Стороннее программное обеспечение представляет угрозу безопасности (часть 2)

Опубликовано: 7 Апреля, 2023

Программное обеспечение с открытым исходным кодом

Поскольку компании и частные лица выступают за программное обеспечение с открытым исходным кодом, последняя уязвимость Heartbleed является ярким напоминанием о том, что уязвимость может существовать, даже если стороннее программное обеспечение не является частью вашей золотой сборки, а является частью вашей облачной платформы. Проблема безопасности этого стороннего программного обеспечения затронула миллионы компьютеров.

В течение нескольких дней большинство наших клиентов были просканированы, и около 25% клиентов столкнулись с серьезными попытками взлома своих сетей. Все это произошло из-за стороннего программного обеспечения, которое не было должным образом спроектировано, и это затронуло тысячи поставщиков программного обеспечения, которые пошли по пути принятия открытого SSL вместо того, чтобы принять более жесткую и менее уязвимую платформу безопасности.

Как обсуждалось в первой статье этой серии, эта уязвимость системы безопасности связана с библиотеками, которые не обслуживались и постоянно не проверялись на наличие более современных недостатков безопасности. Более вероятно, что коммерческое программное обеспечение, созданное одним из гигантов, будет проверяться более регулярно. по мере того, как все больше людей используют программное обеспечение, а также в случае обнаружения критической проблемы проблема будет решена быстро, поскольку крупные организации могут быть привлечены к ответственности своими платежеспособными клиентами.

Более того, если обнаруживается, что проблема возникает в стороннем программном обеспечении или обнаруживается, но не объявляется, она может годами оставаться незамеченной и использоваться злоумышленниками, пока в один прекрасный день она не будет раскрыта. К тому времени, вероятно, будет слишком поздно, так как ущерб вашим системам, данным и репутации уже будет нанесен.

Время решает все

Поскольку все мы знаем, что время решает все, и неспособность своевременно установить исправление ведет к опасной игре в догонялки, большинство уязвимостей известны злоумышленникам в течение достаточно долгого времени, прежде чем они станут известны коммерческому миру, но в большинстве случаев коммерческое программное обеспечение, принадлежащее гигантам, больше исследуется, а уязвимости устраняются и анонсируются быстрее, чем стороннее программное обеспечение.

Обычно стороннее программное обеспечение страдает от значительной задержки исправлений при обнаружении уязвимостей, в основном из-за нехватки ресурсов и процессов по сравнению с гигантами программного обеспечения.

Тогда есть случай оповещения пользователей или организаций об обновлении программного обеспечения. Часто это бывает непросто, поскольку программные платформы в некоторых случаях не имеют средств уведомления или автоматического обновления, поэтому может пройти довольно много времени, прежде чем будет применено обновление или отдельный патч, устраняющий уязвимость в системе безопасности.

Развертывание стороннего программного обеспечения и связанная с этим угроза безопасности

Многие люди склонны неправильно связывать средства развертывания стороннего программного обеспечения с уровнем риска безопасности. Правда в том, что независимо от используемого метода развертывания стороннее программное обеспечение всегда может представлять угрозу безопасности. Риск не отличается, если программное обеспечение развернуто локально или в облаке.

Организации должны проявлять бдительность и, возможно, даже сомневаться в безопасности стороннего программного обеспечения, но тип развертывания не делает программное обеспечение более или менее опасным для безопасности. Угроза безопасности связана со сторонним программным обеспечением, а не с методом развертывания.

Стороннее программное обеспечение должно быть защищено на высоком уровне, поскольку злоумышленники нацелены на программное обеспечение. Программное обеспечение должно быть разработано с учетом безопасности и качества. Организации должны помнить о приобретении стороннего программного обеспечения, чтобы снизить ненужный риск, сторонняя инфраструктура и процессы должны быть безопасными.

Шесть главных вещей, которые вы можете сделать для своей организации, чтобы уменьшить угрозу стороннего программного обеспечения.

  1. Удалите с клиентов и серверов все программное обеспечение, которое вам не нужно, дополнительно удалите и отключите все функции программного обеспечения и служб, которые вы не используете и вряд ли будете использовать. У многих поставщиков есть подробная информация и инструменты, которые помогут вам в этом, но большинство организаций не идут по этому пути и относительно уязвимы из-за отсутствия средств контроля в этой области.
  2. Убедитесь, что если вы используете стороннее программное обеспечение, выбранный вами поставщик имеет надлежащий и определенный цикл выпуска исправлений, который периодически информирует вас пользователя и/или организацию об обновлениях и обнаруженных уязвимостях безопасности. Если вы ищете проблемы или уязвимости, связанные со сторонним программным обеспечением, и не можете ничего найти о проблемах, исправлениях и обновлениях, вероятность того, что вы будете уведомлены о наличии значительной уязвимости в системе безопасности, низка.
  3. Если вы используете стороннее программное обеспечение, убедитесь, что вы знаете обо всех библиотеках и компонентах, которые используются для создания программного обеспечения сторонними поставщиками. Вы можете сделать это, ознакомившись с лицензией или связавшись с поставщиком. Если поставщик не желает предоставлять список, вам лучше избегать программного обеспечения, так как это, скорее всего, приведет к тому, что в будущем ваши организации столкнутся с проблемой безопасности. Я часто говорю своим клиентам, что это все равно, что знать, из каких ингредиентов состоит еда, и если вы не знаете ингредиентов, не ешьте эту еду…
  4. Используйте хорошее стороннее решение для управления исправлениями, такое как бесплатный PSI от Secunia. Существует больше коммерческих вариантов, но решение PSI бесплатное и дает вам представление о том, чего вы можете ожидать. Эти инструменты должны быть подключены к вашему SOC, и за ними следует следить, чтобы ваши сторонние исправления часто выявлялись, тестировались и применялись в соответствии с вашим циклом управления исправлениями.
  5. В корпоративной среде не разрешается использовать неавторизованное программное обеспечение, которое не встроено или не протестировано и не используется корпорацией. Поддержка стороннего программного обеспечения включает в себя исправление программного обеспечения и его обслуживание. Для этого вам нужно знать, что это за программное обеспечение и есть ли доступное исправление. Если ваши пользователи устанавливают все виды программного обеспечения, и у вас нет возможности отследить это поведение, вы можете быть разоблачены, так как они наверняка не будут исправлять программное обеспечение. По этой причине важно ограничить, какое стороннее программное обеспечение может быть установлено на корпоративных ресурсах.
  6. Заблокируйте все порты и связь в сети между хостами, которые не требуются, и принудительно подключайтесь к Интернету через брандмауэр веб-приложений или WAF. WAF должен иметь возможность проверять веб-трафик и разрешать только действительный корпоративный трафик, а все другие сторонние коммуникации будут заблокированы, что сделает стороннее программное обеспечение и проблемы безопасности неэффективными. Кроме того, если вы настроите оповещения, чтобы информировать свой отдел безопасности, вы можете идентифицировать и удалить нарушающее программное обеспечение. Этого легко добиться с помощью вашего решения SIEM+WAF.

Игал Зейфман из Incapsula

Вывод

Организации должны внимательно следить за потенциальными угрозами безопасности стороннего программного обеспечения. Иметь команду, которая может быть в курсе проблем безопасности и осведомлена об угрозах и уязвимостях. Сотрудничайте с более широкой индустрией безопасности, чтобы оставаться на вершине, и активно работайте вместе, чтобы повысить уровень безопасности во всех отношениях.

Будьте ответственны при выборе стороннего программного обеспечения, помните обо всех предупреждениях о соответствии. Сегодня безопасность данных имеет первостепенное значение, и любое нарушение безопасности не будет рассматриваться легкомысленно. Ответственность за любое нарушение, даже если оно возникло из-за ошибки стороннего программного обеспечения, по-прежнему будет нести организация.

Основная идея заключается в том, чтобы ограничить использование программного обеспечения, которое может вызвать проблемы с безопасностью в вашей организации, и убедиться, что если требуется стороннее программное обеспечение, оно должным образом обслуживается и исправляется.