Dua Hal yang Harus Diperhatikan untuk Mencegah Pembobolan Data

Berita tentang pembobolan akun email pemerintah AS oleh kelompok peretas Tiongkok, yang dilaporkan Microsoft pekan ini, tidak diragukan lagi akan menjadi salah satu kisah keamanan siber terpopuler pada 2023. Selain itu, di Indonesia ada kasus bocornya data paspor milik 34 juta warga, serta pembobolan data lainnya yang terjadi kala tuannya sedang berselancar di internet atau media sosial.

Kabar tersebut akan menyusul peretasan SolarWinds dan kegagalan Log4J sebagai pelanggaran keamanan siber yang besar. Para analis akan mengutip pelanggaran ini selama bertahun-tahun yang akan datang, untuk menekankan mengapa investasi dalam keamanan siber sangat penting.

Kemudian kita bisa mengamati data dari laman International Data Corporation (IDC) -penyedia global utama intelijen pasar, layanan konsultasi, dan acara untuk teknologi informasi, telekomunikasi, dan pasar teknologi-. Riset IDC mengungkap, pembobolan email pemerintah bukan hanya contoh lain dari apa yang bisa terjadi ketika orang jahat menemukan celah dalam pertahanan siber.

"Ini mencontohkan tantangan keamanan siber baru, yang harus dipersiapkan oleh bisnis yang berpikiran maju saat ini. Melakukan lebih banyak hal yang sama di sisi keamanan siber, tidak akan melindungi organisasi dari serangan seperti ini," demikian kritik dari laman IDC, dikutip Selasa (18/7/2023).

Untuk membuktikan hal ini, mari kita bahas dua hal penting dari peretasan yang menyasar pemerintah. Selanjutnya, apa artinya bagi masa depan keamanan siber di semua lini organisasi.

Ancaman siber yang semakin canggih adalah ancaman baru

Bisa kita perkirakan, pelajaran paling penting dari kejadian ini bahwa ancaman paling serius yang dihadapi organisasi saat ini adalah ancaman yang sangat canggih.

Lewatlah sudah hari-hari ketika ransomware atau serangan phising yang menargetkan sasaran yang mudah ditebak, yang berarti bisnis yang kurang siap karena gagal memenuhi garis dasar standar kesiapan keamanan siber.

Dalam kasus peretasan ini, pelaku ancaman yang canggih bisa jadi didukung oleh pemerintah, memiliki sumber daya yang luas, dan melakukan serangan yang kompleks.

Mereka tidak mengeksploitasi kerentanan yang diketahui pada server yang lupa diperbaiki oleh seseorang, atau mengirim email kepada karyawan yang tidak mencurigakan dengan harapan mengelabui mereka untuk menyerahkan kata sandi.

"Mereka rupanya menemukan dan mengeksploitasi kelemahan zero-day, di dalam sistem yang kompleks dan dikelola oleh salah satu perusahaan teknologi paling canggih dan sukses di dunia, Microsoft," ungkap laman itu.

Kesimpulannya di sini, membangun pertahanan yang membuat organisasi lebih sulit dibobol daripada rata-rata tidak akan lagi cukup. Karena orang-orang jahat mungkin tidak hanya mencari sasaran yang mudah ditembus.

Dengan demikian, tidak lagi cukup melindungi dari risiko yang lebih biasa seperti risiko yang dieksploitasi oleh penyerang ransomware tradisional. Memahami pelaku ancaman mana yang mungkin berusaha melakukan serangan yang lebih canggih dan bertarget terhadap organisasi, itu juga penting.

Makna dari keamanan Supply Chain perangkat lunak perlu diperluas

Peretasan pemerintahan juga penting, karena menyoroti betapa canggihnya para pelaku ancaman yang menargetkan supply chain (rantai pasokan) perangkat lunak dengan cara yang baru.

Biasanya, ketika analis keamanan siber berbicara tentang keamanan rantai pasokan perangkat lunak, mereka mengacu pada: memastikan bahwa komponen perangkat lunak pihak ketiga yang diimpor oleh bisnis ke dalam aplikasi mereka, aman. Sebut saja pustaka atau modul sumber terbuka.

"Oleh karena itu, pemerintah Amerika Serikat menginstruksikan para pengembang untuk menyusun Software Bills of Material (SBOM). SBOM memberikan visibilitas ke dalam sumber daya perangkat lunak pihak ketiga yang menjadi sandaran bisnis," kutip kami dari keterangan Microsoft.

Menurut laman IDC, SBOM penting untuk menentukan apakah kerentanan yang diketahui berdampak pada aplikasi bisnis. Tetapi dalam kasus peretasan pemerintah, SBOM tidak akan membantu melindungi korban, karena ini bukan serangan rantai pasokan perangkat lunak konvensional.

Jenis pelanggaran rantai pasokan ini tidak sepenuhnya baru. Serangan SolarWinds juga memberi penyerang 'pintu belakang' ke lingkungan TI perusahaan, yang menggunakan aplikasi pihak ketiga. Meskipun dalam kasus tersebut para penyerang menanamkan kode berbahaya ke dalam produk, yang membuat insiden tersebut menyerupai pelanggaran rantai pasokan tradisional dalam banyak hal.

Dengan peretasan pemerintah terbaru ini, pelaku ancaman tidak menanam kode berbahaya ke dalam rantai pasokan perangkat lunak siapapun; mereka hanya menemukan cara untuk menyisipkan data pengguna dari perangkat lunak pihak ketiga yang diandalkan oleh lembaga pemerintah.

Ditambah lagi, untuk memulihkan serangan tersebut, para korban harus bergantung pada vendor perangkat lunak mereka. Situasi tersebut membuat insiden ini berbeda dengan serangan rantai pasokan perangkat lunak konvensional, yang dapat dipulihkan sendiri oleh pengembang dengan menghapus komponen yang rentan dari aplikasi mereka. Dalam kasus ini, hanya Microsoft yang dapat menyediakan perbaikan.

Pelajaran utama di sini, CISO harus berpikir lebih luas tentang keamanan rantai pasokan perangkat lunak.

Dalam mengamankan supply chain, kita harus lebih dari sekadar memastikan keamanan kode pihak ketiga yang menjadi sandaran bisnis.

"Melibatkan vendor perangkat lunak untuk mengelola keamanan rantai pasokan dalam aplikasi SaaS juga sama pentingnya," akhir laporan tersebut.