При включении сторонних библиотек или фреймворков в свое ПО необходимо учитывать следующие рекомендации:
- используйте библиотеки и фреймворки из доверенных источников, которые активно разрабатываются и широко применяются в приложениях;
- составьте и поддерживайте в актуальном состоянии каталог всех сторонних библиотек;
своевременно обновляйте библиотеки и компоненты.
- Используйте инструменты, такие как Проверки зависимостей OWASP и Retire.JS, для определения зависимостей в проектах, а также проверяйте наличие известных и опубликованных уязвимостей в стороннем коде;
- для снижения вероятности атак используйте инкапсуляцию библиотек и только необходимую для вашего ПО функциональность.
Защита от RCE-атак
Атаки RCE могут использовать целый ряд уязвимостей, что затрудняет защиту от них с помощью какого-либо одного подхода. Некоторые передовые методы обнаружения и смягчения последствий атак RCE включают:
- Безопасное управление памятью
Атаки RCE могут использовать проблемы с управлением памятью, такие как переполнение буфера. Приложения должны проходить проверку на уязвимости для обнаружения переполнения буфера и других уязвимостей, чтобы выявить и устранить эти ошибки.
- Проверка трафика
Атаки RCE происходят по сети, при этом злоумышленник использует уязвимый код и с его помощью получает первоначальный доступ к корпоративным системам. Организация должна развернуть решения сетевой безопасности, которые могут блокировать попытки эксплуатации уязвимых приложений и обнаруживать удаленный контроль корпоративных систем злоумышленником.
- Контроль доступа
Атака RCE дает злоумышленнику возможность закрепиться в корпоративной сети. Внедряя сегментацию сети, управление доступом и стратегию безопасности с нулевым доверием, организация может ограничить возможности злоумышленника перемещаться по сети и воспользоваться своим первоначальным доступом к корпоративным системам.
- Проверка ввода
Атаки RCE обычно используют уязвимости инъекции и десериализации. Проверка пользовательского ввода перед его использованием в приложении помогает предотвратить многие типы атак RCE.