Стороннее программное обеспечение представляет угрозу безопасности (часть 1)
В прошлом поставщики операционных систем считались самым слабым звеном безопасности. По мере того, как эти софтверные гиганты развивались из-за рыночного давления, они урегулировали большую часть незавершенных дел и тщательно реализовывали запланированные циклы выпуска исправлений, а их уровни безопасности улучшились, и, таким образом, повысился общий уровень безопасности.
У сторонних разработчиков программного обеспечения нет бюджета или ресурсов для реализации таких тщательных и подробных циклов качественной разработки и выпуска исправлений для надлежащей защиты предприятия. Таким образом, в большинстве случаев на корпоративных платформах уязвимость выше при использовании стороннего программного обеспечения.
В этих двух статьях мы рассмотрим области, на которых предприятие должно сосредоточиться как компания, заботящаяся о безопасности, чтобы убедиться, что эти недочеты закреплены, чтобы улучшить наше общее состояние безопасности.
Введение
Обеспечение безопасности стороннего программного обеспечения, будь то готовое коммерческое программное обеспечение, аутсорсинг или программное обеспечение с открытым исходным кодом, бросает вызов безопасности любого бизнеса. Работая с ведущими мировыми поставщиками средств управления исправлениями, моя команда несколько лет назад обнаружила, что такие компании, как Apple, Microsoft, Ubuntu и т. д., отшлифовали свои процессы управления исправлениями до такой степени, что теперь более 80% угроз, связанных с исправлением, исходят от стороннего программного обеспечения..
Организации все чаще полагаются на стороннее программное обеспечение/приложения при вычислениях в облаке и использовании мобильных вычислений, чтобы в полной мере воспользоваться преимуществами этих форм вычислений в бизнесе (гибкость и быстрый выход на рынок).
Организации сталкиваются с трудностями в обеспечении безопасности используемого ими программного обеспечения, а также в том, чтобы оно не создавало рисков для безопасности или уязвимостей и не приводило к снижению их уровня безопасности. Большая часть программного обеспечения, используемого сегодня в организациях, получена из стороннего источника, но у большинства организаций нет средств для оценки безопасности этого программного обеспечения.
Надежность стороннего программного обеспечения передает безопасность программного обеспечения в руки нескольких разработчиков (часто третья сторона может передавать на аутсорсинг другой третьей стороне), организации часто предполагают, что были предприняты необходимые комплексные проверки и проверки безопасности. К сожалению, при таком большом количестве участников часто это не так. Программное обеспечение может быть разработано или протестировано не в соответствии с теми же стандартами качества и безопасности, которые используются в вашей организации.
В большинстве случаев организации соблюдают безопасные циклы разработки, но с сотнями сторонних библиотек, используемых в одном приложении, огромные объемы кода, вероятно, не будут подвергаться тому же уровню проверки безопасности, который требуется.
Организация должна иметь достаточные знания о том, где и как будет использоваться часть программного обеспечения, чтобы помочь понять риск угрозы при использовании программного обеспечения. Четкое понимание жизненного цикла разработки безопасности программного обеспечения является ключом к пониманию и управлению рисками, потому что, если вы осведомлены о процессе, у вас есть знания, чтобы задавать правильные вопросы и обеспечивать охват важных шагов и методов обеспечения безопасности.
Возможные риски и проблемы безопасности, связанные с использованием стороннего программного обеспечения:
- Тестирование безопасности и качество тестирования могут не соответствовать стандартам или требованиям вашей организации.
- Стороннее программное обеспечение может содержать слабые места или недостатки, связанные с безопасностью, что делает возможными интернет-атаки и уязвимости безопасности, ставящие под угрозу бизнес-данные и активы.
- Используемые библиотеки кода могут не поддерживаться активно
- Используется несколько библиотек кода
- Использование нескольких сторонних поставщиков расширяет возможности для компрометации.
- Производительность и функциональность программного обеспечения могут быть затруднены
- Исправление обычно не выполняется достаточно быстро после обнаружения уязвимости.
- Причины медленного исправления могут включать:
- Время, необходимое для тестирования и проверки
- Отсутствие инструментов управления.
- Недостаточные ресурсы
- Опасения по поводу уровня обслуживания
- Исправление недостатков
Решение проблем, связанных с использованием стороннего программного обеспечения
ОС активизировались и стали более устойчивыми к атакам, в результате чего стороннее программное обеспечение стало виновником большинства нарушений безопасности. Недавние результаты показывают, что уязвимости в стороннем программном обеспечении являются причиной большинства случаев появления вредоносного ПО на конечных устройствах Windows.
В конечном итоге организации несут ответственность за обеспечение наличия средств контроля для снижения риска безопасности и управления ответственностью за использование стороннего программного обеспечения. Как только программное обеспечение или код становятся частью системы организации, организация берет на себя ответственность за безопасность, качество и безопасность программного обеспечения.
Уязвимости программного обеспечения напрямую связаны с бизнес-рисками. Недостаток в программном обеспечении может повлиять на удовлетворенность клиентов, имидж бренда или бизнеса, доход, время выхода на рынок и конкуренцию за лидерство на рынке.
Взаимосвязь между безопасностью программного обеспечения и бизнес-рисками делает акцент на важности защиты стороннего программного обеспечения и обеспечения его разработки с учетом качества, безопасности и защищенности.
Следующие шаги могут быть предприняты для снижения риска безопасности и определения целостности программного обеспечения:
- Сопоставьте бизнес-риски с преимуществами использования стороннего программного обеспечения. Задайте себе правильные вопросы, чтобы достичь уровней терпимости к бизнес-рискам по сравнению с вашими бизнес-требованиями.
Рассматривайте программное обеспечение с точки зрения вашего бизнеса, потому что риск безопасности программного обеспечения напрямую связан с выполнением вами бизнес-требований.
Некоторые вопросы, которые могут указать вам правильное направление, могут включать (ответы на вопросы будут уникальными для каждого бизнеса/организации и помогут принять обоснованное решение об использовании программного обеспечения в различных обстоятельствах):
- Можно ли протестировать сторонний код на наличие недостатков безопасности в тестовой среде перед запуском?
- После запуска можно ли протестировать сторонний компонент?
- Будет ли стороннее программное обеспечение/плагины общедоступными?
- Известны ли вам какие-либо перечисленные уязвимости в стороннем программном обеспечении или коде?
- Если вы скомпрометированы из-за стороннего недостатка, каков худший исход для вашего бизнеса?
После тщательного рассмотрения вы решили использовать стороннее программное обеспечение, дальнейшие шаги, которые можно предпринять:
- Внедрите меры безопасности, которые помогут гарантировать, что стороннее программное обеспечение соответствует вашим отраслевым стандартам безопасности и требованиям соответствия. Относитесь к оценке стороннего программного обеспечения с той же дотошностью, что и к собственному программному обеспечению.
- Внедрите политики, которым должно соответствовать управление сторонним программным обеспечением при разработке, чтобы обеспечить эффективное выполнение ваших требований безопасности и соответствия требованиям. Сторонние поставщики программного обеспечения должны использовать зрелые методы разработки и предоставить послужной список, подтверждающий соблюдение требований к качеству, безопасности и защищенности.
- Убедитесь, что используется код самого высокого качества.
- Убедитесь, что при разработке проводится соответствующее тестирование, чтобы дефекты могли быть устранены на ранней стадии цикла разработки.
- Требуйте прозрачности и понимания качества и безопасности стороннего кода.
- Тестирование безопасности программного обеспечения имеет важное значение (модульное тестирование, оценки, тестирование кода с помощью пера, рекомендуется сканирование программного обеспечения как в автоматическом, так и в ручном режиме, аудиты соответствия).
- Крайне важно, чтобы стороннее программное обеспечение/приложения регулярно управлялись и исправлялись. Как и в случае с операционной системой, установка исправлений должна быть приоритетной и стать обычной практикой. Автоматизированные средства исправления приложений могут сделать это менее громоздким.
- Хотя управление исправлениями сторонних приложений и программного обеспечения стало более сложной задачей в среде мобильных вычислений, очень важно, чтобы организации справились с этой задачей, поскольку риск для безопасности данных и соответствия требованиям велик.
- Антивирус, программное обеспечение веб-фильтрации, брандмауэры приложений и белые списки в сочетании могут помочь в реализации подхода эшелонированной защиты.
- Комбинируя управление исправлениями, антивирус, веб-фильтрацию, брандмауэры приложений и белые списки, следовательно, устройства, приложения, управление исправлениями и антивирусные средства управления, можно получить упреждающее решение, а не реактивное, помогающее более эффективно снижать риски безопасности стороннего программного обеспечения.
- Контроль над сторонним программным обеспечением/приложениями — это упреждающее средство управления безопасностью. Вернув себе контроль и выбрав стороннее программное обеспечение, подходящее для вашего уровня бизнес-риска, вы сможете снизить риск безопасности. Белый список — это способ помочь в этом.
- Не допускайте несанкционированного стороннего программного обеспечения/приложений, поскольку они не только могут содержать уязвимости, но и исправить их будет сложнее. Неавторизованное стороннее программное обеспечение также может повлиять на соблюдение требований законодательства.
Вывод
В этой мобильной среде, где высока потребность в быстрой разработке, организации теперь сильно зависят от стороннего кода и программного обеспечения, как правило, из нескольких источников и поставщиков.
BYOD и мобильная вычислительная среда предприятий не оставляют многих уверенных в том, что работает на их настольных компьютерах, а многие вообще не знают, какие сторонние приложения присутствуют, что затрудняет внедрение политик безопасности и эффективное управление ими..
В следующей статье мы рассмотрим аргументы, почему важно знать больше об угрозах использования стороннего программного обеспечения. Мы также рассмотрим шесть основных вещей, которые мы можем сделать, чтобы смягчить недостатки стороннего программного обеспечения.