Category: blog

Pendahuluan Dalam lanskap keamanan siber yang terus berkembang, organisasi industri menghadapi tantangan unik karena meningkatnya konektivitas perangkat dan digitalisasi sistem Operational Technology (OT) dan Internet of Things (IoT). Studi Global Industrial Cybersecurity Benchmark 2025 oleh Forescout dan Takepoint Research mengungkapkan bahwa banyak organisasi industri masih berjuang dengan kematangan keamanan siber yang rendah, ditandai dengan visibilitas terbatas, proses manual, dan waktu respons ancaman yang lama. Dengan ancaman siber seperti ransomware dan serangan rantai pasok yang semakin meningkat, Chief Information Security Officers (CISO) industri harus bertindak cepat untuk memperkuat pertahanan mereka. Artikel ini akan mengulas temuan utama studi tersebut, tantangan kematangan keamanan siber, dan bagaimana solusi Forescout dapat membantu CISO industri meningkatkan postur keamanan mereka. Temuan Utama dari Global Industrial Cybersecurity Benchmark 2025 Studi Global Industrial Cybersecurity Benchmark 2025, yang mensurvei 236 pemimpin OT dan otomasi, mengungkapkan sejumlah tantangan kritis dalam keamanan siber industri: Kepercayaan Rendah dalam Deteksi Ancaman Hampir 60% organisasi melaporkan memiliki kepercayaan rendah hingga tidak ada dalam mendeteksi ancaman di lingkungan OT dan IoT mereka. Hanya 14% merasa sangat yakin dengan kemampuan mereka. Kurangnya telemetry yang memadai dan fragmentasi alat keamanan berkontribusi pada masalah ini. Waktu Remediasi yang Lama Sebanyak 63% organisasi membutuhkan lebih dari 30 hari untuk merespons ancaman, dengan 37% memerlukan lebih dari 90 hari. Waktu respons yang lambat ini meningkatkan risiko operasional dan reputasi, terutama dalam lingkungan industri kritis seperti energi atau manufaktur. Fragmentasi Alat Keamanan Sebanyak 57% organisasi menggunakan beberapa alat untuk memantau lingkungan IT, OT, dan IoT, menyebabkan blind spots, kelelahan peringatan (alert fatigue), dan kompleksitas operasional. Konsolidasi alat ke platform terpadu menjadi kebutuhan mendesak. Ancaman Eksternal yang Dominan Serangan rantai pasok dan aktivitas kriminal siber dianggap sebagai ancaman eksternal utama oleh 50% responden, jauh di atas aktor negara (8%) atau kerentanan zero-day (9%). Kematangan Keamanan OT yang Rendah Sebanyak 64% organisasi berada pada tingkat kematangan dasar, ditandai dengan alur kerja manual, visibilitas terbatas, dan kontrol yang tidak konsisten. Hanya 17% memiliki program keamanan terintegrasi yang canggih. Dampak Ancaman Siber pada Organisasi Industri Ancaman siber terhadap lingkungan industri dapat menyebabkan konsekuensi serius: Gangguan Operasional Serangan seperti ransomware dapat menghentikan produksi, menyebabkan waktu henti (downtime) yang mahal. Contohnya, serangan NotPetya terhadap Maersk menyebabkan kerugian hingga $300 juta. Pencurian Data Sensitif Data pelanggan, desain produk, atau informasi operasional dapat dicuri, digunakan untuk pemerasan, atau dijual di pasar gelap. Risiko Rantai Pasok Serangan rantai pasok, seperti yang dilakukan oleh Scattered Spider, mengeksploitasi vendor atau penyedia layanan untuk mendapatkan akses ke beberapa organisasi. Ketidakpatuhan Regulasi Regulasi seperti NERC CIP, GDPR, dan PCI DSS mengharuskan perlindungan ketat terhadap sistem kritis. Kegagalan mematuhi standar ini dapat mengakibatkan denda besar. Kerugian Reputasi Insiden siber dapat merusak kepercayaan pelanggan dan mitra, memengaruhi nilai merek dan pendapatan. Tantangan dalam Meningkatkan Kematangan Keamanan Siber CISO industri menghadapi sejumlah tantangan dalam meningkatkan kematangan keamanan siber: Visibilitas Terbatas Sistem OT dan IoT yang tidak terkelola (unmanaged devices) dan shadow IT menciptakan blind spots yang sulit dideteksi tanpa solusi visibilitas yang komprehensif. Fragmentasi Alat Penggunaan alat keamanan yang berbeda-beda menyebabkan inefisiensi, kelelahan peringatan, dan kurangnya wawasan terpadu. Kekurangan Sumber Daya Kurangnya tenaga ahli keamanan siber dan anggaran terbatas menghambat modernisasi sistem keamanan. Sistem Warisan (Legacy Systems) Banyak organisasi industri masih mengandalkan perangkat OT yang ketinggalan zaman, yang sulit diperbarui atau dilindungi. Tekanan Geopolitik Ketegangan geopolitik meningkatkan risiko serangan siber yang disponsori negara, terutama terhadap infrastruktur kritis seperti energi dan manufaktur. Solusi Forescout untuk CISO Industri Forescout menawarkan solusi keamanan siber yang dirancang untuk mengatasi tantangan ini dan meningkatkan kematangan keamanan OT: Visibilitas dan Penemuan Aset Forescout Platform memberikan visibilitas tanpa agen (agentless) terhadap semua aset terhubung—IT, OT, IoT, dan IoMT—memastikan tidak ada blind spots dalam jaringan. Segmentasi Jaringan Adaptif Dengan kebijakan segmentasi dinamis, Forescout membatasi akses hanya untuk lalu lintas yang sah, mengurangi permukaan serangan (attack surface). Deteksi Ancaman Real-Time Analitik berbasis AI mendeteksi anomali seperti akses tidak biasa atau transfer data mencurigakan, memungkinkan respons cepat terhadap ancaman. Otomatisasi Respons Insiden Forescout mengotomatiskan isolasi perangkat yang dikompromikan dan penerapan kontrol keamanan, mempercepat waktu remediasi. Kepatuhan Regulasi Pemantauan kepatuhan berkelanjutan dan laporan otomatis membantu organisasi memenuhi standar seperti NERC CIP dan PCI DSS. Strategi untuk CISO Industri CISO dapat mengambil langkah-langkah berikut untuk meningkatkan kematangan keamanan siber: Konsolidasi Alat Keamanan Gunakan platform terpadu seperti Forescout untuk mengurangi kompleksitas dan meningkatkan visibilitas lintas domain IT, OT, dan IoT. Modernisasi Sistem Warisan Terapkan pendekatan bertahap untuk memodernisasi perangkat OT, dengan fokus pada segmentasi jaringan dan penemuan aset. Tingkatkan Telemetri Perluas sumber data untuk analitik keamanan guna meningkatkan akurasi deteksi ancaman. Otomatisasi Alur Kerja Gunakan otomatisasi untuk mempercepat respons ancaman dan mengurangi ketergantungan pada proses manual. Latih Tim dan Bangun Tata Kelola Investasikan dalam pelatihan keamanan siber dan buat model tata kelola dengan KPI yang terukur untuk mendukung investasi strategis. Manfaat Solusi Forescout Mengadopsi solusi Forescout memberikan manfaat berikut: Visibilitas Komprehensif Identifikasi semua perangkat terhubung untuk menghilangkan blind spots dan meningkatkan deteksi ancaman. Respons Cepat Otomatisasi dan analitik real-time mempercepat remediasi, mengurangi risiko operasional. Kepatuhan Regulasi Laporan otomatis memastikan kepatuhan dengan standar industri tanpa hambatan. Skalabilitas Forescout mendukung lingkungan kompleks, termasuk cloud, hibrida, atau air-gapped. Efisiensi Operasional Konsolidasi alat dan otomatisasi mengurangi beban kerja tim keamanan, memungkinkan fokus pada strategi jangka panjang. Penutup Studi Global Industrial Cybersecurity Benchmark 2025 menegaskan bahwa kematangan keamanan siber industri masih tertinggal, dengan banyak organisasi berjuang melawan visibilitas terbatas, waktu remediasi yang lama, dan fragmentasi alat. Dalam lingkungan yang semakin terhubung dan dihadapkan pada ancaman seperti ransomware dan serangan rantai pasok, CISO industri harus bertindak cepat untuk memperkuat pertahanan mereka. Forescout menawarkan solusi dengan visibilitas tanpa agen, segmentasi adaptif, dan otomatisasi respons untuk mengatasi tantangan ini, memungkinkan organisasi melindungi aset kritis tanpa mengorbankan operasi. Dengan mengadopsi pendekatan terpadu dan strategis, CISO dapat meningkatkan kematangan keamanan siber dan menjaga ketahanan bisnis di tengah lanskap ancaman yang dinamis. Jangan biarkan kelemahan keamanan siber membahayakan operasi industri Anda. Mulailah dengan mengevaluasi kematangan keamanan OT dan IoT Anda, lalu jelajahi bagaimana Forescout dapat memberikan visibilitas dan kontrol yang Anda butuhkan. Kunjungi forescout.ilogoindonesia.id untuk mempelajari lebih lanjut tentang solusi keamanan siber mereka atau hubungi tim Forescout untuk demo gratis. Ambil langkah…

Pendahuluan Pernahkah Anda membayangkan bahwa sebuah aquarium di lobi kasino bisa menjadi pintu masuk bagi peretas untuk mencuri data sensitif? Insiden fish tank hack pada tahun 2017 menunjukkan betapa rentannya perangkat Internet of Things (IoT) dan Operational Technology (OT) yang terhubung ke jaringan. Dengan meningkatnya digitalisasi di lingkungan industri, rumah sakit, dan infrastruktur kritis, visibilitas jaringan yang terbatas menjadi celah keamanan yang signifikan. Forescout, bekerja sama dengan Keysight, menawarkan solusi untuk menutup celah ini melalui visibilitas jaringan yang komprehensif dan deteksi ancaman canggih. Artikel ini mengulas insiden fish tank hack, tantangan keamanan IoT dan OT, serta bagaimana integrasi Forescout dan Keysight membantu organisasi melindungi aset mereka dari ancaman siber. Insiden Fish Tank Hack: Pelajaran dari Masa Lalu Pada tahun 2017, sebuah kasino di Amerika Utara menjadi korban serangan siber yang tidak biasa. Peretas memanfaatkan termometer pintar di aquarium yang terhubung ke jaringan untuk mendapatkan akses awal. Dari perangkat IoT ini, mereka bergerak lateral melalui jaringan, mencuri 10 GB data sensitif, termasuk informasi pelanggan. Insiden ini, yang dikenal sebagai fish tank hack, menyoroti dua masalah utama: Kurangnya Visibilitas: Banyak organisasi tidak memiliki peta lengkap perangkat yang terhubung, termasuk perangkat IoT seperti termometer pintar. Kelemahan Kontrol Akses: Perangkat IoT sering kali tidak diamankan dengan benar, menjadi pintu masuk bagi penyerang. Menurut Forescout, insiden seperti ini semakin umum seiring bertambahnya perangkat IoT dan OT di jaringan perusahaan, rumah sakit, dan infrastruktur kritis. Tanpa visibilitas dan kontrol yang memadai, organisasi rentan terhadap serangan seperti ransomware, pencurian data, atau gangguan operasional. Tantangan Keamanan IoT dan OT Lingkungan IoT dan OT menghadirkan tantangan keamanan yang unik: Ledakan Perangkat Terhubung Jumlah perangkat IoT dan OT, seperti sensor, kamera, dan sistem kontrol industri, meningkat pesat. Studi Forescout Vedere Labs mencatat bahwa perangkat IoT di sektor manufaktur saja melonjak 71% pada 2024. Sistem Warisan Banyak perangkat OT menggunakan sistem warisan (legacy systems) yang tidak dirancang untuk keamanan modern, sulit diperbarui, atau tidak mendukung agen keamanan (agent-based monitoring). Kurangnya Visibilitas Jaringan Organisasi sering kali tidak mengetahui semua perangkat yang terhubung, menciptakan blind spots yang dieksploitasi penyerang. Kompleksitas Jaringan Lingkungan hibrida yang menggabungkan IT, OT, IoT, dan Internet of Medical Things (IoMT) sulit dipantau tanpa solusi terpadu. Ancaman yang Berkembang Serangan seperti RansomHub dan kelompok peretas seperti Scattered Spider semakin menargetkan sistem OT, memanfaatkan kerentanan seperti mis-konfigurasi cloud atau kelemahan rantai pasok. Solusi Forescout dan Keysight Integrasi Forescout dan Keysight menawarkan pendekatan komprehensif untuk mengatasi tantangan ini, dengan fokus pada visibilitas jaringan, deteksi ancaman, dan respons otomatis: Visibilitas Jaringan Tanpa Agen Forescout Platform menggunakan teknik penemuan aktif dan pasif untuk mengidentifikasi semua perangkat terhubung—IT, OT, IoT, dan IoMT—tanpa memerlukan agen. Ini penting untuk perangkat warisan yang tidak mendukung instalasi agen. Deep Packet Inspection (DPI) Sensor eyeInspect Forescout melakukan deep packet inspection untuk menginventarisasi aset dan memeriksa keamanan perangkat OT, termasuk sistem warisan. Pengumpulan Data oleh Keysight Network Packet Brokers (NPB) Keysight mengumpulkan dan memproses lalu lintas jaringan dari berbagai titik akses, menghilangkan blind spots dan memastikan data yang andal untuk analisis Forescout. Segmentasi Jaringan Adaptif Forescout eyeSegment memungkinkan segmentasi jaringan dinamis untuk membatasi akses hanya pada lalu lintas yang sah, mengurangi permukaan serangan (attack surface). Deteksi dan Respons Ancaman Otomatis Forescout eyeAlert menggunakan analitik berbasis AI untuk mendeteksi anomali, seperti akses tidak biasa atau transfer data mencurigakan, dan mengotomatiskan respons seperti isolasi perangkat. Integrasi Ekosistem Forescout berbagi data konteks dengan alat keamanan lain, seperti SIEM (Splunk) atau firewall, untuk mempercepat respons insiden. Keysight NPB mengoptimalkan lalu lintas untuk memastikan efisiensi pemantauan. Manfaat Integrasi Forescout dan Keysight Integrasi ini memberikan manfaat berikut: Visibilitas Komprehensif Mengidentifikasi setiap perangkat terhubung, termasuk IoT seperti termometer pintar, untuk menghilangkan blind spots. Deteksi Ancaman Cepat Analitik AI dan DPI mendeteksi ancaman seperti ransomware atau eksfiltrasi data secara real-time. Efisiensi Operasional Mengurangi kebutuhan server mandiri dengan menjalankan agen eyeInspect pada packet brokers Keysight, menurunkan biaya. Kepatuhan Regulasi Mendukung standar seperti NIST, PCI DSS, dan HIPAA dengan laporan otomatis dan pemantauan kepatuhan berkelanjutan. Skalabilitas Mendukung lingkungan kompleks, dari cloud hingga air-gapped, dengan hingga 2 juta perangkat dikelola melalui eyeManage. Strategi untuk CISO CISO dapat mengambil langkah-langkah berikut untuk mencegah serangan seperti fish tank hack: Lakukan Inventarisasi Aset Gunakan Forescout untuk membuat inventarisasi lengkap perangkat IT, OT, IoT, dan IoMT. Terapkan Segmentasi Jaringan Gunakan eyeSegment untuk membatasi akses perangkat ke zona jaringan tertentu. Pantau Lalu Lintas Jaringan Manfaatkan packet brokers Keysight untuk memastikan semua lalu lintas dipantau tanpa bottleneck. Otomatisasi Respons Ancaman Gunakan eyeAlert untuk mendeteksi dan mengisolasi ancaman secara otomatis, mempercepat waktu remediasi. Integrasikan dengan Ekosistem Keamanan Hubungkan Forescout dengan alat seperti SIEM atau firewall untuk respons terkoordinasi. Penyesuaian untuk Format Word Untuk memastikan artikel ini rapi saat disalin ke Microsoft Word dengan format justify: Daftar Terstruktur: Daftar seperti “Manfaat Integrasi” dan “Strategi untuk CISO” menggunakan format bernomor untuk mencegah pelebaran teks saat justified. Di Word, Anda dapat mengonversi daftar ini ke tabel (2 kolom: “No.” dan “Deskripsi”) untuk tampilan lebih rapi. Perataan Teks: Salin teks ke Word, blok semua (Ctrl+A), lalu pilih Justify pada tab Home. Untuk daftar bernomor, gunakan perataan kiri (left align) agar nomor tidak bergeser. Spasi dan Font: Atur spasi baris ke 1,15 atau 1,5 pada Line and Paragraph Spacing, dan gunakan font seperti Times New Roman 12 pt. Tambahkan spasi 6 pt sebelum dan sesudah paragraf untuk konsistensi. Tabel untuk Daftar Panjang: Jika menambahkan daftar seperti domain Scattered Spider dari artikel sebelumnya, masukkan ke tabel dengan lebar kolom otomatis (AutoFit to Contents) untuk mencegah pelebaran. Penutup Insiden fish tank hack adalah pengingat bahwa perangkat IoT dan OT yang tampak sepele dapat menjadi pintu masuk bagi serangan siber yang merusak. Dengan meningkatnya jumlah perangkat terhubung dan ancaman seperti ransomware yang menargetkan sistem OT, organisasi harus memprioritaskan visibilitas dan kontrol jaringan. Integrasi Forescout dan Keysight menawarkan solusi kuat dengan visibilitas tanpa agen, deep packet inspection, dan respons ancaman otomatis, memungkinkan organisasi melindungi aset kritis tanpa mengorbankan operasi. Dengan langkah strategis seperti inventarisasi aset, segmentasi jaringan, dan otomatisasi, CISO dapat menutup celah keamanan dan membangun ketahanan siber di era digital yang kompleks. Jangan biarkan perangkat seperti aquarium pintar meretas organisasi Anda. Mulailah dengan mengevaluasi visibilitas jaringan…

Pendahuluan Di tengah lanskap ancaman siber yang semakin kompleks, pendekatan tradisional terhadap keamanan jaringan tidak lagi memadai. Organisasi kini beralih ke arsitektur Zero Trust (ZTA) untuk memastikan keamanan data dan infrastruktur mereka. Zero Trust adalah model keamanan yang mengasumsikan tidak ada entitas—baik di dalam maupun di luar jaringan—yang dapat dipercaya secara default, sehingga memerlukan verifikasi ketat untuk setiap akses. National Institute of Standards and Technology (NIST) melalui dokumen SP 1800-35 memberikan panduan komprehensif tentang penerapan ZTA, dengan fokus pada transisi dari visibilitas ke kontrol. Artikel ini, berdasarkan wawasan dari Forescout, akan mengupas esensi panduan NIST 1800-35, evolusi ZTA, dan bagaimana organisasi dapat menerapkannya untuk meningkatkan keamanan siber. Apa Itu Arsitektur Zero Trust (ZTA)? Arsitektur Zero Trust adalah pendekatan keamanan siber yang berlandaskan prinsip “jangan pernah percaya, selalu verifikasi.” Dalam model ini, setiap pengguna, perangkat, atau aplikasi yang mencoba mengakses sumber daya jaringan harus diverifikasi secara terus-menerus, terlepas dari lokasi atau status mereka. ZTA bertujuan untuk mengurangi risiko pelanggaran data dengan membatasi akses hanya kepada entitas yang telah diautentikasi dan diotorisasi, serta memantau aktivitas secara real-time. Dokumen NIST SP 1800-35, yang berjudul “Implementing a Zero Trust Architecture,” menyediakan panduan praktis untuk menerapkan ZTA dalam lingkungan organisasi. Panduan ini menyoroti pentingnya visibilitas jaringan sebagai langkah awal, diikuti oleh kontrol akses yang ketat, untuk membangun sistem keamanan yang tangguh. Inti Panduan NIST 1800-35 Panduan NIST 1800-35 menekankan bahwa penerapan ZTA adalah proses bertahap yang berfokus pada tiga pilar utama: visibilitas, kontrol, dan otomatisasi. Berikut adalah poin-poin kunci dari panduan ini: Visibilitas Jaringan yang Komprehensif Langkah pertama dalam ZTA adalah memahami semua perangkat, pengguna, dan aplikasi yang terhubung ke jaringan. Tanpa visibilitas menyeluruh, organisasi tidak dapat mengidentifikasi potensi ancaman atau kerentanan. NIST merekomendasikan penggunaan alat seperti network discovery dan asset management untuk memetakan jaringan secara real-time. Kontrol Akses Berbasis Kebijakan Setelah visibilitas tercapai, organisasi harus menerapkan kebijakan akses yang ketat berdasarkan prinsip least privilege—hanya memberikan akses yang diperlukan untuk menyelesaikan tugas tertentu. Ini mencakup autentikasi multifaktor (MFA), segmentasi jaringan, dan pemeriksaan identitas berkelanjutan. Otomatisasi untuk Respons Cepat ZTA mengandalkan otomatisasi untuk mendeteksi ancaman, memberlakukan kebijakan, dan merespons insiden secara real-time. Teknologi seperti kecerdasan buatan (AI) dan pembelajaran mesin (machine learning) digunakan untuk menganalisis perilaku jaringan dan mengambil tindakan korektif secara otomatis. Integrasi dengan Infrastruktur yang Ada Panduan NIST menekankan bahwa ZTA harus diintegrasikan dengan alat keamanan yang sudah ada, seperti firewall, SIEM (Security Information and Event Management), dan solusi DNS protektif, untuk menciptakan ekosistem keamanan yang kohesif. Contoh Penerapan ZTA dari NIST 1800-35 Panduan NIST 1800-35 menyertakan beberapa contoh penerapan ZTA dalam skenario dunia nyata: Lingkungan Perusahaan Hibrid Dalam lingkungan hibrid yang mencakup jaringan lokal dan cloud, ZTA diterapkan dengan memetakan semua perangkat, termasuk IoT dan perangkat BYOD (Bring Your Own Device). Solusi seperti Forescout eyeExtend digunakan untuk memberikan visibilitas dan memberlakukan kebijakan akses berbasis peran. Infrastruktur Kritis Untuk sektor seperti energi atau kesehatan, ZTA membantu melindungi sistem kontrol industri (ICS) dengan segmentasi jaringan dan pemantauan berkelanjutan untuk mencegah akses tidak sah. Akses Jarak Jauh Dalam skenario kerja jarak jauh, ZTA memastikan bahwa karyawan yang menggunakan VPN atau aplikasi cloud diverifikasi melalui MFA dan dipantau untuk aktivitas mencurigakan. Manfaat ZTA Berdasarkan Panduan NIST Penerapan ZTA sesuai panduan NIST menawarkan sejumlah manfaat: Pengurangan Risiko Pelanggaran Data Dengan verifikasi ketat dan segmentasi jaringan, ZTA meminimalkan risiko akses tidak sah atau penyebaran ancaman seperti ransomware. Visibilitas yang Lebih Baik Pemetaan jaringan yang komprehensif memungkinkan organisasi untuk mengidentifikasi perangkat yang tidak dikenal atau rentan, seperti perangkat IoT yang sering diabaikan. Respons Ancaman yang Cepat Otomatisasi dalam ZTA memungkinkan deteksi dan respons cepat terhadap ancaman, mengurangi waktu yang dibutuhkan untuk menangani insiden. Kepatuhan terhadap Regulasi ZTA membantu organisasi mematuhi standar keamanan seperti GDPR, HIPAA, atau ISO 27001 dengan memastikan kontrol akses yang ketat dan dokumentasi aktivitas jaringan. Tantangan dalam Menerapkan ZTA Meskipun menjanjikan, penerapan ZTA menghadapi beberapa tantangan: Kompleksitas Implementasi Menerapkan ZTA memerlukan perubahan besar dalam infrastruktur dan proses TI, yang dapat memakan waktu dan sumber daya. Biaya Awal Investasi dalam alat seperti network discovery, AI, dan otomatisasi bisa mahal, meskipun manfaat jangka panjang sering kali melebihi biaya ini. Kekurangan Keahlian Banyak organisasi kekurangan tenaga ahli untuk mengelola ZTA, sehingga memerlukan pelatihan atau kerja sama dengan penyedia solusi seperti Forescout. Peran Forescout dalam Mendukung ZTA Forescout, sebagai pemimpin dalam solusi keamanan jaringan, memainkan peran kunci dalam membantu organisasi menerapkan ZTA sesuai panduan NIST 1800-35. Platform Forescout eyeExtend menyediakan visibilitas menyeluruh terhadap semua perangkat di jaringan, termasuk perangkat IoT, OT (Operational Technology), dan BYOD. Dengan kemampuan untuk mengklasifikasikan perangkat, memantau perilaku, dan memberlakukan kebijakan akses secara otomatis, Forescout memungkinkan organisasi untuk bertransisi dari visibilitas ke kontrol dengan mulus. Selain itu, integrasi dengan alat seperti SIEM dan solusi DNS protektif, seperti Infoblox BloxOne Threat Defense, meningkatkan efektivitas ZTA dalam mencegah ancaman. Ajakan Bertindak Arsitektur Zero Trust adalah langkah penting untuk melindungi organisasi dari ancaman siber modern. Mulailah dengan mengevaluasi infrastruktur jaringan Anda dan manfaatkan panduan NIST 1800-35 untuk merancang strategi ZTA yang efektif. Kunjungi www.forescout.com untuk mempelajari lebih lanjut tentang solusi Forescout eyeExtend atau hubungi tim Forescout untuk konsultasi tentang penerapan ZTA di organisasi Anda. Penutup Panduan NIST 1800-35 memberikan kerangka kerja yang jelas untuk membangun arsitektur Zero Trust yang tangguh, dengan fokus pada visibilitas, kontrol, dan otomatisasi. Dengan bantuan solusi seperti Forescout eyeExtend, organisasi dapat mengatasi kompleksitas lingkungan TI modern dan melindungi diri dari ancaman siber yang terus berkembang. ZTA bukan sekadar tren, tetapi kebutuhan mendesak untuk menjaga keamanan data dan infrastruktur di era digital. Ambil langkah sekarang untuk menerapkan ZTA dan wujudkan jaringan yang lebih aman dan terpercaya. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout Indonesia menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Pendahuluan Di era digital yang penuh ancaman, ransomware telah menjadi salah satu bentuk serangan siber yang paling merusak, mengancam organisasi di berbagai sektor dengan kerugian finansial dan reputasi yang signifikan. Salah satu kelompok ransomware paling terkenal, LockBit, baru-baru ini menjadi sorotan karena kebocoran data internal mereka yang mengungkap operasi layanan ransomware mereka. Kebocoran ini memberikan wawasan mendalam tentang bagaimana kelompok kriminal siber menjalankan operasi mereka, mulai dari infrastruktur teknis hingga model bisnis berbasis Ransomware-as-a-Service (RaaS). Artikel ini, berdasarkan laporan dari Forescout, akan mengupas kebocoran LockBit, mengungkap cara kerja layanan ransomware, dampaknya, dan langkah-langkah yang dapat diambil organisasi untuk melindungi diri dari ancaman serupa. Apa Itu LockBit dan Kebocoran Datanya? LockBit adalah kelompok ransomware yang beroperasi menggunakan model Ransomware-as-a-Service (RaaS), di mana pengembang ransomware menyediakan perangkat lunak berbahaya kepada afiliasi yang kemudian menyerang target untuk mendapatkan keuntungan. LockBit dikenal karena serangannya yang canggih, menargetkan organisasi di berbagai industri, termasuk kesehatan, pendidikan, dan infrastruktur kritis. Pada tahun 2022, kebocoran data internal LockBit—diduga akibat konflik internal atau serangan balasan—mengungkapkan detail operasional mereka, termasuk kode sumber, komunikasi internal, dan daftar target. Kebocoran ini, yang dianalisis oleh tim riset Forescout, memberikan gambaran langka tentang cara kerja kelompok ransomware. LockBit menggunakan infrastruktur canggih yang mencakup server command-and-control (C2), alat pengujian penetrasi (penetration testing), dan platform komunikasi untuk mengoordinasikan serangan. Kebocoran ini juga mengungkapkan bagaimana LockBit merekrut afiliasi, mengelola pembayaran tebusan, dan memanfaatkan kerentanan seperti zero-day exploits untuk menyusup ke sistem target. Cara Kerja Layanan Ransomware LockBit LockBit menjalankan operasinya dengan pendekatan yang sangat terorganisasi, mirip dengan bisnis sah. Berikut adalah beberapa aspek utama dari operasi mereka yang terungkap dari kebocoran: Model Ransomware-as-a-Service (RaaS) LockBit menyediakan platform yang memungkinkan afiliasi—peretas independen atau kelompok kecil—untuk menggunakan alat ransomware mereka dengan imbalan bagi hasil. Pengembang LockBit mengambil persentase dari tebusan yang dibayarkan korban, sementara afiliasi bertanggung jawab atas pelaksanaan serangan. Eksploitasi Kerentanan LockBit sering memanfaatkan kerentanan pada perangkat lunak populer, seperti Microsoft Exchange Server atau VPN, untuk mendapatkan akses awal ke jaringan target. Mereka juga menggunakan teknik seperti phishing dan brute force untuk mencuri kredensial. Enkripsi dan Pemerasan Ganda Setelah menyusup, LockBit mengenkripsi data korban dan menuntut tebusan untuk kunci dekripsi. Selain itu, mereka menerapkan strategi pemerasan ganda (double extortion), di mana data yang dicuri juga diancam akan dipublikasikan atau dijual jika tebusan tidak dibayar. Infrastruktur Tersembunyi LockBit menggunakan jaringan server C2 yang di-hosting di dark web untuk mengelola serangan dan komunikasi. Kebocoran mengungkapkan bahwa mereka sering mengganti domain dan alamat IP untuk menghindari deteksi. Alat dan Dukungan Teknis LockBit menyediakan alat otomatis untuk afiliasi, seperti pembuat ransomware (builder) dan panel administrasi untuk melacak kemajuan serangan. Mereka bahkan menawarkan dukungan teknis untuk membantu afiliasi mengatasi masalah selama serangan. Dampak Kebocoran LockBit Kebocoran data LockBit memberikan dampak signifikan bagi komunitas keamanan siber dan pelaku ancaman itu sendiri: Wawasan bagi Peneliti Keamanan Data yang bocor memungkinkan peneliti, seperti tim Forescout, untuk memahami taktik, teknik, dan prosedur (TTP) LockBit. Ini membantu dalam pengembangan alat deteksi dan pencegahan yang lebih baik. Gangguan Operasional LockBit Kebocoran ini kemungkinan mengganggu operasi LockBit, karena afiliasi dan korban potensial menjadi lebih waspada terhadap taktik mereka. Namun, kelompok ini tetap aktif dan terus beradaptasi. Peningkatan Kesadaran Publik Kebocoran ini meningkatkan kesadaran tentang ancaman ransomware dan pentingnya perlindungan proaktif, mendorong organisasi untuk memperkuat keamanan jaringan mereka. Cara Melindungi Organisasi dari Ransomware Untuk melindungi diri dari ancaman seperti LockBit, organisasi dapat mengambil langkah-langkah berikut: Pemindaian dan Manajemen Kerentanan Lakukan pemindaian rutin untuk mengidentifikasi dan menambal kerentanan pada perangkat lunak dan sistem. Solusi seperti Forescout eyeExtend dapat memberikan visibilitas menyeluruh terhadap perangkat di jaringan. Segmentasi Jaringan Terapkan segmentasi jaringan untuk membatasi penyebaran ransomware jika terjadi pelanggaran. Ini memastikan bahwa perangkat yang terinfeksi tidak dapat mengakses seluruh jaringan. Pelatihan Kesadaran Keamanan Latih karyawan untuk mengenali email phishing dan menghindari tautan atau lampiran mencurigakan, yang sering menjadi pintu masuk bagi ransomware. Cadangan Data yang Aman Simpan cadangan data secara teratur di lokasi yang terisolasi dari jaringan utama. Pastikan cadangan dapat dipulihkan dengan cepat untuk meminimalkan gangguan. Gunakan Solusi Keamanan Berbasis AI Solusi seperti Forescout eyeExtend atau Infoblox BloxOne Threat Defense dapat mendeteksi dan memblokir ancaman secara real-time, termasuk kueri DNS ke domain berbahaya yang digunakan oleh kelompok seperti LockBit. Peran Forescout dalam Memerangi Ransomware Forescout, sebagai penyedia solusi keamanan jaringan terkemuka, memainkan peran penting dalam melindungi organisasi dari ancaman ransomware. Platform Forescout eyeExtend memberikan visibilitas menyeluruh terhadap semua perangkat yang terhubung ke jaringan, memungkinkan deteksi dini terhadap aktivitas mencurigakan. Dengan integrasi AI dan pembelajaran mesin, Forescout dapat mengidentifikasi pola ancaman, mengisolasi perangkat yang terinfeksi, dan mencegah penyebaran ransomware. Analisis Forescout terhadap kebocoran LockBit juga membantu organisasi memahami TTP kelompok ransomware dan mengembangkan strategi pertahanan yang lebih efektif. Ajakan Bertindak Ancaman ransomware seperti LockBit menunjukkan perlunya pendekatan keamanan siber yang proaktif dan canggih. Lindungi organisasi Anda dengan mengevaluasi infrastruktur jaringan, menerapkan solusi keamanan berbasis AI, dan meningkatkan kesadaran keamanan di kalangan karyawan. Penutup Kebocoran data LockBit telah membuka tabir tentang operasi layanan ransomware modern, mengungkapkan tingkat kecanggihan dan organisasi yang digunakan oleh pelaku ancaman. Namun, kebocoran ini juga memberikan peluang bagi organisasi untuk memperkuat pertahanan mereka dengan memanfaatkan wawasan dari penelitian Forescout. Dengan mengadopsi solusi keamanan canggih, seperti Forescout eyeExtend, dan menerapkan praktik keamanan terbaik, organisasi dapat melindungi diri dari ancaman ransomware dan menjaga keamanan data mereka. Ambil langkah sekarang untuk memperkuat pertahanan siber Anda dan hadapi ancaman digital dengan percaya diri. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout Indonesia menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Pendahuluan Di era digital yang penuh dengan ancaman siber yang terus berkembang, organisasi menghadapi tantangan besar untuk melindungi infrastruktur teknologi informasi mereka. Serangan siber seperti ransomware, phishing, dan eksploitasi kerentanan semakin canggih, mendorong kebutuhan akan solusi keamanan yang lebih proaktif dan adaptif. Salah satu inovasi terbaru yang menjanjikan revolusi dalam keamanan siber adalah arsitektur penyembuhan diri (self-healing architecture). Konsep ini memungkinkan sistem untuk secara otomatis mendeteksi, merespons, dan memulihkan diri dari ancaman tanpa memerlukan intervensi manusia secara ekstensif. Artikel ini akan mengupas apa itu arsitektur penyembuhan diri, bagaimana cara kerjanya, manfaatnya, dan mengapa ini menjadi lompatan besar berikutnya dalam keamanan siber, berdasarkan wawasan dari Forescout, penyedia solusi keamanan jaringan terkemuka. Apa Itu Arsitektur Penyembuhan Diri? Arsitektur penyembuhan diri adalah pendekatan keamanan siber yang memungkinkan sistem TI untuk secara otonom mengidentifikasi ancaman, mengisolasi masalah, dan memulihkan operasi normal tanpa campur tangan manusia. Berbeda dengan sistem keamanan tradisional yang bergantung pada deteksi dan respons manual, arsitektur ini menggunakan teknologi seperti kecerdasan buatan (AI), pembelajaran mesin (machine learning), dan otomatisasi untuk menciptakan lingkungan yang tangguh dan adaptif. Konsep ini terinspirasi dari sistem biologis, seperti tubuh manusia yang dapat mendeteksi luka, menghentikan pendarahan, dan menyembuhkan diri sendiri. Dalam konteks keamanan siber, arsitektur penyembuhan diri bekerja dengan memantau jaringan secara real-time, mendeteksi anomali, dan mengambil tindakan korektif, seperti mengisolasi perangkat yang terinfeksi, memperbarui perangkat lunak, atau memulihkan data dari cadangan (backup). Pendekatan ini sangat relevan di lingkungan TI modern yang kompleks, termasuk jaringan hibrid, multi-cloud, dan ekosistem Internet of Things (IoT). Bagaimana Arsitektur Penyembuhan Diri Bekerja? Arsitektur penyembuhan diri beroperasi melalui beberapa tahap utama: Pemantauan dan Deteksi Sistem menggunakan AI dan pembelajaran mesin untuk memantau lalu lintas jaringan, perilaku perangkat, dan aktivitas pengguna secara terus-menerus. Algoritma cerdas dapat mengidentifikasi anomali, seperti pola lalu lintas yang tidak biasa atau upaya login yang mencurigakan. Respons Otomatis Setelah ancaman terdeteksi, sistem secara otomatis mengambil tindakan untuk mengurangi dampaknya. Misalnya, perangkat yang terinfeksi dapat diisolasi dari jaringan, atau alamat IP berbahaya dapat diblokir melalui firewall. Pemulihan Mandiri Setelah ancaman dinetralisir, sistem memulai proses pemulihan, seperti memulihkan data dari cadangan, memperbarui perangkat lunak yang rentan, atau mengembalikan konfigurasi jaringan ke keadaan aman. Pembelajaran dan Adaptasi Arsitektur penyembuhan diri terus belajar dari setiap insiden untuk meningkatkan kemampuan deteksi dan respons di masa depan. Ini memungkinkan sistem untuk beradaptasi dengan ancaman baru, termasuk serangan zero-day. Manfaat Arsitektur Penyembuhan Diri Adopsi arsitektur penyembuhan diri menawarkan sejumlah manfaat signifikan bagi organisasi: Respons yang Lebih Cepat terhadap Ancaman Dengan kemampuan untuk mendeteksi dan merespons ancaman dalam hitungan detik, arsitektur penyembuhan diri mengurangi waktu respons yang kritis, meminimalkan kerusakan akibat serangan siber. Mengurangi Ketergantungan pada Intervensi Manusia Otomatisasi dalam arsitektur ini mengurangi kebutuhan akan intervensi manual, yang sering kali lambat dan rentan terhadap kesalahan manusia. Hal ini memungkinkan tim keamanan untuk fokus pada strategi jangka panjang. Peningkatan Ketahanan Jaringan Dengan kemampuan untuk memulihkan diri secara otomatis, sistem dapat tetap beroperasi meskipun menghadapi serangan, memastikan kontinuitas bisnis. Skalabilitas untuk Lingkungan Kompleks Arsitektur penySuchuhan diri dapat diterapkan di berbagai lingkungan, termasuk jaringan perusahaan, IoT, dan lingkungan multiinitas multi-cloud, menjadikannya solusi yang fleksibel untuk organisasi besar. Penghematan Biaya Dengan mencegah pelanggaran data yang mahal dan mengurangi kebutuhan akan sumber daya manusia tambahan, arsitektur ini dapat menghemat biaya operasional dalam jangka panjang. Tantangan dalam Mengadopsi Arsitektur Penyembuhan Diri Meskipun menjanjikan, adopsi arsitektur penyembuhan diri menghadapi beberapa tantangan: Biaya Implementasi Awal Penerapan sistem ini memerlukan investasi dalam perangkat lunak, perangkat keras, dan pelatihan. Namun, penghematan jangka panjang dari pencegahan pelanggaran sering kali melebihi biaya awal. Kompleksitas Integrasi Mengintegrasikan arsitektur penyembuhan diri dengan infrastruktur TI yang ada dapat menjadi tantangan, terutama di lingkungan yang menggunakan teknologi lama (legacy systems). Kepatuhan terhadap Regulasi Organisasi harus memastikan bahwa sistem penyembuhan diri mematuhi regulasi keamanan data, seperti GDPR atau UU Perlindungan Data Pribadi, terutama dalam hal pengelolaan data sensitif. Risiko Ketergantungan Berlebih Ketergantungan yang berlebihan pada sistem otomatis dapat menimbulkan risiko jika sistem gagal mendeteksi ancaman tertentu. Pendekatan hibrid yang menggabungkan otomatisasi dengan pengawasan manusia tetap diperlukan. Implementasi Arsitektur Penyembuhan Diri Untuk menerapkan arsitektur penyembuhan diri secara efektif, organisasi dapat mengikuti langkah-langkah berikut: Penilaian Infrastruktur Lakukan audit menyeluruh terhadap infrastruktur TI untuk mengidentifikasi titik lemah dan kebutuhan keamanan. Pilih Solusi yang Tepat Pilih platform keamanan berbasis AI yang mendukung kemampuan penyembuhan diri, seperti solusi dari Forescout, yang menawarkan visibilitas jaringan dan otomatisasi respons ancaman. Integrasi dengan Alat Keamanan Lain Pastikan sistem terintegrasi dengan alat seperti firewall, SIEM, atau solusi DNS protektif, seperti Infoblox BloxOne Threat Defense, untuk perlindungan menyeluruh. Pelatihan dan Pemantauan Latih tim keamanan untuk mengelola dan memantau sistem, serta lakukan pembaruan rutin untuk menjaga efektivitasnya. Peran Forescout dalam Arsitektur Penyembuhan Diri Forescout, sebagai pemimpin dalam solusi keamanan jaringan, menawarkan platform seperti Forescout eyeExtend yang mendukung arsitektur penyembuhan diri. Solusi ini memberikan visibilitas menyeluruh terhadap perangkat di jaringan, mendeteksi ancaman secara real-time, dan mengotomatiskan respons seperti isolasi perangkat atau pembaruan kebijakan keamanan. Dengan integrasi AI dan pembelajaran mesin, Forescout membantu organisasi membangun jaringan yang tangguh dan adaptif terhadap ancaman siber modern. Ajakan Bertindak Arsitektur penyembuhan diri adalah langkah maju dalam keamanan siber, menawarkan solusi proaktif untuk melindungi jaringan dari ancaman yang terus berkembang. Mulailah dengan mengevaluasi kebutuhan keamanan organisasi Anda dan jelajahi solusi dari Forescout untuk membangun infrastruktur yang lebih aman. Kunjungi www.forescout.com untuk informasi lebih lanjut tentang platform keamanan berbasis AI atau hubungi tim Forescout untuk konsultasi keamanan jaringan. Penutup Arsitektur penyembuhan diri mewakili masa depan keamanan siber dengan kemampuan untuk mendeteksi, merespons, dan memulihkan ancaman secara otomatis. Dengan mengadopsi pendekatan ini, organisasi dapat meningkatkan ketahanan jaringan, mengurangi risiko pelanggaran data, dan menjaga kontinuitas bisnis di tengah lanskap ancaman yang semakin kompleks. Solusi dari penyedia seperti Forescout memungkinkan organisasi untuk tetap selangkah di depan pelaku ancaman. Ambil tindakan sekarang untuk memperkuat pertahanan digital Anda dengan arsitektur penyembuhan diri dan hadapi masa depan dengan percaya diri. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout Indonesia menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Pendahuluan Sistem tenaga surya telah menjadi komponen penting dalam jaringan listrik global, terutama di Amerika Serikat dan Eropa, dengan kapasitas surya Eropa mencapai sekitar 270 GW pada 2024. Namun, seiring pertumbuhan adopsi energi terbarukan, keamanan siber sering kali menjadi pertimbangan sekunder, menciptakan risiko signifikan terhadap stabilitas jaringan listrik dan privasi pengguna. Blog dari Forescout Vedere Labs, diterbitkan pada 3 Juni 2025, menyoroti bahaya sistem tenaga surya dengan antarmuka manajemen yang terekspos ke internet. Menggunakan mesin pencari Shodan, peneliti Forescout mengidentifikasi sekitar 35.000 perangkat surya yang dapat diakses secara publik, termasuk inverter, pelacak data, dan monitor, dari 42 vendor berbeda. Artikel ini membahas temuan tersebut, risiko yang terkait, indikator kompromi (Indicators of Compromise, IoCs), dan rekomendasi mitigasi untuk melindungi infrastruktur energi kritis dari ancaman siber seperti botnet dan serangan terkoordinasi. Temuan Utama: Perangkat Surya yang Terekspos Penelitian Forescout mengungkapkan bahwa 35.000 perangkat tenaga surya dengan antarmuka manajemen yang terekspos ke internet tersebar di seluruh dunia, dengan distribusi geografis yang signifikan: Eropa sebagai Pusat Eksposur: 76% perangkat terekspos berada di Eropa, dengan Jerman dan Yunani masing-masing menyumbang sekitar 20% dari total. Asia menyumbang 17%, sedangkan wilayah lain hanya 8%. Vendor dan Perangkat Teratas: Perangkat yang paling banyak terekspos berasal dari vendor seperti SMA Solar Technology (12.000+ perangkat, terutama SMA Sunny WebBox dengan 10.953 unit), Fronius International (4.000 inverter), Solare Datensysteme (3.000 SolarLog), Contec (2.000 SolarView Compact), dan Sungrow (2.000 WiNet dan Logger1000). Pertumbuhan Eksposur Contec SolarView Compact: Perangkat ini mengalami peningkatan eksposur sebesar 350% dalam dua tahun, dari 600 unit pada 2023 menjadi hampir 3.000 pada 2025, menyumbang 8% dari total perangkat terekspos. Penelitian sebelumnya, seperti laporan SUN:DOWN Forescout pada Maret 2025, mengidentifikasi 46 kerentanan baru pada sistem surya dari Sungrow, Growatt, dan SMA, dengan 80% kerentanan dalam tiga tahun terakhir diklasifikasikan sebagai berseverity tinggi atau kritis (skor CVSS 9.8–10). Meskipun kerentanan SUN:DOWN dieksploitasi melalui sistem manajemen berbasis cloud, antarmuka manajemen yang terekspos ke internet tetap menjadi vektor serangan yang signifikan, berfungsi sebagai titik masuk ke jaringan sensitif. Risiko Keamanan Perangkat surya yang terekspos ke internet menimbulkan beberapa risiko serius: Eksploitasi oleh Botnet: Perangkat seperti Contec SolarView Compact rentan terhadap kerentanan seperti CVE-2022-29303 (injeksi perintah) dan CVE-2023-29919 (masalah izin tidak aman), yang telah dieksploitasi secara aktif oleh operator botnet. Di Jepang, 800 unit SolarView Compact diretas pada 2024 untuk pencurian rekening bank. Akses Awal ke Jaringan Sensitif: Meskipun dampak langsung pada jaringan listrik lebih kecil dibandingkan perangkat yang dikelola melalui cloud, perangkat terekspos dapat menjadi titik masuk awal untuk menyerang infrastruktur kritis, seperti yang dicatat oleh Forescout. Stabilitas Jaringan Listrik: Inverter modern tidak memiliki inersia mekanis seperti turbin tradisional, membuat jaringan lebih rentan terhadap gangguan jika inverter diretas secara terkoordinasi. Insiden pemadaman listrik di Semenanjung Iberia pada 2024, meskipun bukan serangan siber, menunjukkan potensi kekacauan—bandara terhenti, kereta terdampar, dan sistem pembayaran digital lumpuh—jika kerentanan dieksploitasi. Privasi Pengguna: Kerentanan seperti Insecure Direct Object Reference (IDOR) dan Cross-Site Scripting (XSS) dapat mengekspos data pengguna, termasuk email, alamat fisik, dan pola konsumsi energi, melanggar regulasi seperti GDPR. Kekhawatiran Geopolitik: Lebih dari 53% produsen inverter surya berbasis di Tiongkok, memicu kekhawatiran keamanan nasional, terutama setelah laporan Reuters pada Mei 2025 tentang perangkat komunikasi mencurigakan dalam inverter buatan Tiongkok. Forescout juga mengidentifikasi 43 alamat IP yang menargetkan perangkat ini dalam setahun terakhir, sebagian besar terkait dengan operasi botnet atau pemindaian kerentanan, dengan 21% terdaftar di Singapura, 16% di Jerman, dan 14% di Belanda. Sembilan alamat adalah Tor exit nodes. Indikator Kompromi (IoCs) Forescout mencatat beberapa IoC yang terkait dengan eksploitasi perangkat surya, termasuk: Alamat IP Berbahaya: 43 alamat IP unik, sebagian besar terkait dengan botnet atau pemindaian otomatis, menargetkan perangkat seperti SolarView Compact. Versi Firmware Usang: 60% perangkat SolarView Compact menjalankan versi firmware 4.00–4.04, 28% versi 3.01–3.12, dan 12% di bawah 3.00, tanpa satupun menggunakan versi terbaru (8.20). Kerentanan yang Dieksploitasi: CVE-2022-29303, CVE-2022-40881, CVE-2023-23333, dan CVE-2023-29919 adalah kerentanan aktif yang memungkinkan akses sistem penuh. Rekomendasi Mitigasi Forescout memberikan rekomendasi praktis untuk mengurangi risiko: Hindari Eksposur Internet: Jangan ekspos antarmuka manajemen inverter ke internet. Jika akses jarak jauh diperlukan, gunakan VPN sesuai pedoman CISA. Perbarui Firmware dan Tambal Kerentanan: Tambal perangkat secepat mungkin dan pertimbangkan untuk memensiunkan perangkat yang tidak dapat diperbarui, seperti SMA Sunny WebBox yang dihentikan pada 2015 tetapi masih menyumbang 33% eksposur. Segmentasi Jaringan: Pisahkan perangkat surya ke sub-jaringan terisolasi dengan pemantauan berkelanjutan, sesuai pedoman NIST untuk keamanan siber inverter pintar. Lakukan Penilaian Risiko: Lakukan audit rutin terhadap perangkat surya untuk mengidentifikasi konfigurasi salah dan kerentanan, terutama pada instalasi komersial dan industri. Patuhi Standar Keamanan: Ikuti standar seperti ETSI EN 303 645, Radio Equipment Directive (RED), dan Cyber Resilience Act (CRA) untuk audit pihak ketiga terhadap tautan komunikasi. Konteks Lanskap Ancaman Lanskap ancaman siber terhadap infrastruktur energi terus berkembang. Laporan SOCRadar mencatat bahwa 70% serangan phishing pada 2024 memanfaatkan kit Phishing-as-a-Service, menyoroti pentingnya keamanan perangkat IoT seperti inverter surya. Operasi Operation Secure INTERPOL pada 2025 menonaktifkan 20.000 IP dan domain berbahaya, menunjukkan skala ancaman global. Insiden seperti serangan Volt Typhoon Tiongkok, yang menargetkan infrastruktur kritis AS selama 300 hari, menggarisbawahi urgensi melindungi perangkat surya dari aktor negara. Dengan tiga insiden siber besar pada 2024 yang mengeksploitasi sistem surya, FBI mengeluarkan peringatan industri pada Juli 2024 tentang ancaman terhadap sumber energi terbarukan. Kesimpulan Sistem tenaga surya yang terekspos ke internet, dengan 35.000 perangkat dari 42 vendor diidentifikasi oleh Forescout, menimbulkan risiko signifikan terhadap stabilitas jaringan listrik, privasi pengguna, dan keamanan nasional. Perangkat seperti SMA Sunny WebBox dan Contec SolarView Compact, yang menjalankan firmware usang dan rentan terhadap eksploitasi botnet, menjadi titik lemah dalam ekosistem energi terbarukan. Meskipun kerentanan SUN:DOWN menargetkan sistem berbasis cloud, antarmuka manajemen yang terekspos tetap menjadi vektor serangan kritis, terutama di Eropa yang mendominasi eksposur global. Rekomendasi Forescout—menghindari eksposur internet, memperbarui firmware, segmentasi jaringan, dan mematuhi standar keamanan—memberikan peta jalan untuk mitigasi. Di tengah ancaman siber yang meningkat, termasuk serangan yang disponsori negara dan eksploitasi botnet, keamanan siber sistem surya harus menjadi prioritas utama. Kolaborasi antara vendor, operator, dan regulator, didukung oleh alat seperti Forescout eyeInspect dan eyeFocus, akan memastikan infrastruktur energi terbarukan tetap tangguh terhadap ancaman siber, mendukung transisi global menuju…

Pendahuluan Sektor manufaktur menghadapi gelombang ancaman siber yang semakin intens, didorong oleh digitalisasi, konvergensi teknologi informasi (TI) dan teknologi operasional (OT), serta meningkatnya kompleksitas lanskap ancaman. Laporan Forescout Vedere Labs 2024 Threat Roundup mencatat bahwa manufaktur adalah salah satu sektor infrastruktur kritis yang paling sering diserang, dengan peningkatan 71% jumlah pelaku ancaman (threat actors) yang menargetkan sektor ini antara 2023 dan 2024. Blog ini menyoroti ancaman utama yang dihadapi industri manufaktur, tren terkini dalam taktik, teknik, dan prosedur (TTP) pelaku ancaman, serta rekomendasi strategis untuk mempersiapkan organisasi menghadapi risiko siber di masa depan. Ancaman Siber di Sektor Manufaktur Industri manufaktur, yang mencakup berbagai subsektor seperti otomotif, elektronik, bahan kimia, dan mesin berat, secara konsisten menjadi target utama kelompok ransomware dan pelaku ancaman lainnya. Pada 2024, RansomHub menjadi pelaku ransomware paling aktif, mengklaim 78 korban manufaktur global dan bertanggung jawab atas pencurian data besar-besaran. Selain ransomware, ancaman lain seperti pelanggaran data, serangan berbasis geopolitik, dan eksploitasi rantai pasok juga signifikan. Forescout mengidentifikasi 29 pelaku ancaman aktif di sektor manufaktur antara 2024 dan Q1 2025, yang terdiri dari: Kelompok Kriminal Siber: Berfokus pada keuntungan finansial melalui ransomware seperti RansomHub, Black Basta, dan RA World. Kelompok Haktivis: Seperti Handala, Kill Security, CyberVolk, dan Cyber Army of Russia Reborn, yang melakukan serangan disruptif terhadap sistem OT, sering kali terkait konflik geopolitik. Aktor Negara: Termasuk APT28, Volt Typhoon, dan Emperor Dragonfly, yang menargetkan lingkungan OT/ICS untuk spionase atau gangguan operasional. Analisis terhadap 17 insiden menunjukkan bahwa pelaku ancaman menggunakan TTP seperti spearphishing, eksploitasi aplikasi publik, alat pemantauan jarak jauh yang sah, dan teknik living-off-the-land (LOTL) untuk mempertahankan akses dan menghindari deteksi. Tren Ancaman di Manufaktur Laporan Forescout mengungkapkan beberapa tren utama dalam lanskap ancaman manufaktur pada 2024 dan Q1 2025: Ransomware Multi-Platform: Ransomware kini menargetkan sistem Windows, Linux, dan ESXi secara standar, meningkatkan dampak operasional. Penggunaan Alat Kustom dan LOTL: Pelaku seperti Black Basta menggunakan alat kustom (misalnya, BRUTED) dan backdoor seperti Betruger dari RansomHub, dikombinasikan dengan teknik LOTL untuk menghindari deteksi. Penargetan OT yang Meningkat: Pemahaman pelaku ancaman terhadap lingkungan OT meningkat, menyebabkan lebih banyak serangan terhadap sistem kontrol industri (ICS) dan perangkat OT. Serangan Berbasis Geopolitik: Haktivis dan aktor negara menggunakan taktik mirip ransomware untuk mengganggu operasi, terutama di subsektor manufaktur kritis. Eksploitasi Konfigurasi Cloud: Dengan adopsi teknologi cloud yang meningkat, serangan yang memanfaatkan kesalahan konfigurasi cloud menjadi lebih umum. Forescout memprediksi bahwa tren ini akan berlanjut, dengan volume serangan yang lebih tinggi, fokus pada OT, dan serangan yang dipengaruhi geopolitik. Selain itu, adopsi teknologi baru seperti digital twins, Industrial Internet of Things (IIoT), 5G, dan AI membawa implikasi keamanan baru, memperluas permukaan serangan. Taktik, Teknik, dan Prosedur (TTP) Umum Berdasarkan analisis insiden, TTP yang sering digunakan oleh pelaku ancaman meliputi: Akses Awal: Spearphishing tetap menjadi teknik akses awal yang dominan, diikuti oleh eksploitasi aplikasi publik dan perangkat yang menghadap internet. Eksekusi: Penggunaan tugas terjadwal (scheduled tasks) untuk menjalankan muatan berbahaya. Penemuan (Discovery): Penemuan sistem/pengguna untuk mengidentifikasi aset kritis. Persisten: Penggunaan alat pemantauan jarak jauh yang sah untuk mempertahankan akses. Eksploitasi: Pergeseran dari penyembunyi malware (obfuscators) ke alat bypass EDR (Endpoint Detection and Response). Protokol OT seperti Modbus (40% serangan), Ethernet/IP (28%), dan Step7, DNP3, serta BACnet (masing-masing sekitar 8%) menjadi target utama, menunjukkan meningkatnya serangan terhadap otomatisasi industri dan bangunan. Rekomendasi Persiapan dan Mitigasi Forescout merekomendasikan pendekatan proaktif untuk memperkuat keamanan siber di sektor manufaktur, dengan fokus pada tiga pilar strategis: manajemen risiko dan eksposur, keamanan jaringan, serta deteksi dan respons ancaman. Langkah-langkah spesifik meliputi: Inventarisasi dan Penguatan Aset: Identifikasi dan amankan semua aset yang terhubung, terutama yang menghadap internet. Terapkan tambalan (patching) dan perkuat konfigurasi untuk mengurangi kerentanan. Meningkatkan Visibilitas dan Deteksi: Gunakan solusi pemantauan berbasis Deep Packet Inspection (DPI) yang mendukung OT/IoT untuk mendeteksi perilaku berbahaya. Pantau komunikasi internal untuk eksploitasi kerentanan, tebakan kata sandi, dan penggunaan protokol OT yang tidak sah. Segmentasi dan Deteksi di Batas TI/OT: Terapkan segmentasi jaringan untuk membatasi pergerakan lateral pelaku ancaman. Gunakan deteksi ancaman untuk mengidentifikasi aktivitas mencurigakan di batas TI/OT. Manajemen Risiko Rantai Pasok: Tetapkan persyaratan keamanan siber untuk penyedia pihak ketiga. Pantau akses teknisi pihak ketiga dan karyawan jarak jauh. Adopsi Arsitektur Zero Trust: Terapkan prinsip least-privilege dan verifikasi berkelanjutan untuk semua aset. Gunakan platform seperti Forescout untuk visibilitas dan kontrol otomatis. Otomatisasi Keamanan: Gunakan solusi seperti Forescout Platform untuk otomatisasi inventarisasi aset, penilaian risiko, dan respons ancaman, mengurangi beban manual. Dampak dan Pentingnya Keamanan Siber Sektor manufaktur menghadapi risiko operasional dan finansial yang signifikan akibat serangan siber. Gangguan terhadap sistem OT dapat menyebabkan downtime produksi, kerusakan peralatan, atau bahkan ancaman keselamatan. Laporan Forescout mencatat bahwa serangan ransomware di manufaktur sering kali menyebabkan pencurian data sensitif, yang dijual di pasar bawah tanah atau digunakan untuk pemerasan ganda (double extortion). Dengan 668% peningkatan insiden infrastruktur kritis sejak 2022, keamanan siber menjadi prioritas strategis untuk menjaga efisiensi, kepatuhan, dan ketahanan operasional. Studi Kasus dan Bukti Nyata Seorang Chief Information Security Officer dari perusahaan manufaktur Fortune 500 melaporkan bahwa penerapan Forescout Platform memberikan visibilitas jaringan yang belum pernah ada sebelumnya dalam waktu kurang dari tiga minggu. Data yang dihasilkan memungkinkan presentasi yang efektif kepada pimpinan dan mitra, meningkatkan investasi keamanan endpoint sebesar 30%. Di tempat lain, Ardentec, perusahaan manufaktur semikonduktor, menggunakan Forescout untuk meningkatkan visibilitas dan keamanan jaringan, mengurangi insiden kerentanan hingga 25% melalui segmentasi dan pemantauan proaktif. Masa Depan Keamanan Siber Manufaktur Dengan adopsi teknologi baru dan meningkatnya serangan terhadap OT, lanskap ancaman manufaktur diperkirakan akan semakin kompleks. Forescout memprediksi peningkatan serangan berbasis AI, eksploitasi rantai pasok, dan serangan terhadap perangkat perimeter seperti router dan VPN. Untuk menghadapi tantangan ini, organisasi harus mengadopsi solusi keamanan yang terintegrasi, seperti Forescout Platform, yang menawarkan visibilitas menyeluruh, otomatisasi, dan kemampuan deteksi ancaman yang canggih. Kolaborasi dengan mitra teknologi dan penegakan hukum juga penting untuk mengurangi dampak kejahatan siber global. Kesimpulan Sektor manufaktur berada di garis depan ancaman siber, dengan peningkatan 71% pelaku ancaman pada 2024 menyoroti urgensi keamanan siber yang kuat. Tren seperti ransomware multi-platform, penargetan OT, dan serangan berbasis geopolitik menuntut pendekatan proaktif yang menggabungkan visibilitas, segmentasi, dan otomatisasi. Forescout Platform memberikan solusi komprehensif untuk…

Pendahuluan Pada 21 Mei 2025, operasi penegakan hukum global yang melibatkan Europol, FBI, Microsoft, dan mitra lainnya berhasil mengganggu infrastruktur Lumma Stealer, salah satu malware pencuri informasi (infostealer) paling dominan di dunia. Operasi ini menargetkan lebih dari 2.300 domain berbahaya dan panel kontrol yang digunakan oleh Lumma, yang dikenal sebagai Malware-as-a-Service (MaaS) untuk mencuri kredensial, dompet kripto, dan data sensitif lainnya. Meskipun penutupan ini merupakan pukulan besar bagi ekosistem kejahatan siber, Forescout Vedere Labs memperingatkan bahwa ancaman infostealer tidak akan mereda. Blog ini menganalisis dampak penutupan Lumma, potensi kebangkitan Rhadamanthys sebagai pengganti, dan langkah-langkah mitigasi untuk melindungi organisasi dari ancaman serupa. Latar Belakang Lumma Stealer Lumma Stealer, juga dikenal sebagai LummaC2, pertama kali muncul pada akhir 2022 dan dengan cepat menjadi infostealer paling populer di kalangan pelaku kejahatan siber karena kemudahan penggunaan dan fitur canggihnya. Dijual melalui model berlangganan bulanan di forum bawah tanah dan Telegram dengan harga mulai dari $250 hingga $20.000, Lumma menargetkan kredensial browser, dompet kripto, dan ekstensi autentikasi dua faktor. Malware ini menggunakan teknik distribusi canggih seperti phishing, malvertising, dan ClickFix—kampanye yang memanfaatkan platform sah seperti Google Drive, GitHub, dan Discord untuk menyebarkan muatan berbahaya. Fitur teknis Lumma meliputi: Bypass AMSI: Mengelabui Anti-Malware Scan Interface untuk menghindari deteksi. Obfuskasi Alur Kode: Menyulitkan analisis oleh peneliti keamanan. Komunikasi C2 Terenkripsi: Menggunakan protokol WebSocket untuk komunikasi aman dengan server command-and-control (C2). Persisten melalui Modifikasi Registri: Memastikan malware tetap aktif setelah reboot sistem. DLL Sideloading: Menyisipkan kode berbahaya melalui file DLL yang sah. Namun, operasi penegakan hukum pada Mei 2025 berhasil menutup sebagian besar infrastruktur Lumma, termasuk 2.300 domain dan lebih dari 90 kanal Telegram serta profil Steam yang digunakan untuk distribusi dan penjualan data curian. Meskipun demikian, laporan dari Check Point Research menunjukkan bahwa server C2 yang dihosting di Rusia masih beroperasi, dan pengembang Lumma mengklaim telah memulihkan operasi mereka. Kebangkitan Rhadamanthys Dengan terganggunya Lumma, perhatian beralih ke Rhadamanthys, infostealer canggih yang pertama kali diidentifikasi pada 2022 dan kini berkembang pesat. Dijual dengan harga mulai dari $250 untuk lisensi 30 hari, Rhadamanthys menawarkan fitur inovatif seperti ekstraksi frasa benih (seed phrase) kripto menggunakan kecerdasan buatan (AI) berbasis pengenalan karakter optik (Optical Character Recognition/OCR). Versi 0.7.0, yang dirilis pada September 2024, memperkenalkan kemampuan untuk mengekstrak frasa benih dari gambar, menjadikannya ancaman serius bagi pengguna kripto. Rhadamanthys juga menggunakan teknik penghindaran deteksi seperti: Penyamaran MSI Installer: Menggunakan file Microsoft Software Installer yang dianggap sah untuk menghindari deteksi. Mekanisme Penundaan Re-Eksekusi: Menyimpan timestamp terenkripsi di Windows Registry untuk mencegah eksekusi ulang dalam jangka waktu tertentu. Komunikasi C2 Terenkripsi: Menggunakan protokol WebSocket dan steganografi untuk menyembunyikan data curian dalam file gambar JFIF. Rhadamanthys didistribusikan melalui phishing, iklan mesin pencari berbahaya (malvertising), dan perangkat lunak bajakan, sering kali menargetkan Amerika Utara dan Selatan. Pengembangnya, yang dikenal dengan alias “kingcrete2022”, tetap aktif di forum bawah tanah meskipun dilarang karena menargetkan entitas di Rusia dan bekas Uni Soviet. Dampak Penutupan Lumma dan Potensi Kebangkitan Rhadamanthys Penutupan Lumma menciptakan kekosongan di pasar infostealer, yang kemungkinan akan diisi oleh alternatif seperti Rhadamanthys atau Acreed, yang dilaporkan telah mengungguli pesaing seperti RedLine dan Vidar setelah penutupan Lumma. Data dari Russian Market menunjukkan bahwa Acreed bertanggung jawab atas lebih dari 4.000 log curian dalam minggu pertama pasca-penutupan, menandakan pergeseran cepat dalam ekosistem kejahatan siber. Namun, Rhadamanthys menonjol karena fitur AI-nya dan kemampuan penyamaran yang canggih, menjadikannya kandidat kuat untuk menggantikan Lumma. Meskipun penutupan Lumma memberikan dampak operasional dan finansial bagi pelaku kejahatan, laporan menunjukkan bahwa pengembang Lumma berupaya membangun kembali infrastruktur mereka. Taktik psikologis dari penegak hukum, seperti mempublikasikan pesan di kanal Telegram Lumma yang menyatakan bahwa admin dan afiliasi telah bekerja sama dengan pihak berwenang, bertujuan untuk menabur ketidakpercayaan di antara pelaku kejahatan. Namun, keberhasilan jangka panjang penutupan ini bergantung pada kerusakan reputasi Lumma, bukan hanya gangguan teknis. Ancaman Infostealer yang Lebih Luas Infostealer seperti Lumma dan Rhadamanthys merupakan ancaman besar karena kemampuan mereka untuk mencuri data sensitif seperti kredensial, dompet kripto, dan token sesi, yang kemudian dijual di pasar bawah tanah seperti Russian Market atau 2easy. Data curian ini sering digunakan untuk serangan lanjutan seperti ransomware, penipuan finansial, atau pelanggaran jaringan perusahaan. Laporan dari IBM X-Force mencatat peningkatan 12% dalam kredensial infostealer yang dijual di dark web pada 2024, dengan Lumma menjadi yang paling dominan sebelum penutupannya. Kampanye distribusi infostealer semakin canggih, menggunakan teknik seperti: Phishing Berbasis CAPTCHA Palsu: Mengelabui pengguna untuk mengunduh malware melalui situs CAPTCHA palsu. Perangkat Lunak Bajakan: Menyematkan malware dalam aplikasi seperti ChatGPT atau Vegas Pro. Malvertising: Menyuntikkan iklan berbahaya di hasil pencarian untuk perangkat lunak populer seperti Notepad++ atau Chrome. Organisasi di sektor seperti kesehatan, keuangan, dan pendidikan menjadi sasaran utama karena data sensitif yang mereka miliki. Misalnya, pelanggaran di CircleCI pada 2023 menunjukkan bagaimana infostealer dapat melewati MFA dengan mencuri token sesi browser. Strategi Mitigasi Forescout Vedere Labs merekomendasikan beberapa langkah untuk mengurangi ancaman infostealer: Terapkan MFA: Aktifkan autentikasi multi-faktor di semua sistem yang mendukungnya untuk mengurangi risiko pencurian kredensial. Pemantauan Endpoint: Aktifkan pencatatan endpoint untuk aktivitas proses, file, pengguna, jaringan, registri, driver, dan PowerShell. Pemantauan Jaringan: Gunakan pemantauan berkelanjutan untuk mendeteksi upaya autentikasi mencurigakan dan blokir domain tingkat atas (TLD) yang terkait dengan infrastruktur infostealer. Kontrol Keamanan Browser: Terapkan kontrol untuk melindungi terhadap pencurian kredensial melalui browser. Pelatihan Kesadaran Pengguna: Lakukan pelatihan rutin tentang teknik social engineering seperti phishing dan malvertising. Aturan Deteksi: Gunakan aturan Sigma, Snort, dan YARA untuk mendeteksi aktivitas Rhadamanthys, termasuk eksekusi file MSI dan mekanisme penundaan. Kesimpulan Penutupan Lumma Stealer pada Mei 2025 adalah langkah penting dalam memerangi kejahatan siber, tetapi ancaman infostealer tetap ada dengan munculnya alternatif seperti Rhadamanthys dan Acreed. Rhadamanthys, dengan fitur AI dan teknik penghindaran canggih, berpotensi mengisi kekosongan yang ditinggalkan Lumma, terutama karena kemampuannya menargetkan dompet kripto dan kredensial perusahaan. Organisasi harus memperkuat pertahanan mereka dengan MFA, pemantauan jaringan, dan pelatihan pengguna untuk menghadapi ancaman yang terus berkembang ini. Kolaborasi global antara penegak hukum dan perusahaan teknologi, seperti yang ditunjukkan dalam operasi terhadap Lumma, tetap penting untuk mengganggu ekosistem kejahatan siber dan melindungi data sensitif di seluruh dunia. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik,…

Pendahuluan Sektor kesehatan menghadapi ancaman siber yang semakin meningkat, dengan pelanggaran data menjadi salah satu tantangan terbesar. Blog ini menyoroti eskalasi ancaman pelanggaran data di industri kesehatan, yang diperparah oleh transformasi digital dan proliferasi perangkat yang terhubung, seperti peralatan medis Internet of Things (IoT). Pelanggaran data tidak hanya membahayakan informasi sensitif pasien, tetapi juga mengganggu operasi rumah sakit, merusak reputasi, dan menimbulkan biaya finansial yang signifikan. Forescout, penyedia solusi keamanan siber, menawarkan wawasan tentang tren pelanggaran data, dampaknya, dan strategi untuk memperkuat ketahanan siber di sektor kesehatan. Ancaman yang Meningkat di Sektor Kesehatan Pelanggaran data kesehatan telah meningkat secara signifikan dalam beberapa tahun terakhir. Menurut laporan Forescout Research – Vedere Labs, sektor kesehatan adalah target utama serangan siber, dengan lebih dari 3.000 pelanggaran besar yang dilaporkan di Amerika Serikat antara tahun 2009 dan 2023, yang memengaruhi lebih dari 400 juta individu. Pada tahun 2023 saja, terjadi 725 pelanggaran besar, naik 35% dari tahun sebelumnya, menjadikan sektor kesehatan sebagai sektor yang paling sering dilaporkan mengalami pelanggaran data di AS. Biaya rata-rata pelanggaran data di sektor kesehatan mencapai $10,93 juta, jauh lebih tinggi dibandingkan rata-rata global lintas industri sebesar $4,45 juta. Ancaman ini diperburuk oleh transformasi digital, yang telah memperluas permukaan serangan melalui adopsi perangkat IoT medis, sistem cloud, dan aplikasi telehealth. Perangkat IoT medis, seperti pompa infus dan monitor pasien, sering kali memiliki kerentanan keamanan, seperti kata sandi default atau perangkat lunak yang sudah usang, yang memudahkan penyerang untuk menyusup ke jaringan rumah sakit. Selain itu, serangan ransomware, seperti yang menargetkan vendor perangkat lunak kesehatan seperti Change Healthcare pada Februari 2024, telah menyebabkan gangguan besar, memengaruhi operasi penyedia layanan kesehatan di seluruh AS. Dampak Pelanggaran Data Kesehatan Pelanggaran data di sektor kesehatan memiliki konsekuensi yang luas, melampaui kerugian finansial. Dampak utama meliputi: Kompromi Data Pasien: Informasi kesehatan pribadi (Protected Health Information/PHI) yang dicuri, seperti catatan medis atau data asuransi, dapat digunakan untuk pencurian identitas, penipuan asuransi, atau pemerasan. Gangguan Operasional: Serangan ransomware dapat mengganggu akses ke sistem klinis, menunda prosedur medis, dan membahayakan keselamatan pasien. Kerugian Reputasi: Pelanggaran data merusak kepercayaan pasien dan mitra terhadap organisasi kesehatan. Sanksi Regulasi: Pelanggaran terhadap regulasi seperti HIPAA (Health Insurance Portability and Accountability Act) dapat mengakibatkan denda besar, dengan rata-rata $1,2 juta per pelanggaran pada tahun 2023. Biaya Remediasi: Organisasi harus mengeluarkan biaya untuk investigasi forensik, pemberitahuan pelanggaran, dan upaya pemulihan sistem. Contoh nyata adalah pelanggaran Change Healthcare pada Februari 2024, yang memengaruhi sepertiga penduduk AS, menunjukkan skala kerusakan yang dapat ditimbulkan oleh serangan terhadap infrastruktur kesehatan yang terhubung. Faktor Penyebab Kerentanan Blog ini mengidentifikasi beberapa faktor utama yang membuat sektor kesehatan rentan terhadap pelanggaran data: Proliferasi Perangkat IoT Medis: Rumah sakit rata-rata memiliki lebih dari 10 perangkat IoT per tempat tidur, banyak di antaranya menjalankan sistem operasi yang sudah usang atau memiliki kerentanan yang tidak ditambal. Lingkungan TI yang Kompleks: Sistem kesehatan sering kali merupakan gabungan dari infrastruktur lama (legacy) dan teknologi modern, yang sulit dikelola dan diamankan. Fokus pada Perawatan Pasien: Prioritas pada perawatan pasien sering kali mengorbankan investasi dalam keamanan siber, menyebabkan anggaran dan sumber daya yang terbatas untuk keamanan. Serangan yang Ditargetkan: Penyerang semakin menggunakan teknik canggih, seperti ransomware-as-a-service dan eksploitasi zero-day, untuk mengeksploitasi kelemahan di sektor kesehatan. Solusi dari Forescout Forescout menawarkan platform keamanan siber berbasis cloud yang dirancang untuk mengatasi tantangan unik di sektor kesehatan. Platform ini membantu organisasi kesehatan dengan: Visibilitas Jaringan yang Komprehensif: Forescout Continuum memberikan visibilitas real-time ke semua perangkat yang terhubung, termasuk perangkat IoT medis, perangkat TI tradisional, dan sistem operasional seperti HVAC. Klasifikasi dan Penilaian Risiko: Platform ini secara otomatis mengklasifikasikan perangkat, menilai risiko keamanan, dan mengidentifikasi kerentanan, seperti kata sandi default atau perangkat lunak yang sudah usang. Segmentasi Jaringan dan Kontrol Akses: Dengan menerapkan segmentasi berbasis Zero Trust, Forescout mencegah pergerakan lateral penyerang di dalam jaringan. Otomatisasi Respons terhadap Ancaman: Platform ini memungkinkan isolasi otomatis perangkat yang mencurigakan, mempercepat respons terhadap ancaman tanpa mengganggu operasi klinis. Kepatuhan terhadap Regulasi: Forescout membantu organisasi memenuhi persyaratan HIPAA, NIST, dan regulasi lainnya dengan menyediakan laporan kepatuhan dan visibilitas terhadap kontrol keamanan. Platform Forescout Continuum juga mendukung integrasi dengan alat keamanan lain, seperti firewall dan sistem manajemen informasi keamanan (SIEM), untuk meningkatkan efisiensi operasional dan respons ancaman. Studi Kasus dan Dampak Nyata Forescout telah membantu berbagai organisasi kesehatan di seluruh dunia untuk memperkuat keamanan siber mereka. Contohnya, sistem rumah sakit besar yang menggunakan Forescout Continuum berhasil mengidentifikasi dan mengisolasi perangkat IoT yang rentan dalam hitungan menit, mencegah potensi serangan ransomware. Selain itu, platform ini membantu organisasi kesehatan mengurangi waktu yang dihabiskan untuk audit kepatuhan dengan menyediakan laporan otomatis tentang status keamanan perangkat dan jaringan. Strategi untuk Meningkatkan Ketahanan Siber Blog ini merekomendasikan beberapa langkah strategis untuk organisasi kesehatan guna menghadapi ancaman pelanggaran data: Berinvestasi dalam Visibilitas: Memastikan visibilitas penuh ke semua perangkat yang terhubung untuk menghilangkan titik buta di jaringan. Menerapkan Zero Trust: Mengadopsi pendekatan keamanan berbasis Zero Trust untuk membatasi akses dan mencegah pergerakan lateral penyerang. Otomatisasi Keamanan: Menggunakan alat otomatisasi untuk mendeteksi, mengklasifikasikan, dan menanggapi ancaman secara real-time. Melatih Staf: Meningkatkan kesadaran keamanan siber di antara staf klinis dan non-klinis untuk mengurangi risiko kesalahan manusia, seperti serangan phishing. Memperbarui Sistem Lama: Secara proaktif menambal kerentanan pada perangkat dan sistem lama untuk mengurangi risiko eksploitasi. Implikasi untuk Masa Depan Dengan semakin banyaknya perangkat yang terhubung dan kompleksitas lingkungan TI kesehatan, ancaman siber akan terus berkembang. Organisasi kesehatan harus memprioritaskan keamanan siber sebagai bagian integral dari strategi operasional mereka untuk melindungi data pasien, menjaga kelangsungan layanan, dan memenuhi persyaratan regulasi. Solusi seperti Forescout Continuum memberikan fondasi yang kuat untuk membangun ketahanan siber, memungkinkan organisasi untuk tetap selangkah lebih maju dari penyerang. Kesimpulan Pelanggaran data kesehatan merupakan ancaman yang semakin kritis, dengan dampak yang meluas terhadap pasien, operasi, dan keuangan organisasi. Faktor seperti proliferasi perangkat IoT medis, lingkungan TI yang kompleks, dan serangan yang ditargetkan memperburuk kerentanan sektor ini. Forescout Continuum menawarkan solusi komprehensif dengan visibilitas jaringan, segmentasi berbasis Zero Trust, dan otomatisasi respons ancaman untuk membantu organisasi kesehatan melindungi infrastruktur kritis mereka. Dengan mengadopsi strategi proaktif dan memanfaatkan teknologi canggih, organisasi kesehatan dapat mengurangi risiko pelanggaran…

Pendahuluan: Ancaman terhadap Sistem SAP Sistem SAP adalah tulang punggung banyak organisasi di seluruh dunia, mengelola proses bisnis kritis seperti keuangan, logistik, dan rantai pasok. Namun, kerentanan kritis pada SAP NetWeaver Visual Composer, yang dikenal sebagai CVE-2025-31324, telah menjadi sasaran eksploitasi aktif di dunia nyata sejak akhir April 2025. Forescout Vedere Labs mengidentifikasi infrastruktur berbahaya yang kemungkinan besar dioperasikan oleh pelaku ancaman asal Tiongkok, yang mereka lacak sebagai Chaya_004. Kerentanan ini memungkinkan penyerang tanpa autentikasi untuk mengunggah web shell dan mendapatkan kendali penuh atas sistem yang rentan, mengancam sektor seperti manufaktur, energi, dan pemerintahan. Artikel ini merangkum temuan Forescout, taktik pelaku ancaman, dan langkah-langkah mitigasi untuk melindungi sistem SAP. Apa Itu CVE-2025-31324? CVE-2025-31324 adalah kerentanan deserialisasi kritis (skor CVSS 10.0) pada SAP NetWeaver Visual Composer 7.x, yang memungkinkan penyerang mengunggah file berbahaya, seperti web shell, melalui titik akhir “/developmentserver/metadatauploader” tanpa memerlukan autentikasi. Kerentanan ini pertama kali dilaporkan oleh ReliaQuest pada 22 April 2025, dengan SAP merilis tambalan darurat (emergency patch) pada 24 April 2025. Forescout mencatat aktivitas eksploitasi sejak 29 April 2025 melalui Adversary Engagement Environment (AEE) mereka, dan kerentanan ini ditambahkan ke katalog Known Exploited Vulnerabilities (KEV) CISA pada akhir April, dengan tenggat waktu mitigasi untuk instansi federal AS hingga 20 Mei 2025. Eksploitasi aktif terdeteksi di berbagai industri, terutama manufaktur, di mana sistem SAP yang dikompromikan dapat menyebabkan gangguan operasional dan kebocoran data sensitif. Forescout mengamati 13 alamat IP unik yang mencoba mengeksploitasi kerentanan ini di jaringan pelanggan, berasal dari penyedia hosting seperti Scaleway (AS12876) dan Contabo (AS51167), yang sering disalahgunakan oleh pelaku ancaman. Pelaku Ancaman: Chaya_004 Forescout melacak pelaku ancaman di balik eksploitasi ini sebagai Chaya_004, sebuah kelompok yang kemungkinan besar berbasis di Tiongkok berdasarkan infrastruktur dan alat yang digunakan. Infrastruktur berbahaya mereka dihosting di penyedia cloud Tiongkok seperti Alibaba, Tencent, dan Huawei, dengan alamat IP kunci (47.97.42.177) yang menampung web shell berbasis Go bernama SuperShell, dikembangkan oleh pembuat kode berbahasa Tiongkok “tdragon6”. Analisis lebih lanjut mengungkapkan bahwa IP ini juga memiliki sertifikat self-signed yang menyamar sebagai Cloudflare, menunjukkan upaya untuk menyamarkan aktivitas. Chaya_004 menggunakan berbagai alat, termasuk: SuperShell: Reverse shell berbasis Go untuk akses jarak jauh. Cobalt Strike: Kerangka kerja post-exploitation untuk pergerakan lateral. SoftEther VPN: Alat untuk membangun koneksi terenkripsi. Alat Penetrasi Berbahasa Tiongkok: Seperti NPS, Asset Reconnaissance Lighthouse (ARL), dan GO Simple Tunnel. Forescout juga menemukan file ELF bernama config pada IP yang sama, yang digunakan untuk mengoordinasikan serangan. Lebih dari 500 IP di 20 Autonomous System Numbers (ASN) dan 19 negara terkait infrastruktur ini, menunjukkan skala operasi yang luas. Menurut laporan, Chaya_004 telah mengkompromikan setidaknya 581 instansi SAP NetWeaver, termasuk infrastruktur kritis di AS, Inggris, dan Arab Saudi, dan berencana menargetkan 1.800 domain tambahan. Gelombang Serangan dan Dampak Eksploitasi CVE-2025-31324 terjadi dalam dua gelombang: Gelombang Pertama (Januari–April 2025): Penyerang awal, kemungkinan initial access broker, mengunggah web shell seperti helper.jsp dan cache.jsp. Onapsis mencatat aktivitas pengintaian (reconnaissance) sejak 20 Januari, dengan percobaan eksploitasi mulai 10 Februari. Mandiant melaporkan serangan sejak pertengahan Maret, menggunakan Brute Ratel C4 untuk post-exploitation. Gelombang Kedua (Pasca-April 2025): Penyerang oportunistik, termasuk Chaya_004, memanfaatkan web shell yang sudah ada untuk menyebarkan malware tambahan, seperti XMRig Coin Miner. Ransomware seperti BianLian dan RansomEXX juga terlibat, meskipun belum berhasil menyebarkan muatan (payload) ransomware. Dampaknya signifikan, dengan ratusan sistem SAP di seluruh dunia dikompromikan, terutama di sektor manufaktur, energi, dan utilitas. Kompromi ini dapat menyebabkan gangguan operasional, pencurian data, dan pergerakan lateral ke sistem Industrial Control System (ICS), meningkatkan risiko spionase atau sabotase. Taktik, Teknik, dan Prosedur (TTP) Chaya_004 menunjukkan keahlian dalam arsitektur SAP, menggunakan permintaan HTTP yang dirancang khusus untuk mengeksploitasi titik akhir metadatauploader. Setelah mendapatkan akses, mereka menyebarkan web shell untuk mempertahankan persistensi, diikuti oleh alat seperti SuperShell untuk kendali jarak jauh. Infrastruktur mereka mencakup lebih dari 500 IP, banyak di antaranya dihosting di penyedia cloud Tiongkok, dan menggunakan alat penetrasi berbahasa Tiongkok untuk pengintaian dan eskalasi hak akses. Beberapa serangan juga melibatkan Tor exit nodes dan VPS untuk menyamarkan aktivitas. Langkah Mitigasi Forescout dan sumber lain merekomendasikan langkah-langkah berikut untuk melindungi sistem SAP: Terapkan Tambalan Segera: SAP merilis tambalan untuk NetWeaver AS Java versi 7.50–7.52 pada April 2025. Organisasi harus segera memperbarui sistem mereka. Batasi Akses ke Titik Akhir: Gunakan firewall atau SAP Web Dispatcher untuk membatasi akses ke “/developmentserver/metadatauploader” hanya untuk admin yang berwenang. Nonaktifkan Visual Composer: Jika tidak diperlukan, nonaktifkan layanan Visual Composer untuk mengurangi permukaan serangan. Pantau Aktivitas Mencurigakan: Terapkan pemantauan waktu nyata untuk mendeteksi akses atau perubahan di luar jadwal pemeliharaan. Lakukan Penilaian Keamanan Reguler: Sertakan titik akhir SAP NetWeaver dalam pengujian penetrasi dan pemindaian kerentanan rutin. Gunakan Solusi Keamanan: Platform Forescout seperti OT/eyeInspect, eyeFocus, dan eyeAlert telah diperbarui dengan logika deteksi untuk web shell dan permintaan POST berbahaya, diintegrasikan dengan intelijen ancaman dari Vedere Labs, Onapsis, dan Red Canary. Respons Forescout dan Intelijen Ancaman Forescout dengan cepat menyebarkan tindakan balasan di seluruh portofolio produk mereka: OT/eyeInspect: Mendeteksi unggahan file mencurigakan dan eksekusi web shell JSP. eyeFocus: Memberikan konteks kerentanan SAP pada tingkat aset. eyeAlert: Mengaktifkan peringatan waktu nyata dan integrasi dengan platform SIEM/SOAR untuk respons otomatis. Indikator kompromi (IoC) seperti alamat IP (misalnya, 47.97.42.177) dan nama file web shell (helper.jsp, ssonkfrd.jsp) tersedia di umpan ancaman Vedere Labs. Organisasi juga dapat menggunakan pemindai sumber terbuka dari Mandiant dan Onapsis untuk mendeteksi IoC, meskipun hasil “bersih” tidak menjamin bebas dari intrusi karena penyerang canggih sering menghapus jejak mereka. Kesimpulan Kerentanan CVE-2025-31324 pada SAP NetWeaver Visual Composer adalah ancaman kritis yang dieksploitasi secara aktif oleh kelompok seperti Chaya_004, yang kemungkinan berbasis di Tiongkok. Dengan infrastruktur berbahaya yang luas dan alat canggih seperti SuperShell dan Cobalt Strike, pelaku ancaman ini telah mengkompromikan ratusan sistem SAP di seluruh dunia, menargetkan sektor kritis seperti manufaktur dan energi. Dampaknya melampaui gangguan operasional, dengan risiko spionase, pencurian data, dan pergerakan lateral ke sistem ICS. Organisasi harus segera menerapkan tambalan, membatasi akses, dan memantau aktivitas mencurigakan untuk mengurangi risiko. Dengan solusi seperti Forescout 4D Platform dan pedoman dari CISA, perusahaan dapat memperkuat pertahanan mereka terhadap ancaman siber yang terus berkembang ini. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai…