Число уязвимостей OSS-решений выросло в 2 раза

Компоненты и инструменты с открытым кодом получили широкое распространение в корпоративной среде разработки. По оценке компании RiskSense, на текущий год порядка 80-90% современных приложений содержат в себе Open Source компоненты. Этому способствует активная трансформация цифровой среды и миграция части сервисов в облака, развитие концепции микросервисов в коммерческих и не только компаниях.

С ростом популярности усиливается также внимание к Open Source Software (OSS) решениям, что ведет к активной деятельности по хакингу данного типа ПО. Так, обнаруженная в 2014 году уязвимость OpenSSL библиотеки Heartbleed детектировалась на практически 17% всех интернет-ресурсов мира.

В результате анализа компанией RiskSense более 50 000 проектов c открытым кодом, эксперты обнаружили, что в 2019 году  число обнаруженных уязвимостей более чем удвоилось по сравнению с 2018 годом.

рис1.png

Одними из наиболее уязвимых ПО, по мнению аналитиков RiskSense, являются Jenkins и MySQL, причем многие уязвимости этих проектов имеют активные эксплоиты. Также отличились Apache Tomcat, Magento, Kubernetes, Elasticsearch, JBoss. А HashiCorp’s Vagrant оказался одним из наиболее «вооруженных» злоумышленниками проектов – из девяти известных уязвимостей шесть имеют эксплоиты.

Из существующих на текущий момент 2694 уязвимостей для рассмотренных OSS продуктов распределение следующее:

  • 89 имеют активные эксплоиты (Weaponized CVE),

  • 18 из них ведут к удаленному выполнению кода или эскалации привилегий (RCE/PE),

  • шесть в данный момент атакуют открытые ресурсы (Trending).

рис2.png

Уязвимости Open Source компонент, если они не являются частью платного коробочного решения, услуги по обновлению которого включены в его поддержку, чаще всего качественно не отслеживаются. Так часто происходит с разработкой микросервисов в организации и использовании при этом готовых библиотек и пакетов с открытым кодом. Проблема усложняется гибридной средой с использованием виртуализации и контейнеризации.

Решения класса Cloud Workload Protection Platforms предоставляют функции защиты облачных приложений, PaaS, CaaS и других вариантов реализаций микросервисов. В зависимости от конкретного производителя и варианта исполнения (агентский или безагентский (привилегированный контейнер в рамках облака) решения CWPP выполняют следующие основные функции:

  • Анализ на появление вредоносного ПО внутри контейнера. Причем акцент идет на поведенческий анализ как более оперативный, чем полное сканирование системы.

  • Сканирование образа контейнера на уязвимости и проблемы конфигурации до его публикации. Выявление проблем до применения контейнера, поиск по базе CVE и формирование предложений по устранению проблем.

  • Harderning OS – процесс выявления и устранения излишних сервисов или привилегий в ОС и в пакетах приложений (отключение Telnet, FTP, root ssh и др.).

  • Защита сетевых взаимодействий: межсетевое экранирование и микросегментация, шифрование трафика. Deep Packet Inspection для сетевого трафика.

  • Контроль целостности системы (в режимах preboot или postboot) и контроль приложений, вплоть до режима «белого» списка (whitelist). Защита среды исполнения Runtime и системных вызовов.

  • Непрерывный мониторинг и аудит.

Решения CWPP поддерживают гибридные варианты облачной среды исполнения, включая и контейнеры, и виртуальные среды, и аппаратные реализации.

Группа компаний Angara активно развивает направление защиты микросервисов как в локальной инфраструктуре продуктива и «QA», так и в случае миграции сервисов в приватное или публичное облако. Также в рамках проработки комплексного подхода по защите DevOps окружения, интеграции с инструментами оркестрации платформы контейнеризации и мониторинга межконтейнерного сетевого взаимодействия, сформировано тестовое окружение, на котором проводится тестирование техник эксплуатации уязвимостей как самих сервисов, так и их окружения.

Группа компаний Angara рекомендует следующие решения CWPP класса:

  • Trend Micro Deep Security Smart Check,

  • Palo Alto Networks Container Security Suit (former Twistlock).

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах