近年來(lái)，隨著網(wǎng)絡(luò)攻擊事件的不斷增加，各種規(guī)模的組織對(duì)開(kāi)源框架的采用迅速增加。同時(shí)，有關(guān)開(kāi)源框架中漏洞的統(tǒng)計(jì)信息已使安全管理員重新考慮采用此類(lèi)開(kāi)源框架。為了應(yīng)對(duì)這些攻擊，企業(yè)正在轉(zhuǎn)向諸如DevSecOps之類(lèi)的現(xiàn)代安全實(shí)踐。此外，企業(yè)正在使用基于欺騙技術(shù)的解決方案來(lái)實(shí)施這些實(shí)踐，以防止網(wǎng)絡(luò)攻擊事件的發(fā)生，提高企業(yè)的網(wǎng)絡(luò)安全性。

　　開(kāi)源漏洞和漏洞的風(fēng)險(xiǎn)

在廣泛使用的流行開(kāi)源框架中，已經(jīng)發(fā)現(xiàn)了許多關(guān)鍵漏洞。Heartbleed是OpenSSL 1.01中的關(guān)鍵安全漏洞，于2014年被發(fā)現(xiàn)，當(dāng)時(shí)影響了幾乎所有安全網(wǎng)站的三分之二。

盡管此錯(cuò)誤是在2014年發(fā)現(xiàn)的，但到2017年為止，全球仍存在超過(guò)200,000臺(tái)未打補(bǔ)丁的服務(wù)器，使它們?nèi)菀资艿焦簟Ｍ瑯樱瑥椪疱e(cuò)誤在Unix，Linux和Mac服務(wù)器的Bash shell中存在超過(guò)二十年，它被發(fā)現(xiàn)之前。而且，此類(lèi)漏洞在被黑客利用時(shí)可能會(huì)對(duì)各種規(guī)模的組織產(chǎn)生不利影響。

臭名昭著的Equifax安全漏洞已經(jīng)影響了超過(guò)1.43億美國(guó)人的納稅記錄，這是開(kāi)源系統(tǒng)中的漏洞可以對(duì)任何組織造成影響的一個(gè)例子。該公司的聲明顯示，開(kāi)源服務(wù)器框架Apache Struts中的一個(gè)錯(cuò)誤是造成破紀(jì)錄的安全漏洞的主要原因之一。

該供應(yīng)商已經(jīng)在2017年3月修補(bǔ)了該漏洞，但是兩個(gè)月后，即2017年5月至7月之間，黑客利用該漏洞來(lái)訪問(wèn)Equifax服務(wù)器。修補(bǔ)開(kāi)放源代碼漏洞的延遲最終導(dǎo)致Equifax被罰款超過(guò)7億美元。

不幸的是，并非只有Equifax使用這種開(kāi)源框架。大約有65%的財(cái)富100強(qiáng)公司使用Apache Struts。還有其他幾起事件，黑客利用開(kāi)源技術(shù)中的錯(cuò)誤在組織內(nèi)站穩(wěn)了腳跟，然后實(shí)現(xiàn)了他們的惡意意圖。

　　正確的開(kāi)源方法

盡管發(fā)生了上述事件，但許多開(kāi)發(fā)人員仍會(huì)爭(zhēng)論，使用開(kāi)源框架的好處仍然大于相關(guān)的安全風(fēng)險(xiǎn)。開(kāi)源采用的大量增長(zhǎng)也證明了這種觀點(diǎn)。

RubyGems見(jiàn)證了開(kāi)放源代碼注冊(cè)表中新庫(kù)的兩位數(shù)增長(zhǎng)，而Python注冊(cè)表中的下載量超過(guò)140億。從npm注冊(cè)表中下載的次數(shù)為3170億次，這是Javascript生態(tài)系統(tǒng)的核心。

對(duì)待開(kāi)源框架的正確方法不是完全避免它們，而是開(kāi)發(fā)一種系統(tǒng)，該系統(tǒng)可以通過(guò)在黑客利用它們之前主動(dòng)發(fā)現(xiàn)并修補(bǔ)錯(cuò)誤來(lái)防止此類(lèi)事件的發(fā)生。做到這一點(diǎn)的一種好方法是持續(xù)跟蹤供應(yīng)商的網(wǎng)站以跟蹤任何更新，并在補(bǔ)丁發(fā)布時(shí)應(yīng)用它們。這對(duì)于知名廠商的流行產(chǎn)品非常有效。

例如，眾所周知，Red Hat Linux在公開(kāi)披露的一天之內(nèi)修復(fù)了65%以上的漏洞，而在14天內(nèi)修復(fù)了大約90%的漏洞。但是，并非所有開(kāi)源應(yīng)用程序供應(yīng)商都這樣。估計(jì)表明，只有25%的開(kāi)源供應(yīng)商將其漏洞通知給用戶，而只有10%的用戶沉迷于提交CVE等其他活動(dòng)。而且，當(dāng)一個(gè)應(yīng)用程序涉及多個(gè)第三方開(kāi)源應(yīng)用程序時(shí)，很難立即跟上所有此類(lèi)供應(yīng)商的所有更新。

　　開(kāi)源依賴性問(wèn)題

除了核心應(yīng)用程序之外，開(kāi)放源代碼開(kāi)發(fā)人員經(jīng)常會(huì)對(duì)各種現(xiàn)成可用的開(kāi)放源代碼軟件包產(chǎn)生興趣，因?yàn)樗顾麄兛梢钥刂普麄€(gè)源代碼，并易于獲得和部署。但這也增加了整個(gè)應(yīng)用程序的可能攻擊面。

例如，對(duì)于使用十個(gè)開(kāi)源依賴項(xiàng)的任何中型應(yīng)用程序，攻擊者在整個(gè)應(yīng)用程序中都會(huì)獲得十個(gè)機(jī)會(huì)，他們可以利用這些機(jī)會(huì)獲得整個(gè)源代碼，并可以嘗試進(jìn)行滲透。隨著大量各種規(guī)模的第三方供應(yīng)商的參與，總體風(fēng)險(xiǎn)增加。例如，社交共享插件之類(lèi)的小型第三方組件中的漏洞可能降低整個(gè)電子商務(wù)平臺(tái)的安全性。

根據(jù)報(bào)告，組織在持續(xù)集成/連續(xù)交付工作流程中對(duì)應(yīng)用程序安全性測(cè)試面臨的最大挑戰(zhàn)是缺乏自動(dòng)化的集成安全性測(cè)試工具。

在這種情況下，您不能依靠供應(yīng)商或外部機(jī)構(gòu)的通知，而應(yīng)采取主動(dòng)的方法來(lái)應(yīng)對(duì)任何威脅。所有這些都表明需要一種解決方案，該解決方案需要自動(dòng)掃描整個(gè)組織中的開(kāi)源應(yīng)用程序中的漏洞，并主動(dòng)報(bào)告這些漏洞并采取措施。欺騙技術(shù)就是解決方案。

　　欺騙技術(shù)如何提供幫助？

欺騙技術(shù)通過(guò)提供額外的安全性以及主動(dòng)防御已知和未知威脅的方式，提供了增強(qiáng)組織網(wǎng)絡(luò)安全性的方法。它通過(guò)開(kāi)發(fā)一些模仿組織真正網(wǎng)絡(luò)元素的誘餌或陷阱來(lái)工作。

當(dāng)任何對(duì)手擊中任何誘餌時(shí)，通知就會(huì)與所有有用的信息一起廣播到中央服務(wù)器，這些有用的信息可以幫助跟蹤和遏制違規(guī)行為。基于此技術(shù)的工具和產(chǎn)品還可以實(shí)時(shí)識(shí)別和分析零日攻擊和其他高級(jí)攻擊，而使用傳統(tǒng)的安全產(chǎn)品則無(wú)法解決這些攻擊。

　　使用欺騙技術(shù)的好處

使用欺騙性技術(shù)可以幫助組織主動(dòng)防御高級(jí)威脅和未知威脅。

　　無(wú)形的安全披風(fēng)

誘餌基礎(chǔ)設(shè)施充當(dāng)了看不見(jiàn)的安全層，可以使攻擊者大吃一驚。通過(guò)破壞誘餌的網(wǎng)絡(luò)元素，他們將被認(rèn)為已經(jīng)獲得了進(jìn)入內(nèi)部環(huán)境的權(quán)限，將采取進(jìn)一步措施以揭示其意圖。

同時(shí)，您會(huì)實(shí)時(shí)獲得準(zhǔn)確的警報(bào)，通過(guò)它們您可以隨時(shí)關(guān)注他們的一舉一動(dòng)，收集有關(guān)其戰(zhàn)術(shù)，技術(shù)和規(guī)程的所有可能信息，這些信息可進(jìn)一步用于保護(hù)您的安全。通過(guò)及時(shí)采取行動(dòng)來(lái)保護(hù)環(huán)境。

　　降低風(fēng)險(xiǎn)和精力

安全的誘餌元素會(huì)生成實(shí)時(shí)警報(bào)以及豐富而充足的取證數(shù)據(jù)，以進(jìn)行詳細(xì)分析。這樣的數(shù)據(jù)可以幫助濾除誤報(bào)，使安全管理員可以節(jié)省時(shí)間和精力來(lái)解決實(shí)際問(wèn)題。

　　垂直和水平可伸縮性

自動(dòng)警報(bào)可以幫助您消除操作任務(wù)中所需的手動(dòng)工作，從而使您能夠提高整個(gè)網(wǎng)絡(luò)外圍的安全級(jí)別。欺騙技術(shù)還可以為各種設(shè)備提供面包屑，包括現(xiàn)代物聯(lián)網(wǎng)設(shè)備以及整個(gè)組織的舊環(huán)境。

　　實(shí)際實(shí)施-面向開(kāi)源的DevSecOps

DevSecOps提供了一種操作開(kāi)源軟件欺騙技術(shù)的方法。DevSecOps幫助實(shí)現(xiàn)整個(gè)DevOps供應(yīng)鏈的內(nèi)置安全性，從需求分析到編碼，再到部署，然后連續(xù)監(jiān)控應(yīng)用程序。在DevOps生命周期的早期階段引入安全性可以幫助最大程度地減少暴露于外界的脆弱表面。

首先，您可以考慮在持續(xù)集成和持續(xù)交付過(guò)程的各個(gè)階段中使用自動(dòng)化漏洞掃描工具。可以使用多種工具來(lái)監(jiān)視安全性和合規(guī)性，這些工具可以與基于云的敏捷DevOps方法論集成，并與快速發(fā)布周期保持同步。

這可以幫助確保應(yīng)用程序安全以及快速的應(yīng)用程序開(kāi)發(fā)和穩(wěn)定的發(fā)布周期。靜態(tài)應(yīng)用程序安全測(cè)試還提供了幾種方法，例如源代碼分析，可以直接集成到開(kāi)發(fā)環(huán)境中，并幫助掃描各個(gè)漏洞，并在各個(gè)階段發(fā)現(xiàn)專(zhuān)有代碼中的漏洞。召開(kāi)會(huì)議。這樣可確保及早發(fā)現(xiàn)和修復(fù)漏洞。

　　結(jié)論

使用開(kāi)源框架和組件會(huì)帶來(lái)巨大的風(fēng)險(xiǎn)，但是，當(dāng)前有關(guān)開(kāi)源框架的積極趨勢(shì)仍然暗示了未來(lái)的發(fā)展方向。為了忍受開(kāi)源框架的挑戰(zhàn)，您需要采用DevSecOps。集成安全性的方法應(yīng)該是無(wú)縫且敏捷的，以承受動(dòng)態(tài)DevOps周期而不破壞它。

為自動(dòng)化開(kāi)源管理選擇正確的工具集可以幫助控制相關(guān)的風(fēng)險(xiǎn)。欺騙技術(shù)在采取積極的對(duì)策以打擊攻擊者方面非常有用。它們對(duì)于實(shí)現(xiàn)開(kāi)源工具的全部收益并避免相關(guān)風(fēng)險(xiǎn)至關(guān)重要。想了解更多關(guān)于網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。