Новости

Осторожный подход: решения на открытом коде как замена зарубежным продуктам

01.04.2022

OpenSource решения – источники уязвимостей или спасательный плот для тонущих без зарубежных продуктов участников рынка?

Следите за актуальными новостями в нашем Telegram-канале

Актуальная ситуация

В связи с резким исчезновением большинства привычных ИТ-продуктов с цифровых полок, многие пользователи пытаются оперативно перейти на замещающие решения, в том числе и на основе открытого кода (Open Source).

Это тип программного обеспечения, использующий библиотеки с открытым исходным кодом, создаваемого силами энтузиастов и самих пользователей, поэтому нередко итоговые продукты имеют массу уязвимостей, в том числе заложенных сознательно. Подобное программное обеспечение выпускается как общественное достояние или на условиях свободных лицензий, а сами решения или их элементы зачастую применяются в корпоративной среде как замена дорогостоящих ИТ-продуктов.

Сейчас Open Source-решения кажутся особенно привлекательными для многих компаний, стремящихся предотвратить крушение бизнес-процессов из-за отказа привычных продуктов. Главным минусом тут является наличие неизвестного количества уязвимостей, открывающих потенциальным хакерам свободный доступ к хранимой информации, а также отсутствие защит и функциональности, предлагаемых лицензионными продуктами.

На сегодняшний день предприятия, оставшиеся без поддержки зарубежного софта – лакомый кусочек для мошенников, видящих в ослаблении защит приглашение «поживиться» данными компаний. Возможность провернуть это через бесплатный софт, некогда казавшаяся минимальной, сейчас стала не просто высокой – шансы, что компания подвергнется атаке при использовании Open Source, стремятся к 100%. Так как разработчики открытого кода – все желающие, то под видом улучшения довольно легко заложить в библиотеку брешь, которую не заметят, пока о нее кто-то не «споткнется» – то есть, до начала атаки, это скрытая бомба с крохотными шансами на дезактивацию. Собрать данные о том, какие компании и какие популярные приложения используют определенный OpenSource компонент, не так уж сложно – это открыто обсуждают на форумах, тематических пабликах, упоминают в статьях и интервью. В итоге злоумышленники, внедрившие вредоносный код в бесплатный софт, точно знают, кого и как атаковать.

 

Пути решений

Очевидно, что открытые библиотеки обязательно сканировать на наличие уязвимостей, а в компаниях, которые сами разрабатывают программное обеспечение, необходимо внедрение процессов безопасной разработки. Важно, чтобы центральным элементом этих процессов был продвинутый анализатор кода, который поддерживает большое количество языков программирования и использует сложные эффективные алгоритмы поиска уязвимостей и не декларированных возможностей. Без хорошего программиста компаниям больше не обойтись.

В контексте того, что ситуация для вынужденных пользователей безвыходная – заменить решения нечем, - имеет смысл приложить усилия для защиты и обнаружений, а не отказываться от решений на открытом коде. В этом как раз помогут только-только открывшиеся платформы по поиску уязвимостей, пришедшие за замену HackerOne, из-за геополитической ситуации больше не сотрудничающей со специалистами из России и Белоруссии. Планируется, что платформа «Киберполигон» будет работать с 1 апреля, а аналог HackerOne от Positive Technologies запустится уже в мае - максимальная сумма вознаграждения за критическую уязвимость может составлять 3 миллиона рублей у «Киберполигона» от 5 до 400 тысяч рублей за единичный баг у Positive Technologies. По прогнозам самих этих компаний, в течение трех лет основными заказчиками «этичного» взлома будут банки, ИТ-компании, а также бизнес, работающий в сфере e-commerce.

Сейчас можно сказать со всей уверенностью, что ближайший год пройдет для многих компаний под знаменем Open Source, полностью или частично интегрированного в инфраструктуру, поэтому и пытаться отказаться от него нет смысла – стоит просто уделять больше внимания защите и проверке используемых библиотек.

Другие новости

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 3

Касаемся роли ФСТЭК и реестров, разбираемся в их назначении, а в заключение статьи подробно касаемся вопроса наказаний за несоблюдение требований закона.

22.09.2022

«В объективе»: видеоаналитика для предприятий в вопросах и ответах

Для чего нужна видеоаналитика, какие возможности она открывает перед предприятием и как подобрать нужное, но не набрать лишнего

20.09.2022

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 2

Продолжаем знакомиться с устройством ГосСОПКИ, НКЦКИ и требованиями ФСТЭК. В этой части материала – подробно о НКЦКИ и всем, что происходит с данными.

15.09.2022

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 1

В этой части: подробный разбор назначения, принципа работы и требований к подключению центров ГосСОПКА

07.09.2022

«Вопрос хранения»: как изменились потребности крупного бизнеса в СХД

Краткий анализ актуального состояния рынка и произошедших на нем изменений за последние полгода

30.08.2022

Защита КИИ: жизнь после санкций

Внезапное исчезновение привычных решений поставило ребром вопрос защиты критической информационной инфраструктуры собственными силами. Кому выгодны атаки на КИИ и как от них защититься в нынешних условиях?

24.08.2022

«Пора ломать» или «зачем приглашать этичного хакера на свое предприятие»

Оригинальный способ выбить клин клином – но дешевле и безопаснее прочих.

19.08.2022

Утечки корпоративных данных: превентивная обработка

Рассматриваем виды утечек, причины возникновения и способы их устранения до того, как они станут проблемой.

11.08.2022

ВБК и SHVACHER выставке «ТЕХНОПРОМ-2022»

Наша компания в партнерстве с отечественным производителем серверного оборудования на IX Международном форуме технологического развития

08.08.2022

Контрольный вопрос: перспективы производства контроллеров для SSD в РФ

Обзор потенциальных путей развития русско-китайского партнерства в области совместного производства электроники

08.07.2022

Обратная связь