2022/03/28 11:07:28

ПО с открытым исходным кодом: почему сегодня это особенно опасно и как защититься?

Количество кибератак, направленных на государственные и коммерческие организации, с каждым днем растет. Один из серьезных векторов угроз – приложения и библиотеки с открытым исходным кодом – так называемый Open Source, без которого современную разработку уже невозможно представить. Поскольку проекты с открытым исходным кодом развиваются силами энтузиастов и участвующих пользователей, в открытых библиотеках часто распространяются серьезные уязвимости.

На фоне массового ухода из России зарубежных вендоров коммерческого ПО компании экстренно ищут замену, чтобы бизнес-процессы не просели. Поскольку из-за ряда ограничений быстро перейти на другой коммерческий софт бывает невозможно, бизнес активно использует Open Source либо в качестве замены ушедшего с рынка коммерческого ПО, либо интегрирует его элементы в собственную разработку.

Директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов рассказал, какие сюрпризы таит Open Source и что делать разработчикам и ИБ-специалистам, чтобы минимизировать киберриски от его использования.

Содержание

Что такое Open Source?

Open Source – это программное обеспечение, исходный код которого свободно распространяется и доступен для изменения. Сюда относятся различные пользовательские программы, компоненты, библиотеки, которые используют разработчики для создания своих проектов.

Подобное программное обеспечение выпускается как общественное достояние или на условиях свободных лицензий, например GNU General Public License, BSD License и.т.д. Опенсорсные решения нередко используются даже в корпоративной сфере в качестве замены дорогих коммерческих продуктов. Компоненты с открытым исходным кодом также могут быть элементами других приложений и информационных систем.

Возросшие риски

Главная опасность популярных решений с открытым исходным кодом связана с тем, что разработчики широко применяют их внутри других приложений. Уязвимость в том или ином бесплатном компоненте может привести к серьезным угрозам информационной безопасности по всему миру. Достаточно вспомнить недавнюю историю с Apache Log4j – библиотекой, которая используется миллионами корпоративных приложений и Java-серверами. Обнаруженная уязвимость позволяла злоумышленникам выполнить произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу. Еще раньше, в 2014 году, серьезная уязвимость Heartbleed была найдена в компоненте с открытым исходным кодом OpenSSL, которая использовалась практически на всех веб-сайтах, обрабатывающих платежи с помощью банковской карты.

Уязвимость в том или ином бесплатном компоненте может привести к серьезным угрозам информационной безопасности

Обычно в таких случаях речь идет о неумышленных уязвимостях. Однако в современном мире распространение в открытом доступе ПО с уязвимостями может быть намеренным. Проекты с открытым исходным кодом развиваются силами энтузиастов и участвующих пользователей, и защищенность этого софта никто не гарантирует. Разработчики формируют сообщества, вносят правки, добавляют новые функции, исправляют ошибки в коде. Под видом улучшения злоумышленники могут сами добавить в ту или иную библиотеку элемент кода с уязвимостью. Собрать данные о том, какие компании и какие популярные приложения используют определенный опенсорсный компонент, не так уж сложно. Разработчики делятся опытом на форумах, в статьях, в интервью и т. д. В итоге злоумышленники, внедрившие вредоносный код в бесплатный софт, точно знают, кого и как атаковать. Риски, которые вчера казались маловероятными, сегодня становятся крайне высокими.

Дальнейшие действия злоумышленников зависят от поставленных целей. Это могут быть упомянутые выше похищение конфиденциальных данных и внедрение шифровальщика для получения выкупа. В последние недели резко увеличилось количество атак в рамках информационной войны: хакеры взламывают веб-ресурсы и приложения для размещения тех или иных призывов, распространения фейковых новостей и т. п. Киберпреступники также могут добавить в опенсорсные решения фрагменты вредоносного кода для совершения DDoS-атак, чтобы обрушить сайты СМИ или органов власти.

Уход зарубежных вендоров ПО провоцирует рост спроса на Open Source

Угрозы, которые таит в себе софт с открытым исходным кодом, становятся еще более актуальными на фоне массового ухода из России зарубежных вендоров программного обеспечения. Оперативно заменить то или иное коммерческое решение на другое не всегда возможно, например, из-за бюджетных ограничений. Многие компании вынуждены обратить внимание на опенсорсное ПО в качестве временного решения.

Бесплатный софт, который может использоваться в защищенном контуре ИТ-инфраструктуры компании, взаимодействует с чувствительными данными или является частью системы защиты информации, становится крайне привлекательной мишенью для киберпреступников. Намеренно добавив в код таких решений уязвимости или недекларированные возможности, злоумышленники смогут без особых проблем провести целевую атаку, которая грозит компании финансовыми и репутационными потерями.

Как защититься?

Анализ исходного кода на наличие уязвимостей как один из элементов повышения защищенности ИТ-инфраструктуры был актуален и раньше. Сегодня в условиях, когда опенсорсные решения могут представлять большую опасность, сканирование свободно распространяемых библиотек и приложений становится обязательным.

В компаниях, которые сами разрабатывают программное обеспечение, оптимальный вариант – внедрение процессов безопасной разработки. Важно, чтобы центральным элементом этих процессов был продвинутый анализатор кода, который поддерживает большое количество языков программирования и использует сложные эффективные алгоритмы поиска уязвимостей и недекларированных возможностей.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft

Если в компании используется ПО с открытым исходным кодом или софт, который содержит опенсорсные компоненты, важно регулярно проверять его с помощью надежного сканера. Идеально, если это будет инструмент с интуитивно понятным интерфейсом, не требующий от пользователя опыта в разработке. Скорее всего, работать с анализатором будет не программист, а сотрудник команды безопасности, который по результатам сканирования должен получить исчерпывающую информацию об уровне угрозы и рекомендации по устранению уязвимостей.

В обоих случаях большое значение имеет минимизация количества ложных срабатываний. Если они будут частыми, использование инструмента анализа будет увеличить нагрузку как на разработчиков, так и на специалистов по информационной безопасности. Так, в статическом анализаторе кода Solar appScreener компании «Ростелеком-Солар» для минимизации количества ложных срабатываний и пропущенных уязвимостей используется запатентованная вендором технология Fuzzy Logic Engine. Она минимизирует количество ложных срабатываний, задействуя математический аппарат нечеткой логики и является технологическим ноу-хау.

Выстроенный процесс получения актуальной информации о киберугрозах из разных источников позволяет своевременно реагировать на появление новых уязвимостей и оперативно добавлять новые правила их поиска в инструмент анализа кода.

Как невозможно представить себе современный мир без цифровых инструментов, так и современную разработку этих самых инструментов уже не представить без широкого использования Open Source. Главное – учитывать возросшие риски, связанные с бесплатным ПО и свободно распространяемыми библиотеками, и использовать продвинутые программные решения для поиска уязвимостей и их устранения.