Category: blog

Pendahuluan: Pentingnya Keamanan untuk Manufaktur Amerika Industri manufaktur adalah tulang punggung ekonomi Amerika, menghasilkan produk senilai triliunan dolar setiap tahun. Namun, dengan semakin terhubungnya sistem Operational Technology (OT) dan Internet of Things (IoT), sektor ini menjadi sasaran empuk ancaman siber. Artikel Forescout ini menyoroti bagaimana kerentanan Common Vulnerabilities and Exposures (CVE) mengancam rantai pasok manufaktur Amerika, terutama di tengah inisiatif Made in America yang mendorong produksi dalam negeri. Laporan Forescout Vedere Labs 2024 mengungkapkan 1.614 kerentanan perangkat yang digunakan di manufaktur, dengan 23% di antaranya memiliki skor CVSS di atas 8.5, menandakan risiko kritis. Artikel ini menjelaskan mengapa keamanan CVE sangat penting untuk melindungi lantai pabrik dan mendukung keberlanjutan ekonomi AS. Ancaman terhadap Manufaktur Manufaktur Amerika menghadapi ancaman siber yang meningkat, didorong oleh digitalisasi dan konektivitas perangkat OT/IoT. Perangkat seperti Programmable Logic Controllers (PLC), Human-Machine Interfaces (HMI), dan sistem SCADA sering menggunakan firmware yang ketinggalan zaman atau memiliki kata sandi default, menjadikannya target empuk. Laporan Forescout mencatat bahwa 70% perangkat OT di manufaktur rentan terhadap eksploitasi jarak jauh, dengan 12% kerentanan terkait protokol yang sudah ketinggalan zaman seperti Telnet dan FTP. Serangan siber terhadap manufaktur dapat menyebabkan dampak besar, seperti: Gangguan Produksi: Penghentian operasi, seperti yang dialami Toyota pada 2022 akibat serangan siber terhadap pemasoknya, Kojima Industries, menyebabkan kerugian jutaan dolar. Pencurian Kekayaan Intelektual: Data desain produk atau proses manufaktur bisa dicuri untuk keuntungan kompetitif. Sabotase Fisik: Serangan terhadap sistem OT bisa merusak peralatan atau menyebabkan kecelakaan di lantai pabrik. Gangguan Rantai Pasok: Pelaku ancaman, termasuk yang disponsori negara, menargetkan pemasok kecil yang sering kali memiliki keamanan lemah. Pelaku ancaman seperti kelompok hacktivist atau aktor negara seperti Tiongkok dan Rusia memanfaatkan kerentanan CVE untuk spionase, sabotase, atau pemerasan melalui ransomware. Misalnya, serangan terhadap Colonial Pipeline pada 2021 menunjukkan bagaimana kerentanan di sistem OT dapat mengganggu infrastruktur kritis. Peran Keamanan CVE Common Vulnerabilities and Exposures (CVE) adalah sistem standar untuk mengidentifikasi dan mengkategorikan kerentanan perangkat lunak dan firmware. Setiap CVE memiliki skor CVSS yang menunjukkan tingkat keparahan, membantu organisasi memprioritaskan mitigasi. Namun, di manufaktur, banyak perangkat OT memiliki siklus hidup panjang (10–20 tahun), sehingga sulit untuk menerapkan tambalan (patch) secara rutin. Forescout menemukan bahwa 60% perangkat di manufaktur memiliki setidaknya satu CVE yang diketahui, dengan 23% di antaranya bersifat kritis (CVSS >8.5). Kerentanan ini sering dieksploitasi melalui: Akses Jarak Jauh: Protokol seperti RDP atau VNC yang tidak aman memungkinkan penyerang masuk tanpa autentikasi. Kredensial Lemah: Kata sandi default seperti “admin” atau “1234” masih umum di perangkat OT. Firmware Ketinggalan Zaman: Banyak perangkat menggunakan firmware yang tidak lagi didukung, meninggalkan kerentanan tanpa tambalan. Inisiatif Made in America, yang didukung oleh kebijakan seperti Build America, Buy America Act (2022), menekankan produksi dalam negeri, tetapi tanpa keamanan CVE yang memadai, upaya ini rentan terhadap serangan siber yang dapat melemahkan ekonomi. Taktik Pelaku Ancaman Pelaku ancaman, baik hacktivist maupun aktor negara, menggunakan berbagai taktik untuk mengeksploitasi kerentanan CVE: Phishing dan Malware: Email phishing menyebarkan malware seperti RAT (Remote Access Trojan) untuk mendapatkan akses awal. Eksploitasi Protokol Lama: Protokol seperti Modbus atau DNP3, yang umum di OT, sering memiliki kerentanan yang dieksploitasi untuk pergerakan lateral. Ransomware: Kelompok seperti LockBit menargetkan sistem OT untuk mengganggu produksi dan memeras korban. Spionase Industri: Aktor negara seperti Tiongkok menggunakan kerentanan untuk mencuri data sensitif, seperti yang terlihat dalam serangan terhadap sistem SAP (CVE-2025-31324). Laporan CISA mencatat bahwa aktor Tiongkok sering menargetkan sektor manufaktur untuk spionase ekonomi, sementara kelompok Rusia seperti Sandworm fokus pada sabotase infrastruktur kritis. Langkah Mitigasi Forescout merekomendasikan pendekatan berlapis untuk mengatasi ancaman CVE di manufaktur: Inventarisasi Aset: Gunakan solusi seperti Forescout 4D Platform untuk mengidentifikasi semua perangkat OT/IoT yang terhubung, termasuk yang tidak terkelola. Segmentasi Jaringan: Pisahkan jaringan IT dan OT untuk membatasi pergerakan lateral penyerang. Pastikan perangkat OT tidak terekspos langsung ke internet. Pemantauan Waktu Nyata: Terapkan alat seperti Forescout eyeInspect untuk mendeteksi anomali, seperti aktivitas protokol yang tidak biasa atau upaya eksploitasi. Manajemen Kerentanan: Prioritaskan tambalan untuk CVE kritis (CVSS >8.5) dan gunakan kontrol kompensasi seperti firewall jika tambalan tidak memungkinkan. Ganti Kredensial Default: Perbarui kata sandi default dan terapkan autentikasi multifaktor (MFA) untuk akses jarak jauh. Ikuti Pedoman Resmi: Terapkan rekomendasi dari NIST SP 800-82 untuk keamanan OT dan panduan CISA untuk mitigasi CVE. Forescout juga menyarankan untuk memantau dark web dan saluran hacktivist di Telegram untuk mendeteksi rencana serangan, serta melakukan pelatihan rutin untuk meningkatkan kesadaran keamanan di antara karyawan. Peran Forescout dalam Keamanan Forescout 4D Platform menawarkan visibilitas penuh ke dalam perangkat OT/IoT, dengan fitur seperti: eyeInspect: Memantau protokol OT seperti Modbus dan mendeteksi kerentanan spesifik. eyeFocus: Mengelompokkan perangkat berdasarkan risiko CVE untuk memprioritaskan mitigasi. eyeAlert: Memberikan peringatan waktu nyata untuk aktivitas mencurigakan, terintegrasi dengan SIEM/SOAR untuk respons otomatis. Platform ini mendukung kepatuhan terhadap regulasi seperti Build America, Buy America Act dengan memastikan rantai pasok aman dari ancaman siber. Forescout juga berkolaborasi dengan CISA dan NIST untuk menyediakan intelijen ancaman terkini, membantu organisasi tetap selangkah lebih maju. Dampak bagi Made in America Inisiatif Made in America bertujuan untuk memperkuat manufaktur dalam negeri, tetapi tanpa keamanan CVE yang kuat, sektor ini rentan terhadap gangguan yang dapat merusak kepercayaan investor dan konsumen. Serangan siber tidak hanya menyebabkan kerugian finansial, tetapi juga melemahkan daya saing global AS. Dengan melindungi sistem OT dari kerentanan CVE, perusahaan dapat mendukung keberlanjutan ekonomi dan menjaga integritas rantai pasok. Kesimpulan Kerentanan CVE adalah ancaman nyata bagi industri manufaktur Amerika, terutama di tengah dorongan Made in America. Dengan 1.614 kerentanan diidentifikasi pada 2024, sektor ini menghadapi risiko gangguan produksi, pencurian data, dan sabotase fisik. Pelaku ancaman, dari hacktivist hingga aktor negara, memanfaatkan firmware ketinggalan zaman dan protokol lemah untuk menyerang sistem OT. Forescout 4D Platform menawarkan solusi dengan visibilitas penuh, pemantauan waktu nyata, dan manajemen kerentanan yang efektif. Dengan menerapkan tambalan, segmentasi jaringan, dan pemantauan proaktif, organisasi dapat melindungi lantai pabrik mereka, mendukung inisiatif Made in America, dan menjaga keamanan rantai pasok di era digital yang penuh ancaman. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari…

Pendahuluan: Hacktivisme Berbasis Geopolitik Bayangkan sekelompok peretas yang tampaknya berjuang untuk ideologi, tapi di belakang layar didukung oleh pemerintah untuk kepentingan strategis. Inilah realitas hacktivisme yang disponsori negara (state-sponsored hacktivism), tren yang kian meningkat di tengah konflik geopolitik seperti Rusia-Ukraina dan Israel-Palestina. Laporan Forescout berjudul The Rise of State-Sponsored Hacktivism menganalisis 780 serangan hacktivist pada 2024 oleh empat kelompok utama: BlackJack, Handala Group, Indian Cyber Force, dan NoName057(16). Serangan ini menargetkan infrastruktur kritis seperti pemerintahan, transportasi, dan keuangan, dengan Distributed Denial of Service (DDoS) sebagai metode utama. Artikel ini menjelaskan bagaimana hacktivisme telah berevolusi dari aksi ideologis menjadi alat perang siber, serta langkah-langkah untuk melindungi organisasi dari ancaman ini. Evolusi Hacktivisme Sejak 2022, Forescout Research – Vedere Labs melacak kelompok hacktivist yang selaras dengan kepentingan negara. Awalnya, serangan mereka berfokus pada website defacement (perusakan situs web) dan DDoS, tapi kini taktik mereka jauh lebih canggih, termasuk pelanggaran data (data breaches) dan gangguan sistem siber-fisik pada infrastruktur kritis. Pada 2024, keempat kelompok ini—BlackJack (Ukraina), Handala Group (Iran), Indian Cyber Force (India), dan NoName057(16) (Rusia)—bertanggung jawab atas 780 serangan di 40 negara, dengan Ukraina sebagai target utama. NoName057(16) mendominasi dengan 90% serangan, terutama melalui kampanye DDoS skala besar terhadap organisasi di Ukraina dan negara pendukungnya. Faktor seperti visibilitas kampanye yang tinggi dan plausible deniability (kemampuan menyangkal keterlibatan) membuat negara menggunakan hacktivist sebagai proksi. Misalnya, CyberAv3ngers (diduga terkait militer Iran) dan Cyber Army of Russia (terkait Sandworm dari GRU Rusia) menyerang fasilitas air di AS, menyamarkan operasi mereka sebagai hacktivisme. Fenomena faketivism juga muncul, di mana agen pemerintah menyamar sebagai kelompok hacktivist independen untuk memajukan narasi politik, seperti Predatory Sparrow (diduga terkait Israel) atau Karma Power (terkait Iran). Target dan Taktik Infrastruktur kritis adalah sasaran utama, dengan 21% serangan menargetkan sektor transportasi dan logistik (pelabuhan, bandara, kereta api) dan 13% mengganggu layanan keuangan (bank, sistem pembayaran). Sektor lain seperti telekomunikasi, energi, dan manufaktur juga termasuk dalam enam besar. Eropa menyumbang 82% serangan, dengan Ukraina, Israel, dan Spanyol sebagai negara paling terdampak, mencerminkan ketegangan geopolitik. Taktik kelompok ini bervariasi: NoName057(16) (Rusia): Fokus pada DDoS skala besar untuk mengganggu situs web di negara pendukung Ukraina. BlackJack (Ukraina): Menyerang perusahaan Rusia dengan pelanggaran basis data, pencurian data sensitif, dan penghapusan rekaman. Handala Group (Iran): Menargetkan organisasi Israel dengan phishing, ransomware, perusakan situs web, dan pemerasan, menggunakan Telegram untuk publisitas. Indian Cyber Force (India): Menyerang infrastruktur kritis di negara yang menentang pandangan pro-India dan pro-Israel, aktif di media sosial seperti X dan Telegram. Selain DDoS (90% serangan), perusakan situs web dan pencurian data juga umum, dengan sebagian kecil serangan menggunakan malware untuk mengganggu perangkat IoT atau sistem Operational Technology (OT). Dampak dan Risiko Serangan hacktivist ini bukan sekadar gangguan kecil. Dengan menargetkan infrastruktur kritis, seperti utilitas air, rumah sakit, atau sistem transportasi, kelompok ini mengganggu kehidupan sehari-hari dan merusak kepercayaan publik. Di AS, setidaknya 36 serangan antara November 2023 dan April 2024 menargetkan sistem OT/ICS, terutama utilitas air, dengan pelaku seperti CyberAv3ngers dan Cyber Army of Russia. Faketivism memperumit atribusi, membuat sulit membedakan antara hacktivist independen dan operasi negara. Ini memungkinkan negara menyangkal keterlibatan sambil memperluas dampak serangan melalui manipulasi opini publik. Dengan meningkatnya akses ke alat serangan siber, seperti malware kustom atau eksploitasi IoT/OT, bahkan hacktivist dengan keahlian teknis rendah bisa menyebabkan kerusakan besar. Forescout memprediksi bahwa pada 2025, serangan akan semakin menargetkan sistem IoT dan OT, memanfaatkan kerentanan seperti kredensial lemah atau perangkat yang terhubung ke internet tanpa perlindungan. Langkah Mitigasi Untuk melawan ancaman ini, Forescout merekomendasikan pendekatan berlapis: Perkuat Infrastruktur: Identifikasi semua perangkat yang terhubung, ganti kata sandi default, nonaktifkan layanan yang tidak digunakan, dan perbarui kerentanan (patching). Segmentasi Jaringan: Pisahkan sistem IT, IoT, dan OT untuk membatasi penyebaran serangan. Hindari paparan langsung perangkat ke internet, kecuali untuk router atau firewall. Gunakan MFA: Terapkan autentikasi multifaktor untuk mencegah penyalahgunaan kredensial curian. Pantau Aktivitas Hacktivist: Lacak saluran Telegram, X, atau forum dark web untuk mendeteksi rencana serangan. Tingkatkan Visibilitas: Gunakan solusi seperti Forescout 4D Platform untuk memantau perangkat terkelola dan tidak terkelola, memberikan intelijen aset secara real-time. Ikuti Pedoman Resmi: Terapkan panduan NCSC-UK untuk DDoS atau NIST untuk keamanan OT/ICS. Organisasi juga harus bersiap untuk serangan informasi (information warfare), di mana hacktivist memanipulasi opini publik melalui kebocoran data atau perusakan situs web. Solusi seperti Forescout eyeInspect dan eyeFocus dapat membantu mendeteksi kerentanan dan mengelola risiko di lingkungan OT dan IoT. Prediksi untuk 2025 Forescout memprediksi bahwa hacktivisme yang disponsori negara akan meningkat pada 2025, terutama di zona konflik seperti China-Taiwan. Kelompok hacktivist akan terus berevolusi, menggunakan identitas baru atau terpecah untuk menghindari deteksi. Serangan terhadap IoT dan OT akan semakin umum, memanfaatkan kerentanan seperti firmware yang ketinggalan zaman atau kurangnya segmentasi jaringan. Organisasi yang tidak memiliki visibilitas penuh ke infrastruktur mereka akan sangat rentan. Kesimpulan Hacktivisme yang disponsori negara telah berubah dari aksi simbolis menjadi ancaman serius terhadap infrastruktur kritis. Dengan 780 serangan pada 2024, kelompok seperti NoName057(16) dan Handala Group menunjukkan bagaimana negara menggunakan hacktivist sebagai proksi untuk mencapai tujuan strategis. Infrastruktur seperti transportasi dan keuangan menjadi sasaran utama, dengan dampak yang mengganggu kehidupan sehari-hari dan kepercayaan publik. Organisasi harus bertindak proaktif dengan memperkuat pertahanan, menerapkan segmentasi jaringan, dan memantau aktivitas hacktivist. Dengan solusi seperti Forescout 4D Platform dan pedoman dari badan seperti NIST, perusahaan dapat mengurangi risiko dan tetap selangkah lebih maju dari ancaman siber yang terus berkembang ini. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di  forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Sumber Energi Terbarukan: Solar Power Systems dan Risiko Baru terhadap Keamanan Jaringan Listrik Sumber energi terbarukan, termasuk sistem tenaga surya, kini menjadi elemen penting dalam jaringan listrik di seluruh dunia—khususnya di Amerika Serikat dan Eropa. Namun, keamanan siber untuk sistem ini sering kali menjadi perhatian sekunder, menciptakan risiko yang meningkat terhadap keamanan, stabilitas, dan ketersediaan jaringan listrik. Dalam penelitian baru kami bertajuk SUN:DOWN, kami menganalisis berbagai implementasi sistem tenaga surya. Temuan kami mengungkapkan ekosistem yang tidak aman—dengan implikasi berbahaya bagi energi nasional dan keamanan negara. Walaupun setiap sistem tenaga surya residensial menghasilkan daya terbatas, output gabungannya mencapai puluhan gigawatt—menjadikan dampak kolektif mereka terhadap keamanan siber dan keandalan jaringan terlalu besar untuk diabaikan. Dalam laporan lengkap, kami meninjau masalah-masalah yang sudah diketahui serta mengungkap kerentanan baru yang ditemukan pada tiga produsen sistem tenaga surya terkemuka: Sungrow, Growatt, dan SMA. Kami juga membahas skenario serangan realistis terhadap jaringan listrik yang dapat menyebabkan situasi darurat atau pemadaman listrik. Selain itu, kami memberikan rekomendasi tindakan mitigasi risiko untuk pemilik inverter pintar, perusahaan utilitas, produsen perangkat, dan regulator. Ringkasan Temuan Analisis Kerentanan Sebelumnya: Kami mengkatalogkan 93 kerentanan sebelumnya pada sistem tenaga surya dan menganalisis tren: Rata-rata terdapat lebih dari 10 kerentanan baru yang diungkapkan setiap tahun dalam tiga tahun terakhir. 80% dari kerentanan tersebut berkategori tingkat keparahan tinggi atau kritis. 32% memiliki skor CVSS 9,8 atau 10, yang umumnya berarti penyerang dapat mengambil alih sistem yang terdampak sepenuhnya. Komponen yang paling banyak terdampak adalah monitor surya (38%) dan cloud backend (25%). Hanya sekitar 15% kerentanan yang secara langsung mempengaruhi inverter surya. Asal Produsen Komponen: Karena kekhawatiran terhadap dominasi komponen tenaga surya buatan luar negeri, kami menganalisis asal negara produsen: 53% produsen inverter surya berbasis di Tiongkok. 58% produsen sistem penyimpanan energi dan 20% produsen sistem pemantauan juga berbasis di Tiongkok. Negara asal komponen terbesar berikutnya adalah India dan Amerika Serikat. Kerentanan Baru: Kami menganalisis enam dari sepuluh vendor sistem tenaga surya terbesar di dunia: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe, dan SMA. Ditemukan 46 kerentanan baru yang mempengaruhi berbagai komponen di tiga vendor: Sungrow, Growatt, dan SMA. Kerentanan ini memungkinkan skenario serangan yang berdampak pada stabilitas jaringan listrik dan privasi pengguna. Beberapa kerentanan juga memungkinkan penyerang membajak perangkat pintar lain di rumah pengguna. Dampak terhadap Keamanan Jaringan Listrik Kerentanan baru yang telah diperbaiki oleh vendor terkait ini berpotensi memungkinkan penyerang mengambil kendali penuh atas seluruh armada inverter tenaga surya melalui beberapa skenario yang dirinci dalam laporan tersebut. Jika dieksploitasi, hal ini bisa menyebabkan ketidakstabilan jaringan listrik secara luas atau bahkan pemadaman listrik besar-besaran. Setelah berhasil mengendalikan inverter-inverter ini, penyerang dapat memanipulasi pengaturan output daya atau mematikan dan menyalakannya secara terkoordinasi seperti botnet. Efek gabungan dari inverter-inverter yang telah dibajak ini dapat menghasilkan dampak besar terhadap produksi daya dalam jaringan listrik. Besarnya dampak tersebut tergantung pada kapasitas pembangkitan darurat jaringan tersebut dan seberapa cepat kapasitas itu dapat diaktifkan. Contoh yang kami bahas dalam laporan lengkap kami adalah jaringan listrik di Eropa. Penelitian sebelumnya menunjukkan bahwa pengendalian sebesar 4,5 GW diperlukan untuk menurunkan frekuensi menjadi 49 Hz — yang mewajibkan dilakukan pemutusan beban (load shedding). Mengingat kapasitas tenaga surya di Eropa saat ini sekitar 270 GW, penyerang hanya perlu mengendalikan kurang dari 2% inverter di pasar yang didominasi oleh Huawei, Sungrow, dan SMA. Rekomendasi Perlakukan inverter PV pada instalasi residensial, komersial, dan industri sebagai infrastruktur kritis: Ikuti pedoman NIST untuk keamanan siber inverter pintar pada instalasi residensial dan komersial Ikuti rekomendasi DOE untuk instalasi industri Pemilik instalasi komersial dan industri sebaiknya: Menyertakan persyaratan keamanan dalam proses pengadaan Melakukan penilaian risiko saat mengonfigurasi perangkat Memastikan visibilitas jaringan terhadap sistem tenaga surya Melakukan segmentasi dan pemantauan perangkat ke dalam sub-jaringan tersendiri Produsen perangkat sebaiknya: Menerapkan praktik siklus hidup perangkat lunak yang aman Melakukan pengujian penetrasi secara rutin Mengadopsi strategi pertahanan berlapis dengan menggunakan firewall aplikasi web Menggunakan audit pihak ketiga terhadap jalur komunikasi berdasarkan standar seperti: ETSI EN 303 645, Radio Equipment Directive (RED), dan Cyber Resilience Act (CRA) Bagaimana Forescout Dapat Membantu Pencocokan kerentanan secara pasif — yang memungkinkan penilaian risiko dan pengambilan keputusan segmentasi — telah ditambahkan ke basis data CVE untuk Forescout eyeInspect dan eyeFocus. Pelanggan Forescout eyeInspect dapat mengunduh paket kerentanan terbaru dan menginstalnya secara lokal untuk mendeteksi perangkat rentan di jaringan mereka. Pelanggan Forescout eyeFocus mendapatkan manfaat dari penyebaran konten secara real-time di cloud, sehingga mereka dapat mendeteksi perangkat rentan hanya dengan mencari CVE tertentu di dasbor mereka. Forescout eyeInspect juga dapat mendeteksi upaya eksploitasi terhadap perangkat Sungrow menggunakan skrip Threat Detection Add-ons v1.29. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di  forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Meninjau Ulang Keamanan Perusahaan dalam Sistem TI dan OT Setiap perusahaan berpikir mereka tahu apa yang ada di jaringan mereka. Sampai akhirnya mereka tidak tahu. Ketika itu terjadi, tim keamanan menjadi lumpuh, upaya kepatuhan terhenti, dan serangan lolos tanpa terdeteksi. Akar permasalahannya? Rasa aman palsu akibat visibilitas yang tidak memadai dalam lingkungan yang semakin kompleks dan saling terhubung. Pabrik pintar. Perangkat medis pintar. Mobil tanpa pengemudi. Dunia saat ini semakin dipenuhi sistem siber-fisik. Sistem dan jaringan TI dan OT modern kini diserbu oleh banjir peringatan, alat-alat yang terfragmentasi, dan perangkat khusus yang tidak dikelola. Visibilitas terputus-putus, peringatan membanjiri, dan tim keamanan kewalahan. Alat tradisional gagal memenuhi kebutuhan — terutama di lingkungan perangkat khusus di mana solusi berbasis agen tidak berfungsi. Ini juga berlaku di sistem teknologi operasional (OT) di mana perangkat seringkali bersifat proprietari dan tidak terlihat oleh metode konvensional. Sementara itu, penyerang tidak memperlambat langkah mereka. Penelitian dari Forescout’s Vedere Labs menunjukkan risiko permukaan serangan yang terus meluas di seluruh sistem OT, TI, IoT, dan aset IoMT. Dalam temuan terbarunya, para peneliti kami menemukan 12 tipe aset baru dalam laporan tahunan Riskiest Devices. Titik-titik buta inilah yang dieksploitasi ransomware dan serangan rantai pasok. Tidak yakin hal ini bisa terjadi pada perusahaan Anda? Bisa. Dan dalam banyak kasus, serangan ini dapat menjadi pukulan serius, bahkan fatal, bagi bisnis, meskipun memiliki asuransi siber. Ambil contoh kasus KNP, perusahaan logistik berusia 150 tahun yang gulung tikar tahun lalu setelah serangan ransomware Akira mengendalikan sistem mereka — padahal mereka memiliki asuransi siber senilai satu juta poundsterling. Visibilitas adalah kontrol pertama. Ini bukan lagi sebuah kemewahan. Jika Anda tidak tahu ada printer lama atau perangkat medis khusus yang terhubung ke internet atau berperilaku aneh, Anda sudah tertinggal. Sebagai pemimpin rekayasa untuk produk eyeSegment, eyeSight, dan infrastruktur DevOps di Forescout, saya telah menyaksikan sendiri betapa pentingnya memiliki inventarisasi aset yang akurat dan gambaran terkini untuk mengamankan jaringan apa pun. Seperti dalam dunia perangkat lunak lainnya, keamanan perusahaan kini bergerak lebih awal — dan itu dimulai dari mengetahui apa yang ada di lingkungan Anda. Keamanan nyata dimulai jauh sebelum ancaman terdeteksi. Ia dimulai dengan intelijen aset yang hidup dan andal. Pimpin dengan Visibilitas, Skala dengan Kontrol Di Forescout, kami membangun Forescout 4D Platform™ untuk mengungkap dan memahami segala sesuatu di jaringan Anda: Keamanan OT: Mengurangi risiko operasional dan keamanan di sistem OT dan lingkungan TI yang terkonvergensi. Manajemen Risiko & Eksposur: Mengidentifikasi, mengukur, dan memprioritaskan risiko dan kepatuhan siber. Keamanan Jaringan: Menilai, mensegmentasi, dan menegakkan kontrol proaktif dan reaktif. Deteksi & Respons Ancaman: Mendeteksi, menyelidiki, dan merespons ancaman serta insiden nyata. Dalam bidang kesehatan, kerentanan pada perangkat diagnostik bisa mengancam jiwa. Dalam manufaktur atau energi, kesalahan konfigurasi PLC bisa menghentikan operasi. Lingkungan OT tidak bisa menanggung downtime — atau celah visibilitas. Solusi kami mengatasi risiko ini dengan presisi bedah. Pertimbangkan fakta-fakta visibilitas berikut: 23+ teknik penemuan lanjutan, aktif maupun pasif Wawasan waktu nyata tanpa agen untuk lingkungan TI, OT, IoT, dan IoMT Bebas vendor dan mendukung ribuan integrasi dengan vendor keamanan dan jaringan terkemuka Dan kami tidak hanya berhenti pada visibilitas. Setiap produk dalam rangkaian platform kami memainkan peran strategis dalam kontrol skala besar: eyeSight: Memberikan visibilitas dan kontrol mendalam waktu nyata di TI, IoT, IoMT, dan infrastruktur pusat data. eyeInspect: Memperluas visibilitas dan kontrol ke lingkungan teknologi operasional, termasuk perangkat yang rentan dan sensitif terhadap kepatuhan. eyeSegment: Menegakkan segmentasi cerdas dan kontrol akses berbasis kebijakan. eyeFocus: Melacak postur risiko perangkat dari waktu ke waktu untuk menginformasikan prioritas keamanan. eyeAlert: Menambahkan analisis perilaku ancaman kontekstual untuk mempercepat deteksi dan respons. eyeExtend: Membagikan konteks perangkat antara Forescout 4D Platform™ dan produk TI serta keamanan lainnya, mengotomatisasi penegakan kebijakan di berbagai alat. eyeScope: Menggabungkan keandalan on-premises dengan kelincahan cloud pada penerapan yang ada melalui cloud Forescout. Flyaway Kit: Menyediakan keamanan siber spektrum penuh di lingkungan terisolasi, terpencil, dan tanpa koneksi internet. Bersama-sama, solusi ini memungkinkan siklus berkelanjutan — menemukan, menilai, mensegmentasi, menegakkan, dan merespons. Dari Wawasan ke Aksi: Kontrol Waktu Nyata & Integrasi Ekosistem Forescout berada di pusat tumpukan keamanan, mengubah wawasan menjadi tindakan otomatis. Kami berintegrasi dengan lancar dengan investasi keamanan yang sudah ada — EDR, SIEM, CMDB, dan platform cloud — serta memungkinkan penegakan kebijakan waktu nyata di seluruh infrastruktur tanpa memerlukan agen. Menegakkan kebijakan segmentasi secara dinamis Mengkarantina atau mengisolasi berdasarkan perilaku Mengotomatisasi kesiapan patch dan kepatuhan Memicu aksi di AWS, ServiceNow, CrowdStrike, dan lainnya Anggaran keamanan meningkat, tetapi kompleksitas juga meningkat. Dengan sebagian besar perusahaan mengelola 40–70 alat keamanan, interoperabilitas kini menjadi keharusan. Dengan 142 integrasi ke berbagai platform terkemuka, Forescout memastikan orkestrasi, bukan fragmentasi. Tim keamanan kini menghadapi puluhan ribu peringatan per hari — sebagian besar adalah positif palsu. Tanpa konteks yang dapat ditindaklanjuti, bahkan peringatan kritis bisa terabaikan — memicu kelelahan dan burnout di SOC. Karena itulah eyeAlert dan eyeFocus tidak hanya memperkaya peringatan, tetapi juga membantu memprioritaskan yang penting. Dan baik itu HIPAA, NIS2, maupun mandat DoD — setiap kerangka kerja kepatuhan dimulai dengan mengetahui apa yang ada di jaringan Anda. Visibilitas bukan hanya keamanan. Ini juga kesiapan audit. Kami telah melihat bagaimana celah inventarisasi memperlambat audit, menunda patching, dan mengekspos aset kritis. Bukti Nyata di Dunia Nyata Ini bukan teori. Platform kami secara aktif melindungi beberapa lingkungan paling kompleks di dunia. Contohnya: Di satu pelanggan, kami memberikan visibilitas ke lebih dari 1 juta endpoint, 30.000+ switch, dan 6.000+ pengendali nirkabel. Sebuah perusahaan energi besar menemukan lebih dari 235.000 aset hanya dalam satu minggu, mengungkap 80% celah visibilitas dibandingkan alat sebelumnya. Sebuah pusat medis di Florida mengidentifikasi puluhan perangkat biomedis dan lingkungan yang sebelumnya tidak terlihat — meningkatkan keselamatan pasien dan kontrol jaringan. NJ TRANSIT menggunakan data dari Forescout untuk mendorong keputusan keamanan siber real-time di seluruh infrastruktur transportasi masif mereka. Sebuah lembaga pemerintah negara bagian AS kini menggunakan Forescout untuk kesadaran situasional yang kritis, memungkinkan penyelesaian risiko secara proaktif sebelum risiko tersebut berkembang. Seiring dengan konvergensi lingkungan TI dan OT, para pemimpin keamanan membutuhkan kesederhanaan, otomatisasi, dan interoperabilitas platform — bukan lebih banyak kompleksitas. Anda tidak bisa memperbaiki apa yang tidak Anda ketahui. Anda tidak bisa melindungi apa yang…

Fase 1 dari “Pendekatan Adaptif terhadap Zero Trust Assurance”: Menangani Visualisasi dan Klasifikasi Aset Forescout telah mengembangkan pendekatan langkah demi langkah untuk mewujudkan keamanan Zero Trust. Kami menyebutnya sebagai “Pendekatan Adaptif terhadap Zero Trust Assurance,” dan ini dirancang untuk membantu memenuhi mandat zero trust dengan lebih cepat melalui peta jalan transisi yang disederhanakan. Ini adalah blog kedua dalam seri ini. Blog pertama berjudul “Capai Mandat Keamanan Zero Trust dengan Pendekatan Adaptif.” Pada tahun 2024, kami melihat peningkatan ancaman siber dan tekanan regulasi. Tanggung jawab pribadi bagi para CISO meningkat seiring dengan bertambahnya jumlah persyaratan audit yang dibutuhkan untuk membuktikan kepatuhan dan mengukur tingkat paparan serta risiko organisasi. Menurut para peneliti kami di Vedere Labs: Insiden keamanan meningkat sebesar 354% sejak 2022 Kelompok ransomware tumbuh sebesar 55% Kerentanan yang dipublikasikan meningkat 43% dari tahun ke tahun Tingkat keparahan serangan ransomware pada perangkat medis meningkat 68% di paruh pertama 2024 Insiden pada infrastruktur kritis dan sistem siber-fisik meningkat sebesar 668% Itulah sebabnya berita utama dipenuhi dengan detail serangan siber yang mengeksploitasi kerentanan dalam jaringan yang visibilitas dan kontrol aksesnya tidak memadai, sudah usang, atau bahkan tidak ada. Untuk melindungi diri dari ancaman ini, organisasi yang ingin bersikap proaktif harus mengadopsi pola pikir “breach mindset”: mengakui bahwa pelanggaran tidak dapat dihindari dan menyiapkan pertahanan aktif untuk meminimalkan dampaknya. Semua dimulai dengan menangani aset-aset paling krusial dalam bisnis menggunakan prinsip-prinsip Zero Trust. Arsitektur Zero Trust secara terus-menerus memverifikasi setiap pengguna, perangkat, dan transaksi, tanpa memberikan kepercayaan implisit kepada siapa pun atau apa pun. Langkah pertama untuk mencapai Zero Trust Assurance adalah mengatasi celah dalam visualisasi aset. Mengatasi celah ini dimulai dengan memahami apa yang ada di jaringan, di mana lokasinya, bagaimana cara berkomunikasinya, dan apakah seharusnya perangkat itu ada di sana atau tidak. Tanpa informasi dasar ini, mustahil untuk menerapkan Zero Trust. Tantangan Keamanan Umum Sebagian besar bisnis mengalami kesulitan dalam visibilitas aset yang tidak lengkap, yang menciptakan risiko kepatuhan dan postur keamanan yang lemah. Masalah utama meliputi: Inventaris jaringan yang usang dan tidak mencatat perangkat yang terhubung secara akurat Pertahanan internal yang statis dan tidak melindungi dari pergerakan lateral dalam jaringan Penetapan akses paling minimum (least-privileged access) yang basi atau tidak ada, sehingga memberikan izin berlebihan Proses respons insiden keamanan yang manual, yang membutuhkan intervensi manusia alih-alih remediasi otomatis Untuk mencapai mandat Zero Trust, organisasi dapat menutup celah visibilitas yang diakibatkan oleh tantangan-tantangan umum ini dengan mengidentifikasi aset, menilai risikonya, dan mengamati perilaku jaringannya dari waktu ke waktu. ‘Menangani’ Manajemen Aset dengan Prinsip-Prinsip Kunci Zero Trust Ini   Temukan dan Klasifikasikan Aset yang Terhubung Langkah pertama adalah penemuan dan klasifikasi aset, yang memberikan visibilitas secara real-time terhadap setiap perangkat dan endpoint di jaringan. Proses ini membantu menjawab pertanyaan-pertanyaan penting: Jenis perangkat apa yang terhubung dan apa perannya (misalnya, server, perangkat IoT, laptop)? Bagaimana perangkat tersebut terhubung (misalnya, melalui switch, controller, cloud, nirkabel)? Siapa pemilik perangkat tersebut dan izin apa yang seharusnya dimilikinya (pengguna LDAP, anggota Domain)? Kami telah melihat bagaimana wawasan ini memberikan nilai yang cepat dalam implementasi pelanggan kami. Seorang eksekutif pernah berbagi bahwa Forescout adalah satu-satunya vendor yang mengungkapkan bahwa konsol game ternyata terhubung ke jaringannya! Dalam contoh lain, sebuah instansi pemerintah dengan jaringan air-gapped mengalami keterlambatan proyek karena ketidakmampuan mengontrol akses jaringan. Setelah kami meninjau inventaris jaringan secara menyeluruh, kami mengidentifikasi perangkat mobile dengan port switch fisik – indikasi jelas adanya jembatan nirkabel yang tidak sah. Dalam contoh lainnya, kami menemukan jaringan kamera yang memiliki pengguna tidak sah masuk ke lebih dari 50 perangkat. Masalah akses seperti ini dapat diatasi dengan metode penemuan aktif dan pasif, seperti (namun tidak terbatas pada) ingestion lalu lintas, interogasi infrastruktur jaringan, dan pemindaian kerentanan. Penemuan yang menyeluruh memungkinkan identifikasi semua aset yang terhubung ke jaringan secara berkelanjutan. Kami percaya bahwa komponen pertama ini memberikan waktu tercepat menuju nilai. Akan lebih baik jika bersifat agentless, agnostik terhadap vendor, dan menggunakan pendekatan yang tidak mengganggu. Perkaya CMDB dengan Pembaruan Berkelanjutan Keamanan Zero Trust membutuhkan pembaruan aset secara terus-menerus agar kebijakan keamanan tetap cerdas, relevan, dan efektif. Configuration Management Database (CMDB) harus menjadi satu-satunya sumber kebenaran untuk semua aset TI dan keamanan. CMDB yang diperkaya dengan detail dari penemuan berkelanjutan membantu membangun postur keamanan yang kuat, seperti mendeteksi salah konfigurasi, kerentanan, atau kelemahan pada perangkat TI, OT/IoT, dan IoMT. Akan lebih optimal jika sistem yang terintegrasi dapat berbagi data secara dua arah — dengan ekosistem pihak ketiga seperti alat manajemen kerentanan TI, ATD, atau ITSM. Dengan mengintegrasikan penemuan aset secara real-time, organisasi akan meningkatkan kemampuan mereka dalam menilai risiko — dan menegakkan kebijakan kepatuhan serta tata kelola. Sinkronisasi data secara otomatis dengan CMDB membantu memastikan tim keamanan selalu memiliki informasi terkini tentang setiap perangkat dan status jaringannya. Amati dan Analisis Lalu Lintas Jaringan Memahami bagaimana perangkat saling berkomunikasi di dalam jaringan adalah faktor penting saat menetapkan kebijakan akses dengan hak istimewa paling minimum (least-privileged access) dalam jaringan Zero Trust. Analisis lalu lintas jaringan memberikan gambaran jelas tentang perilaku dasar dan membantu mendeteksi anomali seperti transfer data tidak sah atau koneksi ke aktor ancaman potensial. Informasi ini membantu merumuskan kebijakan akses minimum dan menilai efektivitas kebijakan akses yang sedang berlaku. Alat observasi terbaik menggunakan pemantauan real-time, deteksi anomali berbasis AI, dan analitik perilaku untuk mengenali aktivitas mencurigakan sebelum menjadi pelanggaran berskala besar. Pada akhirnya, mengintegrasikan semua strategi ini ke dalam pendekatan adaptif terhadap keamanan Zero Trust membantu organisasi menghadapi lanskap ancaman yang terus berkembang tanpa membebani sistem atau sumber daya. Kunjungi kembali kami dalam beberapa minggu ke depan untuk blog ketiga dalam seri ini tentang fase 2 dari “Pendekatan Adaptif terhadap Zero Trust Assurance”: Rancang Protect Surface dari Jaringan. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di  forescout.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Baru-baru ini saya membaca tentang sebuah kerentanan (yang ditemukan setiap tahun ganjil) di mana webcam pada laptop dapat menyala tanpa disertai dengan lampu LED yang biasanya menyala sebagai indikator. Jadi, pengguna tidak menyadari bahwa mereka sedang diawasi. Bagaimana ini bisa terjadi? Secara sederhana, LED dikendalikan melalui perangkat lunak dan terpisah dari kamera itu sendiri. Jadi, sebuah malware dapat diam-diam menyalakan kamera tanpa menyalakan LED. Sekarang, di ranah Teknologi Operasional (OT), pemilik Programmable Logic Controller (PLC) selalu diminta untuk mengatur sakelar ‘mode’ PLC mereka ke posisi ‘RUN’. Sakelar ini (baik fisik maupun dalam bentuk tombol toggle) umumnya memiliki pengaturan seperti ‘RUN’ dan ‘PROGRAM’ (dengan beberapa variasi tergantung pada vendornya). PLC adalah bagian dari sistem kontrol. Seperti yang dijelaskan dalam halaman glosarium kami tentang keamanan OT: “Sistem ini menerima data dari sensor, mengambil keputusan, dan mengatur proses fisik. Kategori ini mencakup PLC, Distributed Control Systems (DCS), dan Supervisory Control and Data Acquisition (SCADA).” Sekarang saya mulai berpikir, jika malware bisa mematikan lampu LED webcam, apakah malware juga bisa menyebabkan sakelar mode PLC atau fungsi operasional lainnya diabaikan? Bagi yang memiliki pengetahuan terbatas tentang OT, program dalam PLC hanya dapat diubah ketika dalam mode ‘PROGRAM’, namun tidak bisa diubah dalam mode ‘RUN’… Ini merupakan langkah pengamanan sederhana untuk melindungi program PLC yang sedang berjalan. Fitur ini awalnya ditemukan pada tahun 1970-an untuk mencegah perubahan yang tidak diinginkan oleh staf lokal. Saat itu, serangan terhadap sistem OT belum ada. Hanya orang yang memiliki akses fisik ke sakelar mode yang dapat mengunduh program baru ke dalam PLC dengan mengubahnya ke mode ‘PROGRAM’. Sebagai praktik yang baik dalam pengelolaan sistem, setelah selesai melakukan pemrograman, mode PLC harus dikembalikan ke posisi ‘RUN’ (dan sakelar fisiknya dilepas). Ketika kemudian PLC mulai terhubung ke jaringan dan menjadi sasaran peretas, fungsi sakelar mode ini memperoleh arti baru: perlindungan terhadap serangan jarak jauh. Serangan pada Mode Program PLC: Bukan Sekadar Hipotetis Apakah ini hanya bersifat dugaan? Sama sekali tidak! Pada tahun 2017 di Arab Saudi, sebuah PLC keselamatan merek Schneider Triconex diserang oleh malware Triton. Diduga saat itu sakelar mode PLC tidak berada dalam posisi ‘RUN’. Serangan ini menargetkan sebuah kilang petrokimia – dan bisa saja berakibat fatal jika tidak ada sistem pemadaman darurat. “Dalam skenario terburuk, Anda menghadapi potensi pelepasan gas hidrogen sulfida beracun, dan potensi ledakan akibat tekanan serta suhu tinggi,” ujar Julian Gutmanis, seorang kontraktor keamanan siber, dikutip oleh E&E News/Politico. Berikut adalah beberapa malware penting yang secara khusus menargetkan sistem OT, yang terus dipantau oleh tim peneliti keamanan kami. Antara 2010 hingga 2017, terdapat lima malware yang menargetkan OT (Stuxnet, Havex, BlackEnergy3, Industroyer, dan Triton). Namun sejak 2022, muncul lima lagi malware signifikan untuk OT, termasuk Industroyer2 dan INCONTROLLER (2022), COSMICENERGY (2023), Fuxnet dan FrostyGoop/BUSTLEBERM (2024). Lebih lanjut: Baca analisis lengkap dari Vedere Labs: “ICS Threats: Malware Targeting OT? It’s More Common Than You Think” Salah satu serangan industri paling terkenal dan terselubung adalah Stuxnet (pada 2010), yang tahun ini genap berusia 15 tahun. Target utamanya adalah PLC Siemens yang mengontrol sentrifugal pengayaan uranium di fasilitas Natanz, Iran. Akses awalnya didapat melalui USB yang telah terinfeksi, karena jaringan target terisolasi (air-gapped). Malware ini dirancang untuk membuat sentrifugal berputar secara tidak stabil sambil tetap menunjukkan kepada teknisi bahwa semuanya berjalan normal. Apakah Saya 100% Aman Jika PLC Saya dalam Mode ‘RUN’? Semua tergantung pada apa yang berada di balik sakelar fisik tersebut. Jika sakelar tersebut langsung mengirimkan sinyal elektronik ke rangkaian sirkuit PLC yang hanya mengizinkan akses baca (read-only) ke memori program, maka PLC itu benar-benar terlindungi dari perubahan yang tidak sah. Namun, bayangkan jika pengaturan sakelar itu hanyalah input bagi prosesor, dan hanya perangkat lunak yang memutuskan untuk menerapkan akses read-only? Perangkat lunak dapat diretas. Jadi, apakah PLC benar-benar terlindungi dari penyerang? Sama seperti lampu LED pada kamera yang dapat dimatikan secara paksa, mode sakelar pun dapat diabaikan jika malware menghendakinya. Tapi bagaimana kita tahu apa yang ada di dalam PLC? Kita tidak tahu. Hanya vendornya yang tahu. Sebagai alternatif, kita bisa membongkar PLC dan menelusuri semua sinyal pada papan sirkuit cetak (printed-circuit board), tapi ini memakan waktu. Reverse engineering terhadap runtime binary PLC juga merupakan opsi, namun tidak mudah. Kemungkinan besar, Anda harus melakukan keduanya untuk mendapatkan kesimpulan. Sayangnya, vendor tidak mengungkapkan detail internal dari perangkat mereka. Pemantauan jaringan pun tidak dapat mendeteksi status sakelar mode (karena tidak ada lalu lintas jaringan yang mengindikasikannya). Namun, beberapa alat pemantauan jaringan dapat mendeteksi perintah download ke PLC — termasuk eyeInspect dari Forescout. Catatan: Regulasi Mesin Eropa yang baru (European Machinery Regulation 2023/1230) mewajibkan PLC (terutama untuk keselamatan) agar terlindungi dari kerusakan (corruption). Regulasi ini mulai berlaku pada tahun 2027. Ini akan membantu mengembalikan perhatian terhadap pentingnya sakelar mode. Tapi kita masih harus menunggu dua tahun lagi. Apa yang Bisa Dilakukan Sampai Regulasi Baru Berlaku? Sementara menunggu regulasi baru berlaku, tim riset Vedere Labs menyarankan mitigasi berikut untuk keamanan OT/ICS: Jangan mengekspos perangkat IoT/OT/ICS langsung ke internet. Ikuti panduan CISA tentang cara menyediakan akses jarak jauh ke sistem kontrol industri. Segmentasikan jaringan untuk mengisolasi perangkat IT, IoT, dan OT, serta batasi koneksi jaringan hanya ke workstation manajemen dan rekayasa yang diizinkan, atau antar perangkat yang tidak dikelola namun perlu berkomunikasi. Pastikan antarmuka administratif (seperti antarmuka web dan port rekayasa) berada di balik daftar kontrol akses berbasis IP atau hanya dapat diakses dari VLAN manajemen terpisah yang dilindungi VPN. Tambahkan autentikasi ke antarmuka administratif perangkat IoT dan OT, termasuk antarmuka web dan port teknik milik vendor. Gunakan solusi pemantauan yang memahami protokol IoT/OT dan mampu melakukan DPI (Deep Packet Inspection) untuk mendeteksi indikator dan perilaku jahat. Awasi sistem internal dan komunikasi terhadap aksi berbahaya yang diketahui, seperti eksploitasi kerentanan, percobaan tebak sandi, dan penggunaan protokol OT tanpa otorisasi. Pantau lalu lintas perangkat IoT/OT untuk mengidentifikasi perangkat yang digunakan sebagai bagian dari serangan terdistribusi. Dan tentu saja: Atur PLC ke mode ‘RUN’! Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di  forescout.ilogoindonesia.com dan konsultasikan…

Antara akhir Januari hingga awal Maret, Forescout Research – Vedere Labs mengidentifikasi serangkaian intrusi yang didasarkan pada dua kerentanan Fortinet. Serangan ini dimulai dengan eksploitasi perangkat firewall Fortigate — yang berpuncak pada penyebaran varian ransomware baru yang kami beri nama SuperBlack. Kami mengaitkan intrusi-intrusi ini dengan aktor ancaman yang kami lacak dengan nama “Mora_001”, sesuai dengan konvensi penamaan kami yang menggunakan mitologi dari berbagai wilayah. Dalam kasus ini, kami menggunakan mitologi Slavia karena aktor tersebut menggunakan artefak berbahasa Rusia. Aktor ini menunjukkan ciri operasional yang khas, menggabungkan elemen serangan oportunistik dengan keterkaitan terhadap ekosistem LockBit. Hubungan Mora_001 dengan operasi ransomware LockBit yang lebih luas menyoroti kompleksitas lanskap ransomware modern yang meningkat — di mana tim-tim spesialis bekerja sama untuk memanfaatkan kapabilitas yang saling melengkapi. Kami baru-baru ini menyoroti tren ini dalam riset kami mengenai eksploitasi zero-day yang menargetkan router DrayTek. Laporan ini merinci taktik, teknik, dan prosedur (TTP) Mora_001, beserta strategi deteksi dan mitigasi yang direkomendasikan. Kami akan terus memantau aktor ini dan menyempurnakan penilaian kami seiring dengan berkembangnya pemahaman kami terhadap hubungan mereka dengan LockBit. Mora_001: Gambaran Umum Operator Ransomware Baru Berikut adalah karakteristik utama dari aktor ancaman Mora_001 yang baru diidentifikasi dan mengeksploitasi CVE-2024-55591 serta CVE-2025-24472 yang memengaruhi perangkat Fortinet: Kami melacak Mora_001 sebagai aktor ancaman independen, sambil mengakui keterkaitannya dengan operasi ransomware yang sudah mapan berdasarkan faktor-faktor berikut: Pola pasca-eksploitasi yang konsisten di berbagai insiden yang kami investigasi, termasuk: Pembuatan nama pengguna yang identik di beberapa jaringan korban IP address yang tumpang tindih digunakan untuk akses awal, pasca-eksploitasi, dan operasi command-and-control (C2) Pola pencadangan konfigurasi yang serupa di lingkungan yang dikompromikan Penyebaran ransomware yang cepat (dalam 48 jam) saat kondisi memungkinkan, serta rekonsiliasi yang diperpanjang di lingkungan dengan kontrol keamanan yang lebih ketat Kustomisasi ransomware Aktor ini memanfaatkan builder LockBit yang telah bocor, memodifikasi struktur catatan tebusan dengan menghapus merek LockBit, serta menggunakan alat eksfiltrasi milik mereka sendiri. Hubungan dengan LockBit Catatan tebusan mencakup TOX ID yang sama dengan yang digunakan oleh LockBit, yang menunjukkan kemungkinan keterkaitan dengan geng ransomware terkenal tersebut. Hubungan ini bisa berarti bahwa Mora_001 adalah afiliasi saat ini dengan metode operasional yang unik, atau kelompok rekanan yang berbagi saluran komunikasi. Pola pasca-eksploitasi yang diamati memungkinkan kami mendefinisikan tanda operasional unik yang membedakan Mora_001 dari operator ransomware lainnya, termasuk afiliasi LockBit. Kerangka kerja operasional yang konsisten ini menunjukkan bahwa ini adalah aktor ancaman yang khas dengan pedoman kerja yang terstruktur, bukan sekadar beberapa operator yang mengikuti metodologi LockBit secara umum. Dengan menganalisis garis waktu intrusi, indikator yang tumpang tindih, dan pola operasional, kami dapat dengan yakin mengatribusikan intrusi di masa mendatang ke entitas ini – terlepas dari hubungan pastinya dengan LockBit. Analisis Intrusi Dari Eksploitasi Firewall Fortinet hingga Penyebaran Ransomware Investigasi kami mengidentifikasi intrusi di berbagai lingkungan yang ditelusuri kembali ke eksploitasi kerentanan firewall Fortinet. Di bawah ini, kami menyajikan log firewall yang hampir lengkap dan berperan penting dalam merekonstruksi rangkaian serangan ini. Untuk melindungi organisasi yang masih dalam proses remediasi, kami telah menyunting tanggal, stempel waktu, dan detail sensitif lainnya. Akses Awal dan Persistensi Kerentanan CVE-2024-55591 dan CVE-2025-24472 memungkinkan penyerang yang tidak diautentikasi memperoleh hak super_admin pada perangkat FortiOS yang rentan (<7.0.16) yang antarmuka manajemennya terbuka. Sebuah eksploitasi proof-of-concept (PoC) dirilis secara publik pada 27 Januari, dan dalam waktu 96 jam, kami mengamati eksploitasi aktif di alam liar menggunakan dua metode berbeda: jsconsole: Eksploitasi langsung kerentanan WebSocket melalui antarmuka jsconsole. Dalam log, aktivitas ini muncul sebagai jsconsole(IP), dengan alamat IP yang sering dipalsukan menjadi 127.0.0.1, 13.73.13.73, 8.8.8.8, 1.1.1.1, atau alamat IP lain yang mudah dikenali. HTTPS: Metode eksploitasi alternatif menggunakan permintaan HTTPS langsung. Meskipun metode ini muncul berbeda dalam log, ia menargetkan kerentanan dasar yang sama. Kami mengamati beberapa kasus di mana aktor ancaman menggunakan eksploitasi PoC standar maupun varian yang sedikit dimodifikasi — hanya dengan perubahan kecil seperti nama pengguna dan alamat IP yang disesuaikan. Untuk mengidentifikasi potensi jalur pergerakan lateral, aktor ancaman memanfaatkan dasbor bawaan FortiGate untuk mengumpulkan intelijen lingkungan yang lebih luas dari apa yang tersedia dalam file konfigurasi yang sebelumnya diunduh. Aktor ancaman mengakses dasbor FortiGate berikut: Status Dashboard: Menampilkan metrik sistem dan indikator status. Security Dashboard: Memberikan wawasan tentang deteksi ancaman, penilaian kerentanan, dan host yang dikompromikan. Network Dashboard: Menunjukkan detail routing, status DHCP, performa SD-WAN, dan koneksi VPN. Users & Devices Dashboard: Mendaftar perangkat endpoint, koneksi FortiClient, autentikasi pengguna, dan perangkat yang dikarantina. WiFi Dashboard: Memantau jaringan nirkabel, titik akses, koneksi klien, dan peringatan keamanan nirkabel. Pergerakan Lateral dan Penyebaran Ransomware Dengan menggunakan konfigurasi firewall, wawasan dari dasbor, serta akses jaringan yang telah diperoleh (melalui VPN atau autentikasi langsung), para penyerang melakukan pergerakan lateral dalam jaringan, memprioritaskan target bernilai tinggi termasuk file server, server autentikasi dan domain controller, server basis data, dan perangkat infrastruktur jaringan lainnya. Aktor ancaman ini terutama mengandalkan Windows Management Instrumentation (WMIC) untuk penemuan dan eksekusi sistem jarak jauh, serta SSH untuk mengakses sistem tambahan, khususnya server dan perangkat jaringan. Dalam satu kasus yang dikonfirmasi, penyerang berfokus pada identifikasi dan kompromi file server, yang menjadi target utama untuk eksfiltrasi data dan penyebaran ransomware. Alih-alih mengenkripsi seluruh jaringan, penyerang secara selektif mengenkripsi file server yang berisi data sensitif. Enkripsi dilakukan hanya setelah eksfiltrasi data, sejalan dengan tren terbaru di kalangan operator ransomware yang lebih memprioritaskan pencurian data daripada gangguan sistem secara keseluruhan. Mitigasi yang Direkomendasikan Intrusi yang kami selidiki menyoroti tren yang semakin meningkat dalam mengeksploitasi perangkat keamanan perimeter sebagai titik awal akses. Transisi yang cepat dari pengungkapan kerentanan ke eksploitasi aktif secara signifikan mempersempit waktu bagi organisasi untuk menerapkan pembaruan penting. Untuk mengurangi ancaman ini, organisasi harus mengadopsi pendekatan pertahanan berlapis (defense in depth) dengan melakukan segmentasi jaringan secara tepat dan menerapkan kontrol keamanan berlapis yang dapat membatasi kemampuan penyerang dalam mencapai tujuannya. Per saat penulisan ini, jumlah firewall FortiGate yang paling banyak terpapar berada di Amerika Serikat (7677), India (5536), dan Brasil (3201). Kami merekomendasikan tindakan berikut untuk para pengguna FortiGate: Perbarui sistem yang rentan: Segera terapkan pembaruan FortiOS yang mengatasi CVE-2024-55591 dan CVE-2025-24472. Batasi akses manajemen: Nonaktifkan akses manajemen eksternal ke firewall jika memungkinkan. Audit akun administrator: Tinjau secara rutin semua…

Pendekatan Adaptif Forescout terhadap Zero Trust Forescout telah mengembangkan “The Adaptive Approach to Zero Trust Assurance”, sebuah strategi bertahap untuk membantu organisasi mencapai keamanan Zero Trust dengan lebih cepat dan efisien. Dengan meningkatnya ancaman siber dan tekanan regulasi pada tahun 2024, organisasi harus memastikan bahwa mereka memiliki visibilitas penuh terhadap aset mereka sebagai langkah awal menuju Zero Trust. Tantangan Umum dalam Keamanan Aset Banyak organisasi menghadapi kesulitan dalam mengelola aset mereka secara efektif, yang dapat menyebabkan risiko kepatuhan dan kelemahan keamanan, termasuk: Inventaris jaringan yang usang tanpa pencatatan perangkat yang terhubung secara akurat. Pertahanan internal yang statis, yang tidak mampu mencegah pergerakan lateral dalam jaringan. Kurangnya kontrol akses berbasis least privilege, yang memungkinkan pengguna memiliki izin berlebih. Proses respons insiden manual, yang bergantung pada intervensi manusia dibandingkan dengan remediasi otomatis. Untuk mengatasi tantangan ini, organisasi harus memulai dengan mengidentifikasi, mengklasifikasikan, dan mengamati perilaku aset mereka dalam jaringan. Penemuan dan Klasifikasi Aset Langkah pertama dalam Zero Trust adalah memetakan semua perangkat yang terhubung ke jaringan secara real-time untuk memahami perannya dan risiko yang ditimbulkan. Pertanyaan utama yang harus dijawab: Apa jenis perangkat yang terhubung? (Misalnya, server, perangkat IoT, laptop) Bagaimana perangkat tersebut terhubung ke jaringan? (Switch, cloud, nirkabel) Siapa pemilik perangkat dan izin apa yang seharusnya dimilikinya? (LDAP user, anggota domain) Metode untuk menemukan aset: Passive & Active Discovery: Menggunakan analisis lalu lintas, pemindaian kerentanan, dan pemeriksaan infrastruktur jaringan. Agentless Approach: Menghindari penggunaan agen perangkat lunak untuk mendeteksi aset secara non-intrusif. Vendor-Agnostic Tools: Memastikan kompatibilitas dengan berbagai perangkat dan platform. Hasil nyata dari penemuan aset: Mengidentifikasi perangkat tak terduga dalam jaringan, seperti konsol game yang terhubung ke jaringan perusahaan. Menemukan perangkat mobile dengan port switch fisik, yang menunjukkan keberadaan jembatan nirkabel tidak sah. Mendeteksi kamera pengawas yang memiliki akses pengguna tidak sah pada lebih dari 50 perangkat. Memperkaya CMDB dengan Pembaruan Berkelanjutan Zero Trust mengharuskan organisasi memiliki sumber data aset yang selalu diperbarui untuk menjaga kebijakan keamanan tetap efektif. Manfaat utama pembaruan aset dalam CMDB: Mendeteksi konfigurasi yang salah dan celah keamanan di perangkat IT, OT/IoT, dan IoMT. Integrasi dua arah dengan sistem keamanan lainnya, seperti alat manajemen kerentanan IT dan ITSM. Menjaga informasi aset tetap akurat dengan sinkronisasi otomatis dalam database konfigurasi. Integrasi real-time dengan sistem lain membantu organisasi menilai risiko lebih baik dan menegakkan kebijakan keamanan secara lebih efektif. Mengamati dan Menganalisis Lalu Lintas Jaringan Pemahaman tentang pola komunikasi antar perangkat sangat penting untuk mendukung penerapan kebijakan akses least privilege dalam Zero Trust. Teknik utama dalam analisis lalu lintas jaringan: Pemantauan real-time untuk mendeteksi aktivitas abnormal. AI dan analitik perilaku untuk mengenali pola komunikasi yang mencurigakan. Deteksi anomali berbasis AI untuk mengidentifikasi transfer data yang tidak sah atau koneksi ke aktor ancaman. Keunggulan Analisis Lalu Lintas Jaringan dalam Zero Trust: Memudahkan organisasi memahami bagaimana aset berkomunikasi dalam jaringan. Mendeteksi pergerakan lateral serangan sebelum berkembang menjadi pelanggaran besar. Memastikan kebijakan akses hanya memberikan izin minimum yang diperlukan. Kesimpulan Integrasi penemuan aset, pembaruan CMDB, dan analisis lalu lintas jaringan merupakan fondasi utama dalam Zero Trust Assurance. Langkah pertama menuju Zero Trust yang efektif: Menemukan dan mengklasifikasikan aset untuk memahami ekosistem jaringan. Memperkaya CMDB secara real-time agar kebijakan keamanan selalu relevan. Mengamati lalu lintas jaringan untuk memastikan akses least privilege dan mendeteksi ancaman lebih awal. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di  forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Ringkasan Lihat evolusi dari sebuah kelompok aktivitas yang awalnya diidentifikasi sebagai Remote Access Trojan (RAT) menjadi operator ransomware. Kelompok ransomware Interlock menunjukkan perhatian khusus pada sektor layanan kesehatan. Kami menyoroti pentingnya pelacakan awal terhadap pelaku ancaman serta berbagi informasi. Rekomendasi Menjaga opsi pencadangan dan pemulihan data. Melakukan penilaian risiko secara terus-menerus untuk pertahanan yang proaktif. Memastikan bahwa deteksi ancaman dan opsi perburuan ancaman mencakup seluruh jaringan. Pada September 2024, Texas Tech University Health Sciences Centers (HSCs) mengalami serangan siber yang mengakibatkan kebocoran 1,46 juta catatan pasien, termasuk nama, nomor jaminan sosial, informasi keuangan, informasi asuransi kesehatan, serta data diagnosis dan pengobatan. Pihak HSCs tidak mengungkapkan pelaku serangan, tetapi kelompok ransomware Interlock—sebuah grup ancaman yang berevolusi dari Remote Access Trojan (RAT) yang pertama kali kami identifikasi sebagai Chaya_002—mengklaim serangan tersebut di situs kebocoran data mereka pada Oktober. Kelompok ransomware yang sama kemudian berhasil membobol Legacy Treatment Services, mengekstrak 170 GB data, serta dua organisasi layanan kesehatan lainnya. Sejak saat itu, Interlock telah mengklaim total 14 korban di situs mereka, seperti yang ditunjukkan dalam gambar di bawah ini. Kelompok ini telah menunjukkan preferensi yang jelas dalam menyerang organisasi layanan kesehatan—terutama di AS, di mana hampir sepertiga dari korban mereka berasal dari sektor ini. Dalam pembahasan ini, kami menyoroti tiga topik dari kasus ini yang menggambarkan pentingnya penelitian tepat waktu terhadap pelaku ancaman: Evolusi Chaya_002 menjadi ransomware Interlock Alasan mengapa kelompok ransomware terus menargetkan sektor layanan kesehatan Pelajaran yang dipetik dan rekomendasi Melacak Evolusi ke Ransomware: Dari Chaya_002 ke Interlock Pada September 2024, Forescout Research – Vedere Labs mengidentifikasi sebuah kelompok aktivitas dengan menganalisis injeksi JavaScript mencurigakan pada situs web yang sah. Kami menamai kelompok tersebut Chaya_002, yang mengungkap penggunaan: Sistem distribusi lalu lintas yang mengarahkan pengguna melalui situs WordPress yang telah dikompromikan untuk mengunduh tahap awal JavaScript untuk kompromi awal Powershell untuk mengunduh file eksekusi yang menyamar sebagai pembaruan browser Komunikasi terenkripsi dengan command and control (C2) Tugas terjadwal untuk mempertahankan keberlanjutan akses Dalam blog awal kami, kami juga menyebutkan kemungkinan evolusi dari kelompok ini untuk menyebarkan ransomware. Signifikansi Chaya_002 menjadi jelas pada awal November ketika laporan mengenai ransomware Interlock muncul, yang mempertahankan banyak teknik, taktik, dan prosedur (TTP) inti Chaya_002 dan memperluas kemampuannya. Hal ini dikonfirmasi lebih lanjut melalui analisis pada Januari 2025. Membandingkan laporan awal kami tentang Chaya_002 dengan laporan ransomware Interlock dari perusahaan lain menunjukkan jalur evolusi yang jelas. Pola yang konsisten dalam penggunaan infrastruktur, struktur kode Powershell, indikator jaringan, dan metodologi operasional menunjukkan adanya hubungan langsung dalam pengembangan antara keluarga malware ini. Memahami hubungan dan pola ini sangat penting untuk perburuan ancaman (threat hunting) serta strategi pertahanan terhadap evolusi ancaman di masa depan. Hingga tahap akses kredensial, aktivitas yang dilaporkan untuk Chaya_002 dan ransomware Interlock hampir identik: Untuk akses awal, keduanya menunjukkan pola yang konsisten dalam nama domain dan nama file, termasuk pengunduhan awal upd[random_numeric_string].[exe|msix]. Keduanya mengunduh tahap kedua dari apple-online[.]shop, yang menyamar sebagai pembaruan browser. Keduanya mempertahankan keberlanjutan akses melalui file .lnk yang mengarah ke payload awal. Keduanya mengumpulkan informasi dari mesin korban, seperti data login, profil, cookie, dan riwayat browser. Di luar kesamaan awal ini, dua laporan lanjutan mengidentifikasi TTP baru: Pencurian kredensial melalui keylogger DLL yang dieksekusi dengan RunDll32.exe. Upaya pre-kerberoasting menggunakan Powershell. [Catatan: Meskipun kami tidak mengamati Kerberoasting dalam Chaya_002, hal ini disebutkan dalam penasihat keamanan Kanada CF24-005 yang kami kutip dalam laporan awal.] Lateral movement menggunakan AnyDesk, Putty, dan RDP. Eksfiltrasi data menggunakan AzCopy ke penyimpanan Azure jarak jauh. Penyebaran ransomware menggunakan enkriptor yang mengidentifikasi drive logis untuk mengenkripsi file di mesin korban. Gambaran Besar Ransomware dalam Layanan Kesehatan Evolusi Chaya_002 menjadi ransomware Interlock menyoroti perkembangan Remote Access Trojan (RAT) yang tersembunyi menjadi operator ransomware dengan strategi double extortion (pemerasan ganda). Pelanggaran data di sektor layanan kesehatan akibat ransomware tidak hanya berdampak pada keuangan, tetapi juga nyawa pasien, dengan risiko operasional yang lebih tinggi dibandingkan sektor lain—termasuk waktu henti yang berkepanjangan dan gangguan dalam perawatan pasien. Kami telah menganalisis insiden ransomware besar di sektor layanan kesehatan selama beberapa tahun, termasuk serangan terhadap NHS Inggris pada 2022, ransomware Rhysida pada 2023, dan tinjauan risiko ransomware dalam layanan kesehatan pada 2024. Selama periode ini, kami tidak melihat adanya penurunan aktivitas yang menargetkan sektor ini. Sebaliknya, laporan terbaru dari Microsoft mengungkapkan bahwa: Organisasi layanan kesehatan yang mengakui telah membayar tebusan rata-rata membayar $4,4 juta. Serangan ransomware menyebabkan organisasi layanan kesehatan kehilangan $900.000 per hari hanya akibat waktu henti. Serangan ini tidak hanya memengaruhi organisasi yang menjadi target, tetapi juga rumah sakit tetangga yang harus menangani pasien yang tidak dapat dirawat di fasilitas yang diserang. Efek domino ini meliputi peningkatan 35% kedatangan pasien darurat dan 15% peningkatan volume pasien secara keseluruhan. Salah satu alasan utama mengapa sektor layanan kesehatan menjadi target utama kelompok ransomware adalah tekanan tinggi untuk membayar tebusan, akibat dampak operasional yang besar dan potensi sanksi peraturan. Alasan lainnya adalah kompleksitas jaringan mereka yang sulit untuk dipertahankan. Dalam jaringan layanan kesehatan rata-rata, terdapat ribuan perangkat medis, mulai dari pompa infus hingga mesin MRI, yang menciptakan permukaan serangan yang luas. Dalam laporan terbaru kami mengenai risiko perangkat IoMT (Internet of Medical Things), kami menemukan bahwa sekitar 50% perangkat dalam jaringan layanan kesehatan tidak terkelola, yang membawa risiko seperti kurangnya visibilitas dan terbatasnya kemampuan deteksi ancaman. Pelajaran yang Dipetik dan Rekomendasi Chaya_002 adalah kelompok aktivitas kedua yang mulai kami lacak tahun lalu, setelah kampanye yang kami beri nama Connect:fun dari Chaya_001 dan malware OT/ICS yang kami beri nama Chaya_003. Chaya_002 juga merupakan kelompok pertama yang kami lihat berkembang begitu cepat menjadi aktivitas yang lebih merusak. Hal ini semakin memperkuat motivasi kami untuk terus melacak pelaku ancaman dan membagikan informasi ini secara publik. Evolusi dari Chaya_002 menjadi ransomware Interlock memberikan beberapa pelajaran penting yang juga mengarah pada rekomendasi bagi organisasi layanan kesehatan: Menjaga Opsi Pencadangan dan Pemulihan Karena enkripsi data pada workstation dan sistem medis dapat mengganggu perawatan pasien, pencadangan data secara teratur serta protokol pemulihan sangat penting untuk mengurangi waktu henti. Namun, pencadangan dan pemulihan saja tidak cukup untuk menghindari dampak ransomware sepenuhnya. Mengendalikan Infeksi Ransomware dengan Cepat Kelompok ransomware semakin sering menggunakan teknik double extortion…

**Tahun ini menandai peringatan 15 tahun Stuxnet**—peristiwa tunggal yang membuat dunia mulai memperhatikan keamanan teknologi operasional (OT) dan sistem kontrol industri (ICS). Dalam laporan ancaman tahunan terbaru kami, kami menunjukkan bagaimana jumlah serangan siber dan aktor ancaman yang menargetkan infrastruktur kritis (CI) telah meningkat secara signifikan, terutama sejak 2022, di mana insiden CI meningkat sebesar **668% dalam tiga tahun terakhir**. Di sini, kami membahas bagaimana serangan terhadap CI dan OT/ICS telah berkembang sejak Stuxnet. Ancaman terhadap Infrastruktur Kritis CI, termasuk perangkat OT/ICS yang mengontrol proses fisiknya, telah menjadi target serangan siber setidaknya selama **15 tahun terakhir**. Bahkan, jika mempertimbangkan insiden sebelum Stuxnet, seperti **Maroochy Water**, maka serangan terhadap CI sudah berlangsung lebih lama. Namun, meningkatnya integrasi sistem digital dalam lingkungan industri dalam beberapa tahun terakhir telah membuat OT/ICS semakin rentan terhadap serangan siber, dengan mengekspos kelemahan dan memberikan cara baru bagi aktor ancaman untuk menargetkan korban mereka. Serangan siber yang secara khusus menargetkan gangguan OT/ICS dapat menyebabkan **kerusakan fisik** pada infrastruktur kritis seperti pabrik manufaktur, jaringan energi, dan fasilitas pengolahan air. Serangan ini terkadang menggunakan **malware yang dirancang khusus** untuk menyusup, memanipulasi, atau menonaktifkan sistem industri yang mengontrol proses dalam infrastruktur kritis. Namun, serangan kompleks yang ditargetkan dengan **malware canggih yang disponsori negara**, seperti **Stuxnet dan Industroyer**, hanyalah sebagian dari ancaman yang ada. Saatini, serangan terhadap CI tidak hanya terbatas pada senjata digital yang dikembangkan oleh negara, tetapi juga melibatkan berbagai **jenis ancaman siber lainnya**. Gambar di bawah ini merangkum **linimasa serangan atau peristiwa penting dalam 15 tahun terakhir** dan bagaimana peristiwa tersebut mencerminkan perubahan dalam lanskap keamanan siber CI, yang akan kami bahas lebih lanjut. Serangan yang Disponsori Negara dengan Malware OT Awalnya, serangan siber yang menargetkan infrastruktur kritis (CI) dilakukan oleh aktor yang disponsori negara sebagai bagian dari kampanye spionase atau sabotase. Malware khusus dirancang untuk menyusup ke fasilitas tertentu dan mengganggu operasionalnya. Tiga peristiwa menonjol dalam periode ini. Stuxnet (2010) Stuxnet adalah malware pertama yang secara global dipublikasikan sebagai ancaman terhadap OT/ICS. Malware ini menandai era baru di mana serangan siber tidak hanya merusak data, tetapi juga dapat menyebabkan kerusakan fisik pada infrastruktur. Pengembangan Stuxnet diperkirakan dimulai sejak 2005 oleh intelijen Israel dan Amerika Serikat dengan tujuan memperlambat program nuklir Iran. Target spesifiknya adalah Siemens PLC yang mengontrol sentrifugal pengayaan uranium di fasilitas Natanz, Iran. Metode awal infeksi adalah melalui USB drive yang terinfeksi, karena jaringan target terisolasi (air-gapped). Stuxnet dirancang untuk mengubah kecepatan putaran sentrifugal secara tidak teratur, sementara pada saat yang sama, sistem tetap menampilkan informasi bahwa semuanya beroperasi normal di mata para insinyur. Industroyer (2016) Industroyer dianggap sebagai ancaman terbesar bagi OT/ICS sejak Stuxnet karena merupakan malware pertama yang menargetkan infrastruktur sipil. Malware ini menyebabkan pemadaman listrik di Ukraina dengan memanfaatkan protokol OT IEC-104 untuk mengambil alih saklar pemutus sirkuit dan relai perlindungan di gardu listrik. Serangan ini dikaitkan dengan kelompok Sandworm APT yang berafiliasi dengan Rusia. Pada tahun 2022, ditemukan versi lanjutan bernama Industroyer2, juga dikaitkan dengan Sandworm. Namun, serangan ini berhasil dihentikan sebelum mencapai tingkat gangguan yang sama seperti serangan sebelumnya. Triton (2017) Triton adalah malware pertama yang dirancang untuk menyerang Safety Instrumented Systems (SIS)—sistem keselamatan industri yang berfungsi untuk melindungi proses industri dan mencegah kecelakaan yang berpotensi membahayakan nyawa manusia. Malware ini menargetkan Triconex SIS controllers dari Schneider Electric yang digunakan di pabrik petrokimia di Arab Saudi. Dengan mengompromikan SIS, Triton berpotensi menonaktifkan fitur keselamatan, yang dapat menyebabkan ledakan atau pelepasan zat beracun. Serangan ini dikaitkan dengan Rusia, lebih spesifiknya dengan kelompok yang beroperasi dalam Central Scientific Research Institute of Chemistry and Mechanics. Munculnya Ransomware dan Kejahatan Siber (Sejak 2017) Seperti yang ditunjukkan dalam laporan ancaman terbaru, penjahat siber kini menjadi ancaman paling umum bagi sektor infrastruktur kritis. Berbeda dengan serangan yang disponsori negara, penjahat siber lebih fokus pada keuntungan finansial, dengan salah satu metode paling menguntungkan adalah pemerasan melalui ransomware. Ransomware sebenarnya sudah ada sejak 1989, tetapi dalam beberapa tahun terakhir, jumlah serangan terhadap infrastruktur kritis meningkat drastis. Database Critical Infrastructure Ransomware Attacks yang dikelola oleh Temple University mencatat hampir 2.000 insiden ransomware terhadap infrastruktur kritis sejak 2013. Dua peristiwa sangat berpengaruh dalam meningkatnya ransomware yang menargetkan infrastruktur kritis. WannaCry (2017) WannaCry muncul pada tahun 2017 dan diperkirakan telah menyerang lebih dari 200.000 perangkat di 150+ negara, dengan korban termasuk Honda, Nissan, FedEx, dan National Health Service (NHS) di Inggris. Serangan ini berdampak luas pada sektor manufaktur, transportasi, kesehatan, dan berbagai sektor infrastruktur kritis lainnya. Malware ini dikaitkan dengan kelompok ancaman Lazarus, yang diduga beroperasi atas nama pemerintah Korea Utara. WannaCry mengeksploitasi kerentanan EternalBlue di Windows, yang memungkinkan penyebaran otomatis tanpa interaksi pengguna. Setelah menginfeksi komputer, malware ini mengenkripsi file dan meminta tebusan dalam bentuk Bitcoin agar file dapat dipulihkan. Serangan ini merupakan pertama kalinya banyak orang menyadari ancaman ransomware yang kemudian menjadi semakin marak di dekade berikutnya. Catatan tebusan WannaCry bahkan menjadi ikon yang mudah dikenali dalam kasus pemerasan digital. Data Exfiltration dan Model Ransomware-as-a-Service (RaaS) (2019-2021) Antara 2019 dan 2020, serangan ransomware meningkat 62% secara global dan 158% di Amerika Utara. Peningkatan eksplosif ini berlanjut selama dan setelah pandemi COVID-19, yang dipicu oleh peningkatan kerja jarak jauh. Dua inovasi besar dalam operasi ransomware pada masa itu menjadikan serangan ini sangat menguntungkan dan menjadi salah satu penyebab lonjakan aktivitas serangan tersebut. Ransomware-as-a-Service (RaaS) Penciptaan model RaaS merupakan hal yang sangat penting. Pengembang ransomware menyewakan kreasi mereka melalui program afiliasi kepada operator yang melanggar organisasi, menyebarkan malware, dan kemudian berbagi keuntungan dengan pengembang asli. Model ini memberikan skala besar pada operasi penjahat siber, yang selanjutnya ditingkatkan dengan pembagian kerja lebih lanjut, termasuk brokers akses awal dan aktor-aktor spesialis lainnya. Metode Ekstorsi Baru dengan Titik Tekanan Publik Inovasi dalam metode pemerasan, seperti mencuri data sebelum mengenkripsi, menerbitkannya di situs kebocoran, dan mempermalukan korban secara publik, merubah permainan. Metode-metode ini meningkatkan probabilitas bahwa tebusan akan dibayar dan mendorong penjahat siber untuk mengejar organisasi besar. Pada masa inilah nama-nama seperti Cl0p, Conti, DarkSide, LockBit, Maze, dan REvil—beberapa yang kini sudah tidak aktif—menjadi terkenal karena jutaan dolar yang mereka peras dari korban mereka. Contoh serangan terkenal adalah serangan terhadap Colonial Pipeline. Pada 7…