背景
开源软件安全威胁是近几年企业安全面临的主要威胁,也是企业应用安全方向讨论的热门话题,但是由于是新的需求新的方向,很多企业在观望,当前开展这项工作是否已经成熟,项目成功率如何?
当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。
开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。
但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?还是企业真正值得长期投入的新方向?我觉得我们需要冷静客观的深入分析一下它的必要性及当下开展这项工作的可行性,这篇文章我会结合我自己过去在企业甲方的实践经历和墨菲安全创业过程中做开源安全治理产品工具的经验心得,对这两个关键问题进行深入剖析,文末也欢迎大家参加有奖调研和我讨论。
从我沟通和调研过的各行业数百家企业中,其中开源安全治理的必要性大家已经有基本的共识了,关于可行性是目前大家讨论和担忧比较多的,所以本文也会重点分析可行性,如果你只关注可行性的分析,请直接跳到第二部分。
必要性分析
回答一件事情的必要性,我们可以从长期和短期两个视角来分析,长期我们主要看趋势及其必然性,短期我们看需求的刚性程度。
长期来看,随着全球及中国数字化程度越来越高,企业对于软件的制造和生产的需求越来越大,软件制造的供应链会越来越成熟,就像过去几十年汽车制造的发展过程一样,随着人们生活水平的提升,出行需求的快速增长,复杂的企业工业到今天拥有非常成熟的供应链体系。而一个成熟的供应链体系就需要不同的供应商将一个个具体的需求转化成标准件,最后由企业根据它的需求将这些数百个甚至数千个不同的标准件组装起来,完成一个成品软件的生产制造。
而开源软件就是软件制造工业的供应链体系中,数量最庞大的标准件。随着未来数字化需求的不断增长,开源软件的数量及其应用量只会越来越高。由于开源软件的开放性及软件开发过程的复杂性,必然导致这些开源软件会存在大量的安全漏洞缺陷,而这些漏洞缺陷会传导到最终企业加工出来的成品软件中。从而使得企业应用软件中大量的安全漏洞缺陷来自它的开源软件供应链。在这种情况下,黑灰产为了寻找漏洞来攻击企业以牟利,必然会有越来越多的开源组件漏洞被发现和利用。
所以,长期来看随着企业应用的开源软件越来越多,这些开源软件的安全漏洞在黑灰产攻击者的利益驱使下会以更快的速度和更高的频率被曝出,进而使得开源软件的安全威胁成为企业面临的主要威胁。
短期来看,开源安全治理的紧迫性主要来自企业需求,而企业的安全需求通常来自两方面,一方面是安全事件驱动,另外一方面是政策合规要求。
LockBit勒索团伙相信大家都听说过,去年底工行美国子公司被勒索事件就是出自LockBit,据海外多家网络安全公司(包括Dragos、Malwarebytes等)统计分析,全球有超过1/3~1/2的勒索攻击事件来自LockBit,而LockBit最惯用的攻击手法之一就是利用各种开源软件的0day/1day漏洞进行攻击,之后实施勒索行为。而在2024年2月,美国、法国、英国等国执法机构联手对头号勒索软件组织LockBit展开了大规模清剿,这个代号“克罗诺斯行动”的行动,对LockBit团伙用来做勒索的相关系统后台进行了渗透攻击,而此后披露的信息来看,执法机构用来渗透攻击LockBit的漏洞也是开源软件PHP的一个0day漏洞。由此可见在主流的网络安全攻防战场,最高效和主流的攻击方式都是围绕开源软件的漏洞展开的。
而且值得关注的是,勒索团队的攻击往往是全球化无差别的攻击,任何一个企业,只要有软件服务暴露在公网都有可能被攻击,他们通常对全球的互联网进行开源软件的0day/1day进行扫描,一旦发现哪个企业暴露在互联网上的软件存在漏洞,马上启动自动化的数据加密勒索攻击。而往往任何一个企业通常在这三个时间点容易遭受勒索攻击:
- 在进行软件/应用的更新和新发布时(此时往往意味着引入了新的组件漏洞);
- 一个新的开源软件漏洞被曝出时;
- 一个老的开源组件漏洞被第一次曝出poc/exp时;
而每年国家及
最低0.47元/天 解锁文章
扫一扫
268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
