Selama setahun terakhir, kami telah mengamati pelaku ancaman yang semakin agresif dalam melancarkan serangan yang semakin canggih terhadap target mereka. Selama kami membantu ratusan klien dalam menilai, merespons, dan pulih dari serangan, kami mengumpulkan data tentang insiden-insiden tersebut dan menyusunnya dalam Laporan Tanggap Insiden (IR) 2024 kami. Berikut adalah poin-poin penting yang menggambarkan pola serangan tahun lalu dan langkah-langkah yang dapat diambil oleh para pelindung untuk menjaga keamanan organisasi mereka. Untuk Memblokir Serangan, Amankan Jalur Akses Jalur akses adalah rute yang digunakan penyerang untuk menembus pertahanan organisasi Anda. Memahami cara penyerang memasuki sistem dapat membantu Anda menentukan di mana harus menerapkan kontrol untuk mencegah mereka. Tiga jalur akses awal yang paling umum kami identifikasi adalah: – Kerentanan perangkat lunak dan API: 38,6% dari kasus – Kredensial yang telah terkompromi sebelumnya: 20,5% dari kasus – Rekayasa sosial dan phishing: 17% dari kasus Mengatasi titik-titik lemah ini bukanlah pekerjaan yang mudah dan memerlukan kombinasi alat, keahlian, serta proses yang rutin. Memanfaatkan Kerentanan dalam Perangkat Lunak dan API Tahun lalu, kerentanan dalam perangkat lunak dan API menjadi vektor akses awal dalam 38,6% serangan yang kami teliti – lebih banyak dibandingkan vektor lainnya. Serangan-serangan ini biasanya merupakan hasil dari kampanye intrusi otomatis berskala besar. Mereka sering kali menargetkan bagian penting dari rantai pasokan perangkat lunak, seperti framework logging Apache Log4j dan server WebLogic Oracle, yang berdampak pada berbagai sektor seperti pemerintah, bank, perusahaan pelayaran, maskapai penerbangan, dan lainnya. Laporan IR menunjukkan bahwa jenis eksploitasi ini bukanlah kejadian yang jarang terjadi, melainkan sebuah tren serangan. Program manajemen patch yang proaktif sangat penting untuk menangani kerentanan yang sudah teridentifikasi dengan cepat serta memprediksi potensi kerentanan di masa depan berdasarkan tren dan intelijen ancaman. Tantangan utamanya adalah kenyataan yang kurang nyaman – kerentanan ditemukan jauh lebih cepat daripada kemampuan tim untuk memperbaikinya. Setiap tahun, ribuan kerentanan dilaporkan, dan setiap patch harus diuji sebelum diterapkan di lingkungan Anda. Dua dari lima Kerentanan dan Eksposur Umum (CVE) yang paling banyak dieksploitasi pada tahun 2023 teridentifikasi beberapa tahun sebelumnya (2020 dan 2021), menunjukkan adanya keterlambatan signifikan dalam penanganan kerentanan yang sudah dikenal. Penggunaan Kredensial yang Pernah Terkompromi Kredensial yang pernah terkompromi menjadi vektor akses awal dalam 20,5% kasus yang kami teliti—angka yang meningkat lima kali lipat dalam dua tahun terakhir. Kredensial yang terkompromi kini melampaui phishing dan rekayasa sosial sebagai vektor serangan utama, dengan adanya pasar gelap yang aktif untuk jenis kredensial ini. Menjaga kebersihan sistem dapat meminimalkan potensi kerusakan dari kredensial yang dicuri, namun kontrol yang diterapkan harus melampaui penggunaan kata sandi yang kuat dan autentikasi multifaktor (MFA): – Penyimpanan Kredensial yang Aman: Kredensial harus disimpan dengan enkripsi dan solusi manajemen rahasia yang memadai. – Rotasi Kredensial: Mengganti kredensial secara berkala dapat mengurangi kemungkinan penyerang berhasil menggunakan kredensial yang telah terkompromi. – Akses dengan Hak Minimum: Prinsip hak akses minimum membatasi kerusakan yang dapat ditimbulkan oleh kredensial yang terkompromi dengan memastikan setiap anggota staf hanya memiliki akses yang diperlukan untuk tugas mereka. – Pencatatan Audit: Audit penggunaan kredensial dapat mengungkap aktivitas mencurigakan dan membantu memenuhi standar pelaporan. Seiring dengan berkembangnya taktik kriminal siber, tim keamanan harus menerapkan kontrol dan kebijakan yang lebih dinamis dan responsif. Ini mencakup audit keamanan rutin, deteksi ancaman waktu nyata, dan program pelatihan yang bertujuan untuk mengenali dan mengurangi risiko terkait kredensial. Selain itu, penting untuk mengidentifikasi perilaku anomali dan mencurigakan yang mungkin mengikuti penggunaan kredensial yang terkompromi. Dengan meningkatnya kecanggihan serangan, teknologi AI dan machine learning menjadi krusial untuk mendeteksi pola serangan lebih awal dan memungkinkan tim keamanan untuk merespons dengan tepat. Rekayasa Sosial dan Phishing yang Terarah Tahun lalu, rekayasa sosial dan phishing menjadi vektor serangan utama, menyumbang 17% dari kasus yang kami teliti. Pengalaman kami menunjukkan bahwa serangan rekayasa sosial dan phishing semakin banyak menargetkan help desk TI daripada karyawan secara langsung. Penyerang akan menelepon help desk dan menyamar sebagai karyawan yang sah, meminta bantuan untuk mereset kata sandi atau mengubah nomor telepon yang terkait dengan akun. Menghadapi sifat manusia tetap menjadi tantangan terbesar. Seringkali, admin terbukti sama rentannya terhadap serangan phishing seperti anggota tim lainnya. Hal ini karena organisasi yang sukses sering kali bergantung pada saling membantu. Permintaan untuk tidak saling percaya atau membantu bertentangan dengan prinsip dasar kolaborasi dalam organisasi. Pertahanan multilapis membantu memperlambat penyerang, menciptakan lebih banyak peluang untuk mereka membuat kesalahan, dan memberikan keunggulan bagi tim Anda: – Latih Staf TI dan Admin: Edukasi mereka untuk mengenali dan merespons upaya phishing. – Autentikasi dan Pemantauan Kontinu: Lakukan pemantauan saluran komunikasi secara berkelanjutan. – Dorong Karyawan untuk Mempertanyakan Anomali: Ajak karyawan untuk melaporkan perilaku mencurigakan. Kemampuan Malware yang Berkembang Pada tahun 2023, malware terlibat dalam 56% dari semua insiden keamanan yang terdokumentasi, dengan ransomware menyumbang 33% dari kasus-kasus tersebut. Kami menemukan beberapa perubahan penting dalam rincian: – Penyerang semakin sering menggunakan taktik penghancuran data dengan alat seperti wiper dan teknik lainnya. – Sekitar 42% dari investigasi kami melibatkan backdoor, sementara 32% dari masalah terkait malware memiliki jenis perangkat lunak C2 interaktif. Dalam 12% kasus, penyerang menggunakan web shell untuk memanfaatkan server yang terkompromi sebagai pijakan masuk ke lingkungan target. Taktik ini memberi intruder pijakan untuk melakukan berbagai aktivitas jahat secara tersembunyi. – Terowongan terbalik adalah teknik yang semakin disukai di kalangan penyerang. Koneksi ini menghubungkan keluar dari lingkungan target dan berakhir pada sistem yang berada di bawah kontrol penyerang. Ini memberi penyerang lebih banyak kebebasan tanpa harus menginstal malware di sistem target. – Banyak sistem operasi mendukung terowongan terenkripsi yang dapat dimanfaatkan oleh peretas. Sebagai contoh, sebagian besar organisasi (85%) masih membiarkan Microsoft Remote Desktop terpapar ke internet selama setidaknya 25% dari bulan. Pemantauan Komprehensi Pemantauan menyeluruh melibatkan teknologi deteksi ancaman canggih yang menganalisis perilaku dan pola, mengintegrasikan perlindungan endpoint, serta menggunakan kemampuan dekripsi untuk mengidentifikasi eksploitasi tersembunyi. Kecepatan Itu Penting Salah satu wawasan utama dari laporan kami adalah betapa cepatnya serangan terjadi. Pelanggaran data kini bisa terjadi dalam hitungan hari atau bahkan jam setelah terjadinya kompromi awal. Pada tahun 2022, waktu median antara kompromi dan eksfiltrasi adalah sembilan hari. Pada tahun 2024, waktu ini menurun menjadi dua hari. Dalam hampir 45% kasus, penyerang mengeksfiltrasi data kurang dari…
