Новости: Число уязвимостей OSS-решений выросло в 2 раза
17.06.2020

Число уязвимостей OSS-решений выросло в 2 раза

Число уязвимостей OSS-решений выросло в 2 раза Число уязвимостей OSS-решений выросло в 2 раза

Компоненты и инструменты с открытым кодом получили широкое распространение в корпоративной среде разработки. По оценке компании RiskSense, на текущий год порядка 80-90% современных приложений содержат в себе Open Source компоненты. Этому способствует активная трансформация цифровой среды и миграция части сервисов в облака, развитие концепции микросервисов в коммерческих и не только компаниях.

С ростом популярности усиливается также внимание к Open Source Software (OSS) решениям, что ведет к активной деятельности по хакингу данного типа ПО. Так, обнаруженная в 2014 году уязвимость OpenSSL библиотеки Heartbleed детектировалась на практически 17% всех интернет-ресурсов мира.

В результате анализа компанией RiskSense более 50 000 проектов c открытым кодом, эксперты обнаружили, что в 2019 году  число обнаруженных уязвимостей более чем удвоилось по сравнению с 2018 годом.

рис1.png

Одними из наиболее уязвимых ПО, по мнению аналитиков RiskSense, являются Jenkins и MySQL, причем многие уязвимости этих проектов имеют активные эксплоиты. Также отличились Apache Tomcat, Magento, Kubernetes, Elasticsearch, JBoss. А HashiCorp’s Vagrant оказался одним из наиболее «вооруженных» злоумышленниками проектов – из девяти известных уязвимостей шесть имеют эксплоиты.

Из существующих на текущий момент 2694 уязвимостей для рассмотренных OSS продуктов распределение следующее:

  • 89 имеют активные эксплоиты (Weaponized CVE),

  • 18 из них ведут к удаленному выполнению кода или эскалации привилегий (RCE/PE),

  • шесть в данный момент атакуют открытые ресурсы (Trending).

рис2.png

Уязвимости Open Source компонент, если они не являются частью платного коробочного решения, услуги по обновлению которого включены в его поддержку, чаще всего качественно не отслеживаются. Так часто происходит с разработкой микросервисов в организации и использовании при этом готовых библиотек и пакетов с открытым кодом. Проблема усложняется гибридной средой с использованием виртуализации и контейнеризации.

Решения класса Cloud Workload Protection Platforms предоставляют функции защиты облачных приложений, PaaS, CaaS и других вариантов реализаций микросервисов. В зависимости от конкретного производителя и варианта исполнения (агентский или безагентский (привилегированный контейнер в рамках облака) решения CWPP выполняют следующие основные функции:

  • Анализ на появление вредоносного ПО внутри контейнера. Причем акцент идет на поведенческий анализ как более оперативный, чем полное сканирование системы.

  • Сканирование образа контейнера на уязвимости и проблемы конфигурации до его публикации. Выявление проблем до применения контейнера, поиск по базе CVE и формирование предложений по устранению проблем.

  • Harderning OS – процесс выявления и устранения излишних сервисов или привилегий в ОС и в пакетах приложений (отключение Telnet, FTP, root ssh и др.).

  • Защита сетевых взаимодействий: межсетевое экранирование и микросегментация, шифрование трафика. Deep Packet Inspection для сетевого трафика.

  • Контроль целостности системы (в режимах preboot или postboot) и контроль приложений, вплоть до режима «белого» списка (whitelist). Защита среды исполнения Runtime и системных вызовов.

  • Непрерывный мониторинг и аудит.

Решения CWPP поддерживают гибридные варианты облачной среды исполнения, включая и контейнеры, и виртуальные среды, и аппаратные реализации.

Группа компаний Angara активно развивает направление защиты микросервисов как в локальной инфраструктуре продуктива и «QA», так и в случае миграции сервисов в приватное или публичное облако. Также в рамках проработки комплексного подхода по защите DevOps окружения, интеграции с инструментами оркестрации платформы контейнеризации и мониторинга межконтейнерного сетевого взаимодействия, сформировано тестовое окружение, на котором проводится тестирование техник эксплуатации уязвимостей как самих сервисов, так и их окружения.

Группа компаний Angara рекомендует следующие решения CWPP класса:

  • Trend Micro Deep Security Smart Check,

  • Palo Alto Networks Container Security Suit (former Twistlock).

Другие новости

Присоединиться к #AngaraTeam!