم امتیازدهی ریسک عمومی برای نرم افزار منبع باز، مشابه رتبه اعتباری مفید خواهد بود.

صهیونی گفت: «چند مورد در حال بحث است. “OpenSSF سعی می کند دقیقاً همین کار را انجام دهد، تا خطرات بسته منبع باز را ارزیابی کند.”

پنجشنبه گذشته، OpenSSF، بنیاد لینوکس، CISA، NIST و سایر گروه‌ها در واشنگتن دی سی گرد هم آمدند و برنامه‌ای ۱۵۰ میلیون دلاری برای ایمن کردن نرم‌افزار منبع باز اعلام کردند.

برایان فاکس، عضو هیئت مدیره OpenSSF و CTO در Sonatype می گوید: «به ندرت می توان دید رقبای صنعت، دولت و اکوسیستم های متن باز متنوع همگی برای منافع مشترک گرد هم آمده اند. این نشان می‌دهد که چقدر مشکل بزرگی را باید در تامین امنیت منبع باز حل کنیم.

آمازون، اریکسون، گوگل، اینتل، مایکروسافت و VMware مجموعا بیش از 30 میلیون دلار برای این تلاش متعهد شده اند.

فاکس گفت: “هیچ نهادی نمی تواند به تنهایی آن را حل کند.” دانش مرکز داده.