La industria debe proteger mejor el código fuente abierto de los actores de amenazas



Las organizaciones confían cada vez más en el código fuente abierto. Muchos disfrutan de la conveniencia de usar código fuente abierto para innovar o poner en marcha servicios rápidamente sin el proceso lento de desarrollar su propio código, pero hay un problema: el código fuente abierto puede convertirse en una pesadilla de seguridad para las organizaciones.

En vísperas de 2022, los actores de amenazas explotaron una vulnerabilidad de día cero, Log4j, y colocaron el application y las aplicaciones world wide web de las organizaciones, junto con sus datos críticos para el negocio, en un mayor riesgo. Lo que hizo que este ataque tuviera tanto alcance fue que la vulnerabilidad procedía de un código fuente abierto ampliamente utilizado.

Esto apunta a un problema más amplio: los actores de amenazas confían en subvertir el código abierto con fines maliciosos. A menudo, en el caso de Log4j y otro application como EspoCRM, Pimcore y Akaunting, pueden capitalizar las vulnerabilidades inherentes asociadas con este código y permanecer sin ser detectados. Como industria, a menudo existe la creencia de que las vulnerabilidades con el código fuente abierto serán fáciles de detectar, pero ese no es el caso: Log4j se puso en producción en 2013 y nadie notó ningún problema hasta que ya era demasiado tarde.

El código abierto es una espada de doble filo
El código fuente abierto puede ser un recurso increíble para las organizaciones. En esencia, es un software program listo para usar que permite a los equipos reducir el tiempo de desarrollo. Esto acelera la innovación y permite a los desarrolladores poner en marcha e implementar software program con relativa rapidez. Además, este código cuenta con el apoyo de una comunidad de desarrolladores que ofrecen su tiempo como voluntarios. Esto significa que se pueden lanzar nuevas funciones y la comunidad puede corregir los errores sin que el desarrollador tenga que pagar ningún costo. Es este extraordinario beneficio que además presenta como un riesgo de seguridad.

Si bien existen numerosos beneficios al utilizar el código fuente abierto, también existen riesgos asociados con su uso. Por ejemplo, el código abierto solo puede desarrollarse en función de la participación de la comunidad. Si la comunidad pierde interés en el proyecto, o si se llama a personas clave para trabajar en otro proyecto, el desarrollo se estancará. Además, los errores pueden pasarse por alto ya que los desarrolladores asumen que es responsabilidad de la comunidad localizarlos y corregirlos. Si bien muchas manos a menudo hacen un trabajo liviano, este es un problema común con el trabajo en grupo que no tiene procesos claros para garantizar un producto consistente.

También hay un paso en falso muy común que veo que las organizaciones dan cuando se trata de código abierto. Si bien muchos de ellos confían en el código fuente abierto, no ven el código como propio y, a menudo, no aplican los mismos controles de seguridad que aplicarían a su propio código creado de forma nativa. Eso significa que las bibliotecas de código abierto a menudo escapan a las pruebas de seguridad y las revisiones de código, lo que crea un entorno en el que los errores y las fallas de seguridad pueden integrarse en un producto a un nivel fundamental.

Únase para proteger el código fuente abierto
Como industria, hay acciones que podemos tomar para proteger mejor nuestro código fuente abierto de los actores de amenazas. Para comenzar, si está utilizando una herramienta de escaneo de código, escanee todas las bibliotecas de código abierto que está usando. También animaría a los desarrolladores a contribuir con el proyecto. Si se involucran suficientes personas, los propietarios del proyecto pueden instituir estos pasos de seguridad por sí mismos. Además, siempre asegúrese de verificar qué pasos de seguridad sigue el proyecto antes de usarlo.

Asegurarse de que la seguridad esté integrada por adelantado ayudará a garantizar que se cierren las posibles brechas de vulnerabilidad y tiene el beneficio adicional de ayudar a sus pares de la industria que confían en el código abierto.

Resuelva las preocupaciones de código abierto con el análisis de comportamiento centrado en el atacante
El código fuente abierto y sus vulnerabilidades relacionadas no desaparecerán pronto. Mientras que las agencias gubernamentales, como el Comisión Federal de Comercio, han brindado orientación para reducir las vulnerabilidades relacionadas con el código abierto, hay pasos adicionales que las organizaciones pueden tomar para mitigar aún más cualquier amenaza.

Es posible que las vulnerabilidades ya estén presentes en su código y las organizaciones no pueden confiar únicamente en los equipos de seguridad para encontrar y administrar esas vulnerabilidades. La protección comienza con la revisión por parte de sus propios equipos de ingeniería. Además, es importante utilizar una solución que proteja a su organización de estas vulnerabilidades inherentes y bloquee cualquier intento de explotar sus datos. La utilización de análisis de comportamiento centrados en el atacante es essential para ayudar a su organización a mitigar estas amenazas.

Las defensas basadas en firmas a menudo fallarán al proteger a su organización de exploits como Log4j, ya que los ataques se pueden lanzar de muchas maneras. Supervisar y detectar comportamientos sospechosos a lo largo del tiempo ayudará a identificar los diversos patrones de ataque para que su organización pueda montar una defensa más sólida.

Si los últimos dos años son una indicación, las organizaciones deben estar atentas a un aumento de los ataques cibernéticos. En 2022, lo animo a comenzar a proteger su código en el nivel básico y, juntos, trabajar para proteger nuestro omnipresente código fuente abierto del que tanto dependemos.



Enlace a la noticia authentic