Cara memitigasi risiko ancaman siber tahun ini

Ilustrasi (dok)

JAKARTA (IndoTelko) - Lanskap ancaman keamanan siber terus berkembang seiring munculnya pelaku, teknologi, dan ancaman baru, yang menciptakan dunia yang tidak pasti bagi organisasi dan masyarakat dengan potensi jebakan bahkan saat membuka email. Profesional keamanan siber harus tetap waspada dan mengantisipasi skema, ancaman, dan strategi yang berkembang pesat oleh penjahat siber yang memanfaatkan teknologi sumber terbuka dan menjadi semakin canggih.

Berdasarkan temuan dari Laporan Analis Respons Insiden Kaspersky 2023, skala ancaman siber saat ini menunjukkan bahwa75% upaya serangan siber mengeksploitasi Microsoft Office. Dalam hal vektor infeksi, 42,3% upaya yang berhasil menggunakan aplikasi yang tersedia untuk umum dengan 20,3% menggunakan akun yang disusupi sementara hanya 8,5% menggunakan kredensial brute force.

Terkait vektor infeksi, sebagian besar serangan dilakukan oleh penyerang yang menggunakan kredensial yang dicuri atau dibeli sebelum melakukan serangan protokol desktop jarak jauh (RDP), email phishing yang memuat lampiran dan tautan berbahaya, serta file berbahaya pada sumber daya publik yang meniru templat dokumen.

Di sisi positifnya, upaya serangan turun hingga 36% pada Q1 tahun 2023 dibandingkan dengan periode yang sama pada tahun2022.

Setelah mengalami serangan siber, akibatnya 33,3% organisasi mendapatkan data mereka di enkripsi, 21,1% mengalami pencurian data, dan 12,2% mengalami direktori aktif yang disusupi.

Berdasarkan survei Kaspersky sebelumnya yang dilakukan pada tahun 2022, risiko ancaman siber terbesar yang muncul adalah ransomware (66%) bersama dengan pencurian data (juga 66%), diikuti oleh sabotase siber (62%), serangan rantai pasokan (60%) dan serangan DDos (juga 60%), spionase siber (59%), ancaman persisten tingkat lanjut [APT] (57%) dan penambangan kripto(56%). Untuk tahun 2024, ancaman siber yang sedang tren saat ini terutama adalah serangan rantai pasokan (6,8%) dan upaya phishing yang ditargetkan (5,1%) yang tetap menjadi ancaman yang jelas dan nyata bagi bisnis.

Sedangkan, berdasarkan statistik tahun 2023 yang sama, target paling produktif oleh pelaku ancaman adalah pemerintahan (27,9%), lembaga keuangan (12,2%), manufaktur (17%) dan perusahaan IT (8,8%). Dalam hal wilayah yang menjadi target, Asia dan CIS(Commonwealth of Independent States) mengalami insiden keamanan siber terbanyak sebesar 47,3% diikuti oleh Amerika (21,8%), Timur Tengah (10,9%) dan Eropa (9,1%).

Menurut Direktur, Tim Riset & Analisis Global (GReAT) di Kaspersky, Igor Kuznetsov, pemerintah menjadi target paling produktif oleh pelaku ancaman diikuti oleh manufaktur dan lembaga keuangan dengan risiko ancaman siber terbesar adalah ransomware dan sabotase siber.

Berdasarkan statistik dari solusi keamanan Kaspersky yang digunakan oleh klien, lebih dari 220.000 bisnis terlindungi di seluruh dunia dengan 6,1 miliar serangan dicegah dengan solusi keamanan Kaspersky beserta 437 juta ancaman yang berasal dari internet terdeteksi dan dihentikan. Selain itu, lebih dari 325.000 pengguna diselamatkan dari kerugian finansial setelah trojan perbankan terdeteksi dan digagalkan.

Untuk mencapai hal ini, layanan keamanan Kaspersky mendeteksi lebih dari 411.000 sampel malware unik setiap hari pada tahun 2024 yang merupakan peningkatan lebih dari 403.000 setiap hari pada tahun 2023. Dalam hal insiden keamanan siber, lebih dari 99% terdeteksi oleh sistem otomatis. Pada tahun 2023 juga terdeteksi 106 juta URL berbahaya unik dan 200 grup ancaman persisten tingkat lanjut (APT) yang saat ini aktif.

Tren yang berlaku adalah bahwa kejahatan dunia maya sering kali dijalankan sebagai bisnis dengan mayoritas insiden keamanan dunia maya yang terdeteksi (71%) didorong oleh faktor finansial. Terjadi peningkatan tajam dalam insiden ransomware yang menyebabkan persentase pengguna yang terkena ransomware bertarget hampir dua kali lipat pada tahun 2021-2022. Hal ini dibuktikan dengan survei yang menunjukkan bahwa 68% pemilik bisnis yang disurvei meyakini bahwa risiko keamanan TI terus meningkat.

Dijelaskan Igor, ada tiga mitos populer terkait ransomware. "Pertama adalah bahwa penjahat dunia maya hanyalah penjahat dengan pendidikan TI, bahwa target ransomware ditetapkan sebelum serangan, dan bahwa geng ransomware juga bertindak secara bersama,” ujarnya.

Bertentangan dengan pendapat umum, sebagian besar insiden dunia maya merupakan serangan oportunistik sementara banyak geng ransomware benar-benar bekerja sama dengan afiliasi seperti halnya bisnis, melakukan ransomware as a service (RaaS).

RaaS beroperasi sebagai proses yang canggih, yang awalnya melibatkan pengembang ransomware dan pengembang packer untuk membuat malware itu sendiri, yang kemudian dipasarkan kepenjahat dunia maya lainnya. Berbagai pelaku ancaman khusus berkontribusi pada ekosistem ransomware :

•
Penjual akses menawarkan akses ke sistem yang dilindungi sebagai layanan, sering kali menjual barang dagangan mereka di pasar gelap khusus.
•
Analis nakal mengidentifikasi nilai sebenarnya dari target dan memberikan saran strategis kepada negosiator profesional. Setelah muatan malware dikirimkan, negosiator khusus ini mulai bekerja untuk memastikan tebusan dibayarkan menggunakan keterampilan rekayasa sosial mereka. Setelah pembayaran, mereka memfasilitasi pencucian dana sebelum siklus berulang.
•
Pelaku Advanced Persistent Threat (APT) yang disponsori negara dapat mengeksploitasi penjahat dunia maya sebagai titik masuk yang mudah ke target yang diinginkan, menggunakan koneksi ini untuk melakukan spionase atau menimbulkan kerusakan pada korban.

Dalam beberapa kasus, operasi ini dapat mencakup taktik infiltrasi untuk menyebarkan ransomware secara efektif. Pendekatan kolaboratif ini memungkinkan penjahat dunia maya untuk menyatukan keahlian mereka, membuat serangan ransomware lebih canggih dan sulitas untuk dilawan, sekaligus memastikan seluruh proses dari pelanggaran awal hingga pencucian dana ditangani oleh spesialis di setiap tahap.

Untuk mengoptimalkan peluang keberhasilan, penjahat dunia maya dapat membeli eksploitasi 0-hari dari penjahat lain yang sebelumnya merupakan kemewahan yang hanya dapat diakses oleh aktor yang disponsori negara tetapi sekarang tersedia bagi penawar tertinggi. Kripto lintas platform juga menjadi lebih kreatif dan adaptif dan telah memberlakukan mekanisme pertahanan diri terhadap malware mereka agar lebih sulit didekripsi.

Berbagai penjahat dunia maya yang terspesialisasi ini semuanya memainkan perannya dan setelah muatan malware dikirimkan, aktor ancaman khusus yang bertindak sebagai negosiator profesional ikut bermain untuk mendapatkan tebusan yang dibayarkan. Setelah tebusan dibayarkan, kemudian mereka mendapatkan dana yang dicuci sebelum siklus itu terulang kembali.

Menurut Igor, pada akhirnya, organisasi yang terkena dampak tidak boleh membayar tebusan yang akan memungkinkan lebih banyak kejahatan dunia maya. Ia memperingatkan bahwa meskipun tebusan dibayarkan, data tersebut mungkin telah dicuri dan dapat dibocorkan nanti atau digunakan untuk upaya pemerasan lebih lanjut.

"Korban sering kali dapat memulihkan data mereka tanpa membayar. Kaspersky menyimpan brankas kunci dan alat untuk mendekripsi data yang dikunci oleh berbagai keluarga ransomware. Sejak 2018, lebih dari 1,5 juta pengguna di seluruh dunia telah berhasil memulihkan data mereka menggunakan sumber daya ini," tambahnya.

Salah satu vektor ancaman potensial terbesar yang ditemukan oleh Kaspersky adalah Operasi Triangulasi yang menargetkan perangkatiOS. Melalui malware yang tidak diketahui dan yang mengeksploitasi kerentanan perangkat keras di dalam CPU Apple ini menggunakan empat kerentanan 0-hari untuk menginfeksi perangkat target yang mampu menelan biaya lebih dari US$1 juta di pasar gelap untuk mendapatkannya.

Ketika perangkat iOS menjadi target, perangkat tersebut akan mendapatkan iMessage yang tidak terlihat dengan lampiran berbahaya dengan eksploitasi non-interaksi dari pesan yang memulai eksekusi kode. Setelah kode disebarkan, kode tersebut terhubung ke layanan dan kemudian memulai eksekusi multi-tahap dari muatan malware. Setelah ini selesai, penyerang akan mendapatkan kendali penuh atas perangkat iOS yang disusupi dan semua jejak dan log kemudian dihapus untuk menghilangkan jejak serangan apa pun.

Kerentanan ini telah ditambal oleh Apple tetapi untuk mencegah kemungkinan serangan siber di masa mendatang, pengguna perangkat iOS perlu memperbarui firmware mereka secara teratur, melakukan boot ulang secara teratur dan menonaktifkan iMessage untuk mencegah kemungkinannya sebagai jalur malware.

Serangan rantai pasokan, yang terkait erat dengan sistem terkontainerisasi yang berjalan pada perangkat lunak sumber terbuka, menghadirkan vektor ancaman signifikan lainnya untuk tahun 2024. Sistem yang dihosting di cloud ini memungkinkan layanan untuk beroperasi secara independen dari sistem operasihost, yang memungkinkan eksekusi di berbagai lingkungan. Kontainerisasi memfasilitasi aplikasi yang ringan dan efisien yang dapat berjalan di berbagai perangkat dan dalam kluster, mengelola beban kerja yang menuntut dalam skala besar. Fleksibilitas ini mendukung banyak aplikasi dan sistem modern, termasuk platform sumber terbuka seperti Kubernetes.

Dijelaskannya, sistem terkontainerisasi sering kali bergantung pada banyak dependensi pihak ketiga, yang menimbulkan risiko rantai pasokan yang signifikan dari niat berbahaya dan kelemahan yang tidak disengaja.

Igor mencontohkan peristiwa Crowdstrike menyebabkan pemadaman pada jutaan perangkat, yang menunjukkan bagaimana pembaruan yang salah dapat berdampak luas. Selain itu, serangan yang kurang dipublikasikan pada utilitasXZ Linux dapat membahayakan jutaan perangkat yang mendukungSSH, yang menyoroti potensi eksploitasi berbahaya dalam rantaipasokan.

Saat ini, ratusan juta paket sumber terbuka dapat diakses oleh pengembang di situs populer seperti GitHub dengan lebih dari100 juta pengembang menggunakan situs tersebut. Rata-rata, 670 paket sumber terbuka berbahaya ditemukan setiap bulan dan hingga saat ini, lebih dari 12.000 paket sumber terbuka yang rentan telah diketahui dan diidentifikasi.

Kebijakan keamanan yang tepat perlu diberlakukan untuk sistem yang dikontainerisasi dengan pengawasan ketat untuk memastikan tidak ada konten yang rentan atau tidak tepercaya, memastikan registri gambar tidak berisi pengaturan yang kedaluwarsa atau salah konfigurasi, bahwa orkestrator memiliki kebijakan akses dan kontrol jaringan yang kuat yang bebas dari kesalahan konfigurasi dan autentikasi, bahwa kontainer memiliki konfigurasi yang amandan memastikan bahwa sistem OS host memastikan kernel bersama dikelola secara bertanggung jawab sambil meminimalkan potensi permukaan serangan.

Aturan yang lebih kuat untuk sistem yang dikontainerisasi perlu diterapkan dan sistem seperti Kaspersky Security Container yang melindungi di berbagai tingkatan perlu diintegrasikan ke dalam sistem bersama dengan kebijakan keamanan yang komprehensif.

Untuk menghindari menjadi korban serangan tertarget oleh pelaku ancaman yang dikenal atau tidak dikenal, organisasi perlu membuat dan memelihara postur keamanan yang matang melalui kombinasi strategi yang efektif, edukasi karyawan yang tepat tentang keamanan siber, intelijen ancaman terkini dari penyedia keamanan siber tepercaya, dan penerapan teknologi yang tepat. Meskipun tidak ada sistem yang sempurna atau kebal, peneliti Kaspersky merekomendasikan penerapan langkah-langkah keamanan berikut untuk memaksimalkan perlindungan:

•
Perbarui sistem operasi, aplikasi, dan perangkat lunak antivirus Anda secara berkala untuk menambal kerentanan yang diketahui.
•
Berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
•
Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman tertarget terbaru dengan pelatihan daring Kaspersky yang dikembangkan oleh para ahli GReAT.
•
Untuk deteksi, investigasi, dan perbaikan insiden pada tingkattitik akhir, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response.
•
Selidiki peringatan dan ancaman yang diidentifikasi oleh kontrol keamanan dengan layanan Respons Insiden dan Forensik Digital Kaspersky untuk mendapatkan wawasan yang lebih mendalam. (mas)