Dijital altyapıların vazgeçilmez bir kesimi haline gelen açık kaynak yazılımlar, bugün neredeyse her şirketin kod tabanında yer alıyor. Araştırmalar, işletmelerin yüzde 96’sının uygulamalarında bu bileşenleri kullandığını gösterirken, bu yaygınlık siber saldırganlar için de geniş bir hareket alanı yaratıyor. Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Yöneticisi Alev Akkoyunlu, açık kaynak araçların siber akınlarda nasıl birer basamak olarak kullanılabileceğine dikkat çekerek kurumları bekleyen temel riskleri sıraladı.
Alev Akkoyunlu, açık kaynak kodlu yapıların şeffaflık sunduğunu fakat denetimsiz kullanımın tehlikeli sonuçlar doğurabileceğini söylüyor. Akkoyunlu’ya nazaran asıl problem, hangi bileşenin nerede kullanıldığının bilinmemesi ve güncellemelerin aksatılması. Güvenliğin yazılım geliştirme sürecinin bir modülü haline getirilmemesi durumunda, bu legal araçlar saldırganların sistem içinde fark edilmeden hareket etmesine imkan tanıyor.
Açık kaynak kullanımında dikkat edilmesi gereken 5 tehdit
Kuruluşların dijital güvenliğini tehlikeye atan ve bilgi sızıntılarına taban hazırlayan riskler şu formda öne çıkıyor:
Güncellenmeyen bileşenler: Nizamlı olarak denetlenmeyen sistemlerde eskiyen açık kaynak kodlar, bilinen güvenlik açıklarının siber saldırganlar tarafından kolay kolay istismar edilmesine yol açıyor.
Saldırıların ölçeklenebilirliği: Yazılımların çok sayıda kurumda emsal biçimde kullanılması, bir yolun birçok farklı amaca tıpkı anda uygulanmasını sağlıyor.
Tedarik zinciri zayıflığı: Tek bir bileşendeki açık, yalnızca o sistemi değil, iş ortaklarını ve tüm tedarik zincirini etkileyebilecek geniş bir ekosistemi tehdit ediyor.
Meşru araçların gerisine gizlenme: Saldırganlar, zati sistemde bulunan emniyetli araçları kullandığında, makûs niyetli faaliyetlerin tespit edilmesi zorlaşıyor.
Sessiz data toplama: Birinci sızma anında direkt ziyan vermek yerine sistem içinde keşif yapılması, hassas bilgilerin uzun mühlet boyunca gizlice sızdırılmasına neden oluyor.
Tehditlere karşı merkezi izleme ihtiyacı
Bitdefender yetkilileri, açık kaynak kaynaklı bu karmaşık ataklara karşı uçtan uca görünürlüğün kaide olduğunu tabir ediyor. Farklı katmanlardan gelen sinyalleri bir ortaya getiren ve tahlil eden GravityZone XDR üzere tahliller, sistemlerdeki olağandışı hareketleri otomatik olarak algılayarak güvenlik takımlarının üzerindeki manuel inceleme yükünü hafifletmeyi hedefliyor.
