Aplicațiile care alcătuiesc marea majoritate a stivelor de tehnologie hipercomplexă de astăzi se bazează în mare măsură pe codul terților. Din păcate, beneficiile semnificative pe care aceste componente prefabricate le oferă sunt adesea compromise de implicațiile serioase de securitate ale arhitecturii terță parte. Este esențial pentru întreprinderile moderne nu numai să recunoască aceste riscuri, ci și să contribuie în mod activ la stoparea fluxului de atacuri. Instrumentele de ultimă generație, inclusiv o soluție WAF de ultimă generație, pot fi singura modalitate de a asigura existența unor terți.
1. Cod terță parte: Pentru că de ce să reinventeze roata?
Codul terță parte descrie toate liniile unui program care pot fi reproduse în diferite aplicații. Acest lucru facilitează procesul de dezvoltare a aplicațiilor, deoarece reciclarea codului poate reduce semnificativ timpul de lansare pe piață. Dar chiar și odată ce se pune bazele unei aplicații, codul terță parte poate fi folosit de dezvoltatorii săi pentru urmărirea anunțurilor, recenzii ale clienților, plăți, chatbot, managementul etichetelor, integrarea rețelelor sociale sau alte biblioteci de ajutor care simplifică funcțiile comune.
Utilitatea și disponibilitatea codului de la terți l-au văzut infiltrat în fiecare colț al internetului: astăzi, codul de la terți reprezintă până la 70% din fiecare site web. În același sondaj, 99% dintre respondenți au spus că site-urile utilizate și produse de organizația lor conțin cel puțin un element de cod al terților.
Open Source descrie un tip de cod terță parte, deși termenul terț se referă și la cod dezvoltat extern, a cărui licență de utilizare poate fi achiziționată. Indiferent de prețul comercial al acestui cod, companiile au ignorat de prea mult timp costurile sociale și de securitate.
2. Pericolul ascuns al codului fantomă
Codul terță parte se pretează la dezvoltarea de site-uri și aplicații foarte accesibile. În timp ce aceste medii fără cod sau low-code ajută la scăderea barierei de intrare pentru antreprenori și pasionați entuziaști, este esențial să înțelegem riscurile. Infractorii cibernetici sunt mai mult decât dispuși să profite de dezvoltatorii naivi sau neglijenți. Uneori nu lipsa abilităților le permite să se infiltreze, ci presiunea puternică pentru o desfășurare rapidă.
Atacatorii grupați sub umbrela Magecart profită de codurile terțelor părți din 2015. Acest sindicat criminal se bazează pe furtul de carduri de credit digitale, stricat prin injectarea secretă a codului JavaScript în paginile de plată de comerț electronic. Magecart a semănat un val de distrugere cu mize impresionante: Ticketmaster, British Airways și nenumărate alte mărci online au căzut toate pradă atacurilor lor.
Două atacuri importante au avut loc în 2020: producătorul de îmbrăcăminte pentru copii Hanna Andersson și retailerul britanic Sweaty Betty au fost vizați. Se crede că ambele atacuri s-au învârtit în jurul suplimentelor de site aparent inofensive. Cu toate acestea, ascunși în aceste linii de cod, atacatorii Magecart adaugă câteva linii cheie de JavaScript.
Acest cod terță parte copie adesea formulare de plată legitime pe un site de comerț electronic. Cu toate acestea, există schimbări cruciale – mici – făcute. De exemplu, informațiile de plată sunt trimise în secret către un server controlat de atacator. Tranzacția în sine este încă autorizată, ceea ce înseamnă că utilizatorii finali sunt lăsați în întuneric. Atacul asupra Hannei Andersson a trecut complet neobservat timp de săptămâni – deși a fost o descoperire relativ rapidă, alte victime rămânând în întuneric aproape un an.
Majoritatea victimelor sunt avertizate doar atunci când informațiile despre cardul de credit furate apar pe piețele dark web. Costul este semnificativ: Hanna Andersson a fost obligată să plătească daune în valoare de 400.000 USD pentru mai mult de 200.000 de clienți; costul exact pentru victimele individuale este mai greu de determinat, dar furtul lor numele, adresa de expediere, adresa de facturare și informațiile despre cardul de plată le permite atacatorilor să provoace daune incredibile. Atacurile Magecart au crescut de fapt în popularitate pe tot parcursul pandemiei de Covid-19, înregistrând o creștere de 20%, în timp ce timpul mediu de detectare a ajuns la 22 de zile.
Magecart poate reprezenta cod rău intenționat de la terți, dar chiar și codul open-source testat poate cauza accidental una dintre cele mai mari probleme de securitate ale acestui deceniu. Log4j descrie o bibliotecă de jurnalizare open-source care a devenit una dintre cele mai importante piese ale arhitecturii web, responsabilă pentru transmiterea informațiilor vitale de jurnalizare către echipa de dezvoltare și întreținere. În 2021, totuși, biblioteca log4j a fost descoperită ca fiind extrem de vulnerabilă la executarea codului de la distanță. Sute de milioane de dispozitive sunt apoi expuse unor riscuri serioase, deoarece defectul este relativ simplu de exploatat.
Nu este realist să renunți complet la codul terță parte. Mai mult de 60% dintre site-urile web din lume rulează pe servere Apache și Nginx, în timp ce 90% dintre managerii IT se bazează în mod regulat pe codul sursă deschisă a întreprinderii. Toate software-urile moderne sunt construite din componente preexistente, iar reconstruirea acestor funcții de la zero ar necesita investiții masive de timp și bani pentru a produce chiar și aplicații relativ simple.
3. Nu poți scăpa cu un plasture.
Odată integrat într-o aplicație, codul terților poate fi dificil de testat și chiar mai dificil de securizat. Remedierile depind în întregime de dezvoltatori; Chiar și pentru dezvoltatorii activi și bine intenționați, cum ar fi cei care mențin funcționalitatea log4j, remedierea necesită o perioadă critică de timp.
Nu vă temeți: o soluție cuprinzătoare de securitate poate oferi o serie de instrumente pentru a aplica practic patch-uri și, în cele din urmă, pentru a opri atacatorii pe calea lor. Un astfel de instrument este Web Application Firewall (WAF). Se intervine între aplicație și utilizatorul final, monitorizând și filtrand traficul care trece. WAF-urile de generație următoare oferă crearea automată a politicilor, precum și propagarea rapidă a regulilor, pentru a extinde în mod explicit plasa de siguranță de care are nevoie codul terță parte.
În timp ce WAF tradițional se concentrează în primul rând pe monitorizarea conexiunilor externe, aplicația web și protecția API (WAAP) descrie o suită de protecție mai cuprinzătoare. Încorporează abordarea WAF bazată pe firewall, concentrându-se în același timp mai mult pe API-uri. Aceste bucăți de cod oferă acces programatic la diferite aplicații și au fost istoric un punct slab major în apărarea organizațiilor.
În cele din urmă, autoprotecția aplicației în timpul execuției (RASP) oferă un pas convingător către protecția automată. În loc să fie în afara codului aplicației, RASP acționează ca un plugin, atașându-se la elementele interne ale aplicației. Prin vizualizarea sa internă a unei aplicații, RASP își poate monitoriza comportamentele și poate mapa conectările și privilegiile tipice care apar sub capotă. Odată ce un comportament de bază este stabilit, RASP poate detecta automat – și, mai important, opri – comportamentul suspect.
Cu o suită proactivă de măsuri de corecție virtuală, securitatea dvs. este capabilă să țină pasul cu DevOps, ajutând în același timp la anularea amenințării infractorilor cibernetici și a proceselor care rezultă.