منبع باز یک شمشیر دولبه برای امنیت اطلاعات است.
از یک طرف، متخصصان امنیتی برای انجام کار خود به ابزارهای نرم افزاری امنیتی منبع باز بی شماری، چارچوب ها و پلتفرم های به اشتراک گذاری داده و اطلاعات متکی هستند.
از سوی دیگر، مهاجمان به ابزارهای مشابه دسترسی دارند. علاوه بر این، نرم افزار منبع باز، چه در عملیات امنیتی و چه در سایر نقاط مرکز داده، خود می تواند خطرات امنیتی ایجاد کند.
اهمیت ابزارهای متن باز
بر اساس یک نظرسنجی که اواخر ماه گذشته توسط Aqua Security منتشر شد، اکثر متخصصان امنیتی طرفدار استفاده از نرم افزارها و ابزارهای امنیتی منبع باز هستند.
در نظرسنجی از 100 CISO در 1000 شرکت Fortune، 70٪ گفتند که راه حل های امنیتی منبع باز راه سریع تری برای ایمن سازی محیط های آنها ارائه می دهد و 78٪ گفتند که آنها جدیدترین و بزرگترین نوآوری ها را در امنیت ابری ارائه می دهند.
مایک پارکین، مهندس سایبری در Vulcan Cyber می گوید: «متن باز در مرکز داده نفوذ می کند. “اگر از ابزارهایی برای نظارت بر مرکز داده خود استفاده می کنید – بسیاری از آنها منبع باز هستند. من یک آزمایش کننده نفوذ بودم و هزاران ابزار منبع باز در آن دنیا وجود دارد.”
پارکین پیشنهاد کرد که برای آشنایی با موضوع، یکی از منابع برای شروع، فهرست ابزارهای امنیتی رایگان برنامه منبع باز OWASP است.
او افزود که موسسه SANS همچنین مجموعه ای از ابزارهای امنیتی منبع باز را دارد که توسط مربیان خود ساخته شده است.
او گفت که نقطه ضعف استفاده از نرم افزار امنیتی منبع باز این است که پشتیبانی ممکن است به راحتی در دسترس نباشد. ابزارهای کوچکتر و خاص ممکن است دارای جوامع کاربری کوچک و تعداد کمی از کارشناسان شخص ثالث باشند که آماده ورود و کمک هستند.
با این حال، برخی دیگر فروشنده هایی دارند که پشت سرشان ایستاده اند.
پارکین گفت: «تعداد نسبتاً زیادی از کسبوکارها وجود دارند که کل مدل کسبوکارشان حول کمک به استقرار، نگهداری و سرویسدهی یک پروژه منبع باز خاص ساخته شده است. “اگر از یک پروژه کاملاً متن باز استفاده می کنید، آن سطح از پشتیبانی تجاری وجود ندارد. این بدان معناست که شما به استعدادهای داخلی نیاز دارید که در نگهداری ابزار منبع باز راحت و توانا باشند.”
Vulcan Cyber فهرستی از ابزارهای منبع باز خود را برای ارزیابی و کاهش خطرات سایبری منتشر می کند.
شرکت تست امنیتی Bishop Fox نیز فهرست دیگری از ابزارهای منبع باز دارد، این یکی به طور خاص در مورد باج افزار، با مزایا و معایب هر ابزار.
چارچوب های امنیتی و به اشتراک گذاری اطلاعات
چارچوب MITER ATT&CK توسعه یافته توسط شرکت غیرانتفاعی MITER به طور گسترده به عنوان استاندارد طلایی در امنیت سایبری شناخته شده است.
درک راش، مشاور مدیریت Bishop Fox، گفت: «این پایگاه دانشی از تمام کارهایی است که هکرها معمولاً انجام می دهند.
او گفت که در حال حاضر ATT&CK موثرترین چارچوبی است که ما داریم دانش مرکز داده. تاکتیکها، تکنیکها و رویهها را با مشخصات هر حمله و شاخصهای مصالحه پوشش میدهد.»
شرکت MITER همچنین یکی از حامیان لیست CVE است که توسط وزارت امنیت داخلی ایالات متحده و آژانس امنیت سایبری و امنیت زیرساخت حمایت می شود. ماموریت آن شناسایی، تعریف و فهرستنویسی آسیبپذیریهای امنیت سایبری افشا شده عمومی است – در حال حاضر بیش از 175000 آسیبپذیری و افشای رایج را فهرستبندی میکند.
برنامه CVE بیش از 200 شرکت کننده دارد، از جمله بنیاد نرم افزار آپاچی، اپل، گوگل، آی بی ام، اینتل، مایکروسافت، رد هت و ابتکار روز صفر.
یکی دیگر از منابع ارزشمند برای متخصصان امنیتی، محصول اطلاعاتی تهدید منبع باز MISP است.
راش گفت: “سازمان های بالغ این رویکرد را دارند که اشتراک گذاری مراقبت است. اگر ما بتوانیم نحوه به خطر افتادن خود را به اشتراک بگذاریم، می توانیم از به خطر افتادن سایر سازمان ها جلوگیری کنیم.”
Sanjay Raja، معاون محصول در Gurucul، گفت: سازمانها وقتی اطلاعات تهدیدات جمعسپاری شده و در سراسر جامعه به اشتراک گذاشته میشود، بسیار سود میبرند.
او گفت: «این میتواند قابلیتهای حفاظت یا شناسایی فوری را فراهم کند. در حالی که وابستگی به فروشندگانی که اغلب بهروزرسانیها را برای سیستمها ارائه نمیدهند، برای هفتهها یا حتی ماهها کاهش میدهد.»
به عنوان مثال، CISA دارای یک پلت فرم اشتراک گذاری خودکار است. در همین حال، در کانادا، تبادل تهدید سایبری کانادا وجود دارد.
ایزابل هرتانتو، مدیر تحقیقاتی اصلی در حوزه امنیت و حریم خصوصی در گروه تحقیقاتی Info-Tech توضیح داد: «این پلتفرمها امکان تبادل و مصرف بیدرنگ فیدهای خودکار و قابل خواندن توسط ماشین را میدهند.
او گفت که این جریان ثابت از شاخص های سازش می تواند به تیم های امنیتی کمک کند تا به تهدیدات امنیتی شبکه پاسخ دهند. دانش مرکز داده.
او گفت در واقع، مشکل کمبود داده های اطلاعاتی تهدید منبع باز نیست، بلکه در فراوانی بیش از حد است. فروشندگان تجاری برای کمک به تیمهای امنیتی مرکز داده، راهحلهای مبتنی بر هوش مصنوعی را برای جمعآوری و پردازش تمام این اطلاعات توسعه میدهند.
هرتانتو گفت: «ما این قابلیت را در فایروال های تجاری نسل بعدی و پلت فرم های جدید SIEM و SOAR می بینیم.
او همچنین انتظار دارد که چنین خدماتی توسط ارائه دهندگان خدمات امنیتی مدیریت شده ارائه شود.
تهدیدات امنیتی منبع باز
بر اساس گزارش تحلیل ریسک و امنیت منبع باز Synopsys در سال 2021، 98 درصد از پروژه های نرم افزاری سازمانی، اعم از داخلی و تجاری، حاوی مقداری کد منبع باز هستند.
Prakash Sutheraman، CISO در CloudBees، یک شرکت تحویل نرمافزار سازمانی، میگوید: «تقریباً هر نرمافزاری از منبع باز در جایی نشات میگیرد.
CloudBees خود مبتکر جنکینز، ابزار غالب اتوماسیون چرخه حیات تحویل نرم افزار است.
ساترمن گفت که نرم افزار منبع باز می تواند آسیب پذیر باشد. بسیاری از مردم بر این باورند که منبع باز امن است زیرا هر کسی می تواند به کد نگاه کند و آن را از نظر آسیب پذیری بررسی کند. اما این بدان معنا نیست که مردم این کار را می کنند.
برای مثال آسیبپذیری اخیر Log4j را در نظر بگیرید.
ساترامن گفت: «من با کسی برخورد نکردهام که بتواند به من توضیح دهد که Log4j واقعاً چگونه کار میکند و کد منبع را بررسی کرده باشد. “هیچ کس به بسته نگاه نکرد. آنها فقط تصور کردند که خوب است.”
بسته های کوچکتر با نگهدارنده های کمی مشکل ساز هستند. مهاجمان می توانند از روش های مختلفی برای تزریق کدهای مخرب به نرم افزار استفاده کنند.
او گفت: «اما در بسیاری از بستههای اصلی، مانند جنکینز، کنترلها و تعادلهای زیادی وجود دارد. “ما متخصصان امنیتی اختصاص داده ایم تا مطمئن شویم که جنکینز ایمن است. این در مورد اکثر پروژه های اصلی منبع باز صادق است. آنها امنیت را بسیار جدی می گیرند.”
هر نرم افزار سازمانی می تواند به طور بالقوه به نقطه ورود یک حمله تبدیل شود. اما زمانی که از نرمافزار امنیتی برای این منظور استفاده میشود، تهدید بزرگتر میشود زیرا ابزارهای امنیتی معمولاً به مناطق و سیستمهای بسیار حساس دسترسی دارند.
البته، این فقط نرم افزارهای امنیتی منبع باز نیستند که مورد هدف مهاجمان قرار می گیرند. SolarWinds – که در سال 2020 از یک سوء استفاده بزرگ رنج می برد و منجر به نفوذ هزاران مشتری آن شد – یک محصول امنیتی شبکه تجاری بود. بنابراین اجتناب از منبع باز امنیت را تضمین نمی کند.
در عوض، مراکز داده باید هنگام استفاده از نرم افزار منبع باز، از جمله ابزارهای امنیتی منبع باز، بهداشت اولیه را رعایت کنند.
موشه زیونی، معاون تحقیقات امنیتی Apiiro، شرکتی که به تیمهای امنیتی در مدیریت آسیبپذیریهای منبع باز کمک میکند، گفت: «اولین سؤال باید کشف باشد. “هیچ کس واقعا نمی داند چه چیزی در حال استفاده است. سپس، چه نوع خطراتی را متحمل می شویم، و چگونه این خطر را اندازه گیری کنیم؟”
به عنوان مثال، او گفت، شرکت ها می توانند در نظر بگیرند که چگونه یک ابزار منبع باز خاص نگهداری می شود، یا یک رجیستری از بسته های نرم افزاری تایید شده راه اندازی کنند.
تعداد کمی از شرکتها منابع لازم برای بررسی و رتبهبندی همه بستههای نرمافزار منبع باز ممکن را که میتوان در محیطهایشان استفاده کرد، دارند. داشتن یک سیستم امتیازدهی ریسک عمومی برای نرم افزار منبع باز، مشابه رتبه اعتباری مفید خواهد بود.
صهیونی گفت: «چند مورد در حال بحث است. “OpenSSF سعی می کند دقیقاً همین کار را انجام دهد، تا خطرات بسته منبع باز را ارزیابی کند.”
پنجشنبه گذشته، OpenSSF، بنیاد لینوکس، CISA، NIST و سایر گروهها در واشنگتن دی سی گرد هم آمدند و برنامهای ۱۵۰ میلیون دلاری برای ایمن کردن نرمافزار منبع باز اعلام کردند.
برایان فاکس، عضو هیئت مدیره OpenSSF و CTO در Sonatype می گوید: «به ندرت می توان دید رقبای صنعت، دولت و اکوسیستم های متن باز متنوع همگی برای منافع مشترک گرد هم آمده اند. این نشان میدهد که چقدر مشکل بزرگی را باید در تامین امنیت منبع باز حل کنیم.
آمازون، اریکسون، گوگل، اینتل، مایکروسافت و VMware مجموعا بیش از 30 میلیون دلار برای این تلاش متعهد شده اند.
فاکس گفت: “هیچ نهادی نمی تواند به تنهایی آن را حل کند.” دانش مرکز داده.