• February 25, 2025

Laporan Ancaman 2024 Kami: Volume Serangan Naik 114%

Dengan meningkatnya jumlah serangan siber, biaya yang terus melonjak, dan ketegangan geopolitik yang semakin tinggi di seluruh dunia, keamanan siber akan tetap menjadi prioritas utama bagi organisasi pada tahun 2025.

Dalam ringkasan laporan ancaman terbaru kami, kami meninjau kembali 900 juta serangan yang terdeteksi dalam lanskap ancaman tahun 2024—naik 114% dibandingkan dengan 420 juta serangan pada tahun sebelumnya.

Kami juga memberikan wawasan taktis serta rekomendasi strategis bagi organisasi untuk meningkatkan pertahanan mereka di tahun 2025, yang dapat ditemukan dalam bagian mitigasi yang kami sarankan di bawah ini.

Temuan Utama Laporan Ancaman 2024

Asal Serangan

  • Serangan berasal dari 213 negara, dengan 10 negara teratas menyumbang 78% dari lalu lintas berbahaya.
  • Rusia melampaui China sebagai asal serangan yang paling umum.
  • 57% serangan berasal dari IP yang dikelola oleh ISP, 33% dari organisasi bisnis, pemerintah, dan sektor lainnya, serta 10% dari penyedia hosting atau cloud.
  • Tren ini mencerminkan peningkatan penggunaan perangkat yang telah dikompromikan untuk meluncurkan serangan langsung, baik melalui “residential proxies” maupun teknik canggih baru seperti jaringan ORB.

Jenis Layanan yang Diserang

  • Aplikasi web kembali menjadi layanan yang paling banyak diserang, diikuti oleh protokol manajemen jarak jauh:
    • Layanan manajemen jarak jauh sering menjadi target dengan username spesifik yang terkait dengan basis data, cloud, dan infrastruktur DevOps.
    • Aplikasi web lebih sering menjadi sasaran eksploitasi kerentanan.

Eksploitasi

  • Eksploitasi terhadap perangkat infrastruktur jaringan menjadi kategori kedua yang paling banyak digunakan:
    • Eksploitasi terhadap perpustakaan perangkat lunak dan perangkat IoT mengalami penurunan proporsional.
    • Hanya 27% dari kerentanan yang dieksploitasi tercantum dalam daftar CISA KEV (turun dari 25% pada tahun 2023).
    • Setidaknya 25 kerentanan pada perangkat OT dan IoT industri yang dieksploitasi oleh botnet dan serangan otomatis tidak terdaftar dalam daftar tersebut.
  • Tindakan pasca-eksploitasi berfokus pada:
    • Discovery (84%), meningkat tajam dari 25% di tahun 2023.
    • Persistence (12%).
    • Execution (4%).

Serangan terhadap OT dan Otomasi Bangunan

  • Lima protokol OT yang paling sering diserang:
    • Modbus tetap menjadi target utama dengan 40% serangan.
    • Ethernet/IP di posisi kedua dengan 28%, diikuti oleh Step7, DNP3, dan BACnet masing-masing sekitar 8%.
    • Peningkatan serangan terhadap protokol otomasi bangunan populer seperti BACnet, Fox, dan KNX.
    • Sebagian besar serangan tetap menargetkan protokol yang digunakan dalam otomasi industri.

Analisis Pelaku Ancaman

  • Pelaku ancaman menargetkan 176 negara:
    • Amerika Serikat menjadi target utama dengan 264 aktor ancaman.
    • Jerman di posisi kedua dengan 144 aktor, diikuti oleh India (141 aktor).
    • Sebagian besar pelaku ancaman berasal dari China (199), Rusia (98), dan Iran (55).
    • Ketiga negara ini menyumbang 43% dari total kelompok ancaman dalam database kami.
    • Sektor yang paling banyak diserang adalah pemerintah, layanan keuangan, dan telekomunikasi.

Peningkatan Fokus Serangan pada Infrastruktur Kritis (CI)

  • Jumlah insiden terhadap CI meningkat 10% dari 2023 ke 2024.
  • 57% dari seluruh insiden menargetkan sektor infrastruktur kritis.
  • Perubahan signifikan dalam proporsi insiden CI:
    • 2022: 34% dari total insiden.
    • 2023: 58% dari total insiden.

Distribusi Insiden Berdasarkan Negara

  • AS mengalami jumlah insiden tertinggi, tetapi serangan terhadap CI semakin tersebar secara global.
  • Dalam tiga tahun terakhir, jumlah negara yang terkena dampak meningkat 192%:
    • 2022: 27 negara.
    • 2023: 57 negara.
    • 2024: 79 negara.
  • Negara dengan insiden CI terbanyak setelah AS:
    • Eropa: Jerman, Prancis, Spanyol, Italia, Inggris.
    • Asia: Jepang, India, Korea, Taiwan, Singapura.

Distribusi Insiden Berdasarkan Industri

  • Sektor kesehatan mengalami insiden terbanyak pada 2023 dan 2024, meskipun persentasenya menurun dari 24% menjadi 17%.
  • Layanan keuangan tetap di posisi kedua, tetapi meningkat dari 12% menjadi 17%.
  • Pemerintah naik dari posisi keempat (2023) menjadi ketiga (2024).
  • Manufaktur melonjak dari posisi keenam ke keempat.
  • Mayoritas pelaku ancaman:
    • Kejahatan siber menargetkan kesehatan, layanan keuangan, dan manufaktur.
    • Aktor yang didukung negara menargetkan pemerintahan dan energi.
    • Aktivitas hacktivist lebih umum di sektor pemerintahan.

Malware

  • Botnet menjadi jenis malware paling populer (29%, naik dari 22% pada 2023), diikuti oleh infostealers dan RATs.
  • Tidak ada perubahan besar dalam jenis malware yang umum, tetapi keluarga malware populer dan server C2 mengalami perubahan.
  • Mirai kembali menjadi malware yang paling umum.
  • Lumma stealer menjadi entri baru paling populer di peringkat kedua.
  • Cobalt Strike tetap menjadi C2 yang paling banyak digunakan, tetapi penggunaan Viper meningkat tajam, melampaui Sliver, yang sebelumnya banyak mendapat perhatian pada 2023.

Mitigasi yang Direkomendasikan

Sepanjang laporan ancaman ini, kami memberikan wawasan bagi para pembela keamanan. Seperti tahun sebelumnya, kami merekomendasikan organisasi untuk fokus pada tiga pilar utama keamanan siber:

  1. Manajemen Risiko & Paparan
  • Identifikasi semua aset yang terhubung ke jaringan, termasuk tingkat kritikalitas, postur keamanan, kredensial, dan port yang terbuka.
  • Ubah kredensial default dan gunakan kata sandi yang kuat serta unik untuk setiap perangkat.
  • Nonaktifkan layanan yang tidak digunakan dan patch kerentanan untuk mencegah eksploitasi.
  • Gunakan kontrol otomatis untuk mitigasi risiko yang tidak hanya bergantung pada agen keamanan, tetapi berlaku untuk seluruh perusahaan, bukan hanya jaringan IT, OT, atau tipe perangkat tertentu.
  1. Keamanan Jaringan
  • Jangan mengekspos perangkat yang tidak dikelola langsung ke internet.
  • Segmentasi jaringan untuk memisahkan perangkat IT, IoT, dan OT, serta membatasi koneksi hanya ke workstation manajemen dan rekayasa yang diizinkan.
  • Segmentasi tidak hanya antara IT dan OT, tetapi juga dalam jaringan masing-masing untuk mencegah pergerakan lateral dan pencurian data.
  • Batasi jalur komunikasi eksternal dan isolasi perangkat yang rentan sebagai langkah mitigasi jika patch belum tersedia.
  1. Deteksi & Respons Ancaman

solusi pemantauan yang mendukung IoT/OT dan DPI untuk mendeteksi indikator dan aktivitas berbahaya, seperti eksploitasi kerentanan, penebakan kata sandi, atau penggunaan protokol OT yang tidak sah.

Blokir lalu lintas anomali dan tidak valid, atau setidaknya berikan peringatan kepada administrator jaringan.

Gunakan solusi deteksi dan respons ancaman yang mengumpulkan data dari berbagai sumber, termasuk alat keamanan, aplikasi, infrastruktur, dan cloud, untuk mengidentifikasi sinyal serangan dan mengotomatiskan respons di seluruh perusahaan.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!