Kerentanan Perangkat Lunak Sumber Terbuka yang Mewabahi Bisnis

Pengkodean sumber terbuka memberikan banyak manfaat bagi perusahaan yang membuat perangkat lunak dan bisnis yang menunggu yang perlu menggunakannya untuk kelancaran operasi bisnis. Perangkat lunak sumber terbuka hanyalah perangkat lunak yang dikodekan menggunakan pengkodean sumber terbuka. Ini berarti pengkodean terbuka bagi orang untuk dilihat dan dimanipulasi dengan relatif mudah. Etos utamanya adalah mendesentralisasi dan mendemokratisasikan – sampai batas tertentu – yang memiliki akses ke kode-kode tertentu.

Ini adalah pengkodean yang sangat serbaguna tetapi juga mudah berubah yang merupakan pilihan dominan bagi pengembang web, aplikasi, dan perangkat lunak. Kerentanan kode sumber terbuka yang serbaguna dan mudah dimanipulasi dapat menyebabkan waktu henti perangkat lunak dan masalah keamanan yang mengganggu bisnis. Mari kita jelajahi.

Apa itu kode sumber terbuka?

Open source pada awalnya merupakan istilah yang mengacu pada perangkat lunak open source. Susunan perangkat lunak itu akan menjadi pengkodean terbuka. Ini berarti dapat diakses secara publik sehingga siapa pun dapat melihatnya, memodifikasi, dan mendistribusikan pengkodean sesuai keinginan. Alternatifnya adalah pengkodean sumber tertutup, yang, seperti perangkat lunak sumber terbuka, mengacu pada perangkat lunak sumber tertutup. Di balik perangkat lunak sumber tertutup itu ada pengkodean tertutup, yang berarti tidak dapat diakses secara bebas.

Perbedaan yang paling menonjol, tidak termasuk kemampuan untuk memodifikasi pengkodean, adalah bagaimana perangkat lunak open source dan closed source dikembangkan. Perangkat lunak sumber tertutup biasanya membuahkan hasil oleh pekerjaan satu atau tim kecil pengembang perangkat lunak yang masing-masing akan memiliki akses master ke pengkodean perangkat lunak. Mereka menentukan bagaimana dan kapan mereka terus mengembangkan perangkat lunak.

Perangkat lunak sumber terbuka melihat kolaborasi massal untuk membuat perangkat lunak. Kolaborasi massal adalah alasan open-source terbuka. Itu harus mudah diakses untuk tim besar orang. Satu kelompok pengembang dapat bekerja secara kolaboratif di beberapa negara yang berbeda, yang menimbulkan masalah tersendiri. Beberapa orang yang mengerjakan proyek yang sama di ruangan yang sama memudahkan kolaborasi. Tetapi pengembang yang bekerja di negara yang berbeda dapat menghambat pengembangan, pembaruan, dan tambalan.

Direkomendasikan untuk Anda: Keamanan Jaringan 101: 15 Cara Terbaik untuk Mengamankan Jaringan Kantor Anda dari Ancaman Online.

Masalah apa yang dapat diciptakannya untuk bisnis?

Perangkat lunak sumber tertutup memiliki kerentanan tetapi tidak sebanyak perangkat lunak sumber terbuka. Kelemahan utama perangkat lunak open-source adalah bahwa pengkodean memungkinkan hampir semua orang untuk memanipulasinya. Inilah salah satu alasan mengapa ada peningkatan serangan sebesar 650% pada perangkat lunak sumber terbuka pada tahun 2021. Praktik terbaik keamanan aplikasi seperti melakukan penilaian ancaman dan mengenkripsi kode dapat membuat perangkat lunak yang lebih aman. Tetapi risiko inheren dari pengkodean sumber terbuka yang begitu dapat diakses masih ada.

Masalah lain berpusat di sekitar kegunaan. Perangkat lunak sumber terbuka biasanya sesuai dengan kebutuhan pengembang tanpa mempertimbangkan kebutuhan pengguna. Perusahaan harus terlibat dengan desain dan pengujian aplikasi untuk memastikan aplikasi memenuhi kebutuhan pengguna. Masalah lain yang terkait dengan kegunaan adalah kurangnya dukungan yang tersedia jika terjadi kesalahan. Masalah seperti kompatibilitas dapat menjadi masalah besar dengan perangkat lunak sumber terbuka. Belum tentu ada dukungan tindak lanjut dari pengembang karena beberapa pengembang dari lokasi yang berbeda akan menyelesaikan pekerjaan pada perangkat lunak.

Bisnis yang mengandalkan perangkat lunak sumber terbuka dan pengkodean di belakangnya mungkin juga menghadapi praktik pengembang yang buruk dan pengawasan integrasi yang longgar. Contoh sempurna adalah peretasan SolarWinds tahun 2021. Itu dianggap sebagai peretasan paling merusak pada rantai pasokan dalam sejarah.

Lebih dari 250 bisnis dan organisasi pemerintah terpengaruh oleh penyusupan ke dalam sistem Orion, yang dioperasikan menggunakan perangkat lunak sumber terbuka. Selama dua pembaruan perangkat lunak, peretas merilis malware ke seluruh jaringan, menyebabkan ratusan bisnis mogok. Seluruh rantai pasokan hampir berhenti bekerja. Efek peretasan masih dirasakan oleh bisnis dan organisasi pemerintah. Banyak yang mengatakan butuh waktu bertahun-tahun untuk pulih.

Contoh kerentanan perangkat lunak sumber terbuka

Ada banyak contoh serangan siber terhadap bisnis yang menggunakan perangkat lunak sumber terbuka. Hal ini terkait dengan fakta bahwa begitu banyak perusahaan menggunakan perangkat lunak sumber terbuka, sehingga menjadi bebek duduk. Di bawah ini adalah dua peristiwa yang paling menonjol dan apa yang dipelajari perusahaan darinya.

Pelanggaran data Equifax 2017

Pelanggaran data Equifax 2017 mengungkap kerentanan sebenarnya dari perangkat lunak sumber terbuka. Beberapa penyimpangan keamanan yang menyebabkan serangan dunia maya membuat banyak pengembang web dan perusahaan sama-sama memperkuat perangkat lunak mereka untuk mencegah serangan semacam itu. Mengapa perusahaan dan pengembang? Karena keduanya bersalah. Peretas mengeksploitasi kerentanan yang dipahami secara luas dan masuk melalui portal web keluhan konsumen. Kerentanan itu seharusnya ditambal oleh Equifax, tetapi tidak.

Setelah melalui portal web, peretas dapat bergerak melintasi sistem dan berhasil mencuri jutaan data pribadi pelanggan. Beberapa hari sebelumnya, tambalan dirilis untuk kerentanan yang diketahui dalam perangkat lunak. Tapi Equifax memilih untuk tidak mengimplementasikan patch dalam waktu yang cukup.

Apa yang mereka pelajari dari serangan itu? Equifax menemukan bahwa jika sebuah patch membutuhkan implementasi, patch tersebut membutuhkan implementasi saat dirilis. Khususnya, organisasi besarlah yang paling rentan. Usaha kecil hingga menengah tidak akan menemukan diri mereka sebagai target sebanyak organisasi dengan basis pelanggan yang besar. Itulah sebabnya Equifax, sebuah perusahaan yang menyimpan jutaan data keuangan pelanggan, seharusnya bekerja untuk menerapkan perubahan lebih cepat.

Layanan Web Amazon

Yang ini belum terjadi. Tetapi peretas diam-diam bekerja di latar belakang dalam upaya untuk menjadi serangan perangkat lunak rantai pasokan terbaru. Pengembang Python dan PHP perlahan-lahan dikompromikan oleh beberapa peretasan yang berhasil dilaporkan. Tetapi peretas belum mencapai target mereka. Paket yang mereka serang adalah Python CTX dan phppass PHP. Keduanya adalah paket perangkat lunak lama yang telah melayani bisnis selama bertahun-tahun.

Saat ini, pengembang perangkat lunak yang menggunakan paket yang terpengaruh, tetapi peningkatan penyusupan yang mencolok telah menghasilkan peringatan yang ditujukan kepada perusahaan yang juga menggunakan paket perangkat lunak.

Anda mungkin menyukai: 12 Jenis Keamanan Titik Akhir yang Harus Diketahui Setiap Bisnis.

Meningkatnya serangan dunia maya secara luas terhadap bisnis

Tidak hanya masalah dengan serangan perangkat lunak sumber terbuka. Ada peningkatan yang mencolok dan meluas dalam serangan siber terhadap bisnis di seluruh bidang. Di Inggris, misalnya, pemerintah baru-baru ini merilis sebuah laporan yang mendesak bisnis dan badan amal untuk memperkuat praktik keamanan siber mereka di tengah peningkatan tajam dalam serangan.

Banyak yang percaya ini pada pandemi, yang membuat banyak perusahaan berinvestasi dalam perangkat lunak yang memungkinkan mereka untuk terus beroperasi secara virtual. Satu studi menemukan ada peningkatan 300% dalam serangan selama dan pada bulan-bulan setelah pandemi. Tetapi pandemi bukan satu-satunya yang harus disalahkan – 5G, misalnya, juga berkontribusi pada peningkatan serangan. Dunia sedang terburu-buru untuk bandwidth yang lebih cepat. Namun dengan meningkatkan bandwidth, perangkat IoT akan lebih rentan terhadap serangan.

Kesenjangan keterampilan keamanan siber dalam organisasi juga tampaknya berperan dalam peningkatan serangan. Banyak karyawan tidak memahami risiko dan konsekuensi dari praktik dunia maya yang tidak aman. Selain itu, banyak perusahaan bahkan tidak memiliki tim keamanan siber khusus. Terserah manajemen untuk mendidik tentang masalah seperti email phishing dan mendorong praktik dunia maya yang aman.

Apa solusinya?

Solusinya adalah jangan berhenti menggunakan software open source. Pertimbangkan kerentanan dan risiko terkait dan tentukan perangkat lunak sumber terbuka mana yang memitigasi sebanyak mungkin dari mereka. Bisnis perlu mencari perangkat lunak yang paling sesuai dengan kebutuhan mereka. Misalnya, perangkat lunak sumber terbuka bisa lebih baik untuk merek yang mencari alternatif yang lebih murah. Perangkat lunak sumber terbuka biasanya tidak memiliki label harga yang sama dengan perangkat lunak sumber tertutup.

Perangkat lunak sumber tertutup hadir dengan stabilitas dan keamanan lebih sehingga perangkat lunak tidak akan diserang oleh peretas. Seperti disebutkan di atas, perangkat lunak sumber terbuka memiliki kelemahan keamanan utama yang menyebabkan peningkatan serangan siber sebesar 650% pada tahun 2021. Bahkan jika bisnis menginginkannya, mereka bukanlah pihak yang menjalankan pemeriksaan keamanan dan mengenkripsi pengkodean. Ini akan menjadi kolaborasi massal pengembang yang perlu melakukannya.

Merek juga harus meluangkan waktu untuk berkolaborasi dengan pengembang. Mereka harus mengidentifikasi kelemahan dalam perangkat lunak dan menerapkan tambalan saat dirilis. Seperti halnya peretasan Equifax, pengembang perangkat lunak merilis tambalan beberapa hari sebelum serangan. Karena mereka telah menerapkan patch, serangan itu tidak akan terjadi. Demikian pula, menerapkan pembaruan rutin sangat penting, tetapi ini juga melibatkan kolaborasi dengan pengembang untuk memastikan pembaruan dirilis dengan aman. Seperti contoh SolarWinds, dua pembaruan pada sistem Orion mengungkap kelemahan yang segera dieksploitasi oleh peretas.

Perangkat lunak sumber tertutup bukanlah pilihan yang layak untuk banyak merek. Alternatif yang lebih baik adalah berinvestasi dalam tim keamanan siber khusus atau meluangkan lebih banyak waktu untuk mendidik karyawan. Banyak serangan siber profil tinggi dimulai dengan praktik kata sandi yang buruk, misalnya, tetapi merupakan masalah yang relatif mudah untuk diselesaikan. Serangan terhadap Ticketmaster pada tahun 2021 adalah contoh sempurna dari apa yang dapat terjadi ketika karyawan tidak memiliki kata sandi yang aman.

Anda mungkin juga menyukai: 17 Tips Keren untuk Menulis Kebijakan Keamanan Siber yang Tidak Menyebalkan.

Kata-kata terakhir

Secara teknis, bahkan perangkat lunak sumber tertutup memiliki kerentanan yang sama dengan perangkat lunak sumber terbuka; mereka tidak begitu menonjol. Bisnis dapat mengurangi risiko itu sendiri dengan memilih perangkat lunak secara hati-hati, apakah itu terbuka atau tertutup, yang telah dibuat oleh pengembang terkemuka.

Yang jelas, bagaimanapun, adalah apa yang perlu dilakukan untuk melindungi bisnis di seluruh dunia, terutama rantai pasokan yang menggunakan perangkat lunak sumber terbuka. Peningkatan tajam dalam serangan siber membuktikan betapa rentannya perusahaan dan konsumen terhadap serangan siber. Penjahat dunia maya sekarang memiliki akses ke perangkat lunak canggih. Pengembang dan merek perlu menjadi lebih paham keamanan siber untuk mencegah serangan.