También es necesario añadir algunas dependencias muy vulnerables como Apache y PHP que suman un historial de más de 1200 vulnerabilidades para una y 600 para la otra.
Muchas otras fuentes de información permiten referenciar en detalle las vulnerabilidades explotables (CVE), y esto para muchos softwares Open Source:
Además de las vulnerabilidades propias de este software, también están las vulnerabilidades de las dependencias open source incrustadas en el propio producto, ya sea una antigua librería JQuery, o un obsoleto framework Apache Struts que recuerda al masivo hackeo de Equifax en Estados Unidos en 2017.
Por otro lado, hay muchos tutoriales sobre técnicas de hacking https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2, módulos de tipo MetaSploit dirigidos a las herramientas mencionadas anteriormente https://www. cvedetails.com/metasploit-modules/vendor-1424/Nagios.html que puede proporcionar una solución de hackeo casi llave en mano desde una máquina virtual Kali Linux. Ya sea en el propio software o en las librerías integradas, los hackers pueden estudiar tranquilamente cada vulnerabilidad, desarrollar un virus personalizado o una técnica de intrusión y realizar pruebas en la versión elegida.
En ServicePilot también producimos software muy sensible y nos tomamos muy en serio los problemas de ciberdelincuencia. El código fuente está controlado y cerrado al público. La arquitectura permite un flujo seguro de tipo monodireccional TLS 1.2 entre los servidores y la plataforma de monitorización, evitando así la apertura de puertos en los servidores de destino.
Trabajamos con las mayores empresas francesas en los problemas de etiquetado de software desde el punto de vista de la seguridad.
Realizamos regularmente Pentests (pruebas de penetración).
Ya hemos trabajado con algunos clientes en mecanismos de seguridad específicos, por ejemplo con redes no IP. Elegimos cuidadosamente cada componente, cada detalle de la arquitectura.
Aquí hay 7 buenas prácticas que sugerimos además de las recomendaciones habituales:
La adopción de una etiqueta "secured by design" y "tamper-proof" (a prueba de manipulaciones) que haga hincapié en la seguridad de los programas informáticos no sólo ayudaría a las empresas a mejorar la seguridad de sus propios programas, sino que también les proporcionaría una indicación de la seguridad de la arquitectura de los programas informáticos que deseen integrar en su sistema de información.