SentinelOne đảm bảo Chuỗi Cung Ứng | Quản lý rủi ro của phần mềm mã nguồn mở

Tại sao phần mềm nguồn mở có ở mọi nơi

Phần mềm mã nguồn mở (Open Source Software - OSS) đã trở nên phổ biến vì tính tiết kiệm chi phí và sẵn sàng sử dụng, và đã giành được vị trí trong các công nghệ doanh nghiệp, từ các doanh nghiệp vừa và nhỏ cho đến các tập đoàn lớn nhất. Nhiều bài viết trên trang Exclusive Network Vietnam đã bàn luận về vấn đề mã nguồn mở

Khi nhiều doanh nghiệp ngày càng phụ thuộc nhiều hơn vào phần mềm mã nguồn mở và các nhóm đe dọa tập trung vào các cuộc tấn công vào chuỗi cung ứng, các nhà lãnh đạo bảo mật đang cố gắng hiểu rõ hơn về những gì mà đội ngũ của họ đang sử dụng, những lợi ích mà chúng mang lại và bất kỳ rủi ro bảo mật nào liên quan đến việc sử dụng chúng. Bài viết này cung cấp các nguyên tắc hướng dẫn cho các tổ chức lựa chọn sử dụng các công cụ này một cách hiệu quả và an toàn.

Ngoài việc giá cả phải chăng và rất dễ tiếp cận, các nguồn tài nguyên mã nguồn mở còn được ưa chuộng vì khả năng thúc đẩy sự đổi mới trong các nhóm phát triển, vì các tính năng và khả năng mới được thêm vào thường xuyên.

Những Rủi ro đằng sau việc sử dụng Phần mềm mã nguồn mở (Open Source Software - OSS)

Khi nhiều tổ chức dựa vào các khung, thư viện và công cụ mã nguồn mở trong hoạt động hàng ngày, chúng có thể dễ dàng trở thành các thành phần quan trọng trong giao tiếp doanh nghiệp, khả năng phần mềm, tương tác người dùng và nhiều khía cạnh khác. Vì mã nguồn mở rất dễ tiếp cận cho các doanh nghiệp có kích thước và ngành nghề khác nhau, các nhà nghiên cứu đã báo cáo tăng 633% trong tỷ lệ tấn công mạng vào các kho lưu trữ phần mềm mã nguồn mở so với cùng kỳ năm trước.

Có chứng cứ cho thấy các nhóm đe dọa tập trung vào sự gia tăng của mã nguồn mở. Ví dụ, cuộc tấn công SolarWinds năm 2020 tiếp tục đứng làm nguyên nhân gây ra những thay đổi nhanh chóng về cách các tổ chức hiện đại xây dựng bảo mật chống lại các mối đe dọa từ bên thứ ba. Chỉ một năm sau SolarWinds, lỗ hổng Log4j đã gây chấn động cộng đồng kỹ thuật số khi các hacker bắt đầu tận dụng một lỗi bị bỏ qua trong gói ghi nhật ký mã nguồn mở phổ biến. Cuối năm ngoái, các nhóm đe dọa đã tấn công các kho lưu trữ mã nguồn mở NuGet, PyPI và npm bằng hơn 144.000 gói độc hại.

Trong báo cáo OSSRA, đặc biệt đáng lo ngại là 89% mã nguồn được quét trong cuộc khảo sát chứa mã nguồn mở đã lỗi thời hơn bốn năm.

Trước khi triển khai các khung, phần mềm và công cụ mã nguồn mở, việc quan tâm đến những rủi ro mà chúng có thể mang đến cho tổ chức là rất quan trọng đối với các nhóm DevOps và SecOps. Các rủi ro bảo mật của mã nguồn mở bao gồm:

• Lỗ hổng và quyền truy cập quá mức - Đúng với tên gọi của nó, mã nguồn mở có thể truy cập bởi bất kỳ ai. Trong tay các nhóm đe dọa độc hại hoặc những kẻ tấn công cơ hội, mã nguồn mở có thể bị chi phối và sử dụng trong các chiến dịch độc hại.
• Thiếu kiểm chứng và mã nguồn chưa trưởng thành - Phần mềm mã nguồn mở không đảm bảo đã được kiểm tra đầy đủ bởi các chuyên gia đủ năng lực. Trong quá trình phát triển, nó có thể chưa trải qua quá trình đảm bảo chất lượng cần thiết để đảm bảo tính đáng tin cậy và bảo mật.
• Ít hoặc không có hỗ trợ và bảo trì riêng - Một số phần mềm mã nguồn mở không có đội ngũ hỗ trợ riêng, có nghĩa là bản vá lỗi bảo mật và cập nhật có thể rất ít hoặc không có. Mà không có các bản cập nhật đều đặn, sửa lỗi và tài liệu, các nhóm đe dọa có thể dễ dàng tận dụng các lỗ hổng hiện có để truy cập trái phép vào hệ thống.
• Tác động xuôi dòng của các cuộc tấn công vào chuỗi cung ứng phần mềm - Khi tồn tại lỗ hổng trong mã nguồn của bên thứ ba, tổ chức đột ngột đối mặt với nguy cơ đưa rủi ro vào môi trường của mình, từ đó ảnh hưởng đến khách hàng của họ và tiếp tục lan rộng. Với sự phổ biến và sử dụng rộng rãi của nhiều kho lưu trữ mã nguồn mở, chính phủ liên bang Hoa Kỳ đã phát hành một loạt chỉ thị và hướng dẫn về cách bảo mật các phương pháp phát triển phần mềm.

Cách triển khai các công cụ mã nguồn mở một cách an toàn

Mặc dù phần mềm mã nguồn mở là một cách tuyệt vời để các doanh nghiệp vừa và nhỏ xây dựng bộ công cụ bảo mật, nhưng những người cẩn trọng nên xem xét tính an toàn và bền vững của các công cụ mã nguồn mở trước khi tích hợp chúng vào hoạt động hàng ngày. Đội ngũ bảo mật đóng vai trò quan trọng trong việc đảm bảo rằng phần mềm mã nguồn mở được sử dụng lâu dài bằng cách tuân thủ các quy ước tốt nhất dưới đây.

Hiểu rõ các Phụ thuộc & Thành phần

Với việc mã nguồn mở ngày càng phổ biến trong bộ công cụ phần mềm doanh nghiệp, các nhóm bảo mật, công nghệ thông tin và SecOps chịu trách nhiệm điều tra phần mềm và đảm bảo an toàn khi triển khai. Quá trình điều tra này bắt đầu bằng việc quản lý các rủi ro liên quan đến các phụ thuộc và thành phần.

Các doanh nghiệp sử dụng thư viện mã nguồn mở nên nhận thức về tất cả các phụ thuộc liên quan đến những thư viện đó. Phụ thuộc trực tiếp là các thư viện mà mã của doanh nghiệp gọi trực tiếp. Phụ thuộc gián tiếp thêm một cấp độ nữa - mã của doanh nghiệp gọi đến một thư viện mà các phụ thuộc được liên kết với nó, có nghĩa là có một sự phụ thuộc của một phụ thuộc. Các phụ thuộc lồng nhau như vậy có thể có nhiều lớp trong các khung việc lớn hoặc phức tạp. Các lỗ hổng có thể được tiết lộ ở bất kỳ cấp độ nào và việc xử lý chúng có thể trở nên phức tạp. Nhà phát triển và nhóm bảo mật cần hiểu rõ từng cấp độ phụ thuộc và cách một lỗ hổng bảo mật ảnh hưởng đến các dự án mà họ tham gia.

Các công cụ quét như công cụ kiểm tra phụ thuộc OWASP có thể hữu ích trong việc tiếp cận việc sử dụng mã nguồn mở của một doanh nghiệp.

Đề ra Chính sách Rõ ràng về Việc Sử dụng Mã Nguồn Mở

Đối với việc đảm bảo an ninh từ trên xuống dưới, các nhà lãnh đạo kinh doanh đóng vai trò quan trọng trong việc làm việc cùng với SecOps, các nhóm công nghệ thông tin và nhóm bảo mật của tổ chức để tạo ra các chính sách và quy định nghiêm ngặt về việc sử dụng các phụ thuộc.

Các nhà phát triển cần được đào tạo về các rủi ro liên quan đến việc sử dụng các thành phần mã nguồn mở và nên hiểu rõ về các chính sách của công ty về quy trình đánh giá, kiểm tra và phê duyệt.

Kiểm thử bảo mật của các thành phần mã nguồn mở là cách hiệu quả nhất để bảo vệ sự an toàn của các ứng dụng và tài sản hiện có. Điều này đòi hỏi một lịch trình hoặc quy trình cụ thể để kiểm tra và phân tích các thành phần mã nguồn mở, tương tự như việc xem xét mã nguồn độc quyền.

Theo dõi và Cập nhật Tất cả Các Thành phần Được Sử dụng

Trong lĩnh vực an ninh mạng, thường nói rằng khả năng nhìn thấy là chìa khóa cho việc phòng thủ. Tài nguyên mã nguồn mở cho phép người dùng xem và chỉnh sửa mã nguồn, điều này mang lại tính minh bạch và giúp đảm bảo rằng phần mềm hoạt động như lời hứa. Mặc dù lý thuyết này có thể giúp xác định các lỗi bảo mật hoặc lỗ hổng trong mã nguồn, nhưng trong thực tế, nhiều phần mềm mã nguồn mở được duy trì bởi những tình nguyện viên không nhận được tiền công, có thể thiếu thời gian, chuyên môn hoặc hứng thú để tiến hành kiểm tra bảo mật thường xuyên. Trách nhiệm đè lên người sử dụng để đảm bảo rằng mã nguồn được sử dụng trong dự án là đáng tin cậy.

Các công cụ phân tích hợp thành phần phần mềm (SCA) có thể giúp đội ngũ SecOps phân tích phần mềm. Tạo ra một danh sách tổ chức, trung tâm của tất cả các thành phần mã nguồn mở được sử dụng, lý tưởng là có một Bảng vật tư (BOM) chi tiết cho mỗi phần của mã nguồn mở, giúp đội ngũ bảo mật theo dõi, truy cập và bảo vệ môi trường tốt hơn. Danh sách tồn kho cần được cập nhật và bao gồm tất cả các dự án mã nguồn mở hiện tại, các phụ thuộc được sử dụng thường xuyên, phiên bản đang được sử dụng và vị trí tải xuống. Danh sách tồn kho là rất quan trọng để bảo vệ cả mã nguồn và tài sản.

Để đảm bảo việc sử dụng an toàn và bền vững, hãy chọn những thành phần mã nguồn mở có cộng đồng phát triển hoặc hỗ trợ hoạt động. Khi các vấn đề về bảo mật và lỗi ảnh hưởng đến các thành phần, cộng đồng các nhà phát triển mã nguồn mở thường xác định và báo cáo các chi tiết và bản vá quan trọng cần được áp dụng ngay lập tức. Để lại các thành phần chưa được vá làm tăng đáng kể nguy cơ bị khai thác. Tương tự, việc sử dụng các thư viện không được hỗ trợ hoặc đã hết hạn cũng khiến cho đội ngũ bảo mật khó khăn hơn trong việc theo dõi tất cả các phụ thuộc, các bản vá mới và các lỗ hổng mới được xác định.

Hiểu rõ các rủi ro của kho lưu trữ riêng và kho lưu trữ công cộng

Khi một phần của mã nguồn mở đã được chấp nhận và tin cậy bởi đội ngũ SecOps hoặc DevOps, cần xem xét cách mã đó sẽ được bảo trì và cập nhật.

Kết luận

Sự yêu cầu về sáng tạo kinh doanh, khả năng mở rộng và tính dễ sử dụng đã tạo điều kiện cho sự đa dạng và phát triển của phần mềm mã nguồn mở. Với việc ngày càng nhiều tổ chức áp dụng OSS vào quy trình nội bộ cũng như dòng sản phẩm và dịch vụ của họ, các nhà tấn công đã bắt đầu nhắm vào khai thác những lỗ hổng có thể khai thác tồn tại trong mã nguồn mở và các công cụ.

Để bảo vệ việc sử dụng các nguồn tài nguyên này dễ tiếp cận và tiết kiệm chi phí, các doanh nghiệp tiếp tục phụ thuộc vào các nền tảng an ninh tự động, dựa trên trí tuệ nhân tạo như SentinelOne để bảo vệ toàn diện. Cho dù mã nguồn trong mạng của bạn là mã nguồn mở hay độc quyền, hãy tìm hiểu cách Singularity™ XDR của SentinelOne bảo vệ trên mọi bề mặt tấn công có thể có bằng cách liên hệ với chúng tôi ngay hôm nay hoặc đặt lịch trình trình diễn.