Dengan meningkatnya jumlah serangan siber, biaya yang terus melonjak, dan ketegangan geopolitik yang semakin tinggi di seluruh dunia, keamanan siber akan tetap menjadi prioritas utama bagi organisasi pada tahun 2025. Dalam ringkasan laporan ancaman terbaru kami, kami meninjau kembali 900 juta serangan yang terdeteksi dalam lanskap ancaman tahun 2024—naik 114% dibandingkan dengan 420 juta serangan pada tahun sebelumnya. Kami juga memberikan wawasan taktis serta rekomendasi strategis bagi organisasi untuk meningkatkan pertahanan mereka di tahun 2025, yang dapat ditemukan dalam bagian mitigasi yang kami sarankan di bawah ini. Temuan Utama Laporan Ancaman 2024 Asal Serangan Serangan berasal dari 213 negara, dengan 10 negara teratas menyumbang 78% dari lalu lintas berbahaya. Rusia melampaui China sebagai asal serangan yang paling umum. 57% serangan berasal dari IP yang dikelola oleh ISP, 33% dari organisasi bisnis, pemerintah, dan sektor lainnya, serta 10% dari penyedia hosting atau cloud. Tren ini mencerminkan peningkatan penggunaan perangkat yang telah dikompromikan untuk meluncurkan serangan langsung, baik melalui “residential proxies” maupun teknik canggih baru seperti jaringan ORB. Jenis Layanan yang Diserang Aplikasi web kembali menjadi layanan yang paling banyak diserang, diikuti oleh protokol manajemen jarak jauh: Layanan manajemen jarak jauh sering menjadi target dengan username spesifik yang terkait dengan basis data, cloud, dan infrastruktur DevOps. Aplikasi web lebih sering menjadi sasaran eksploitasi kerentanan. Eksploitasi Eksploitasi terhadap perangkat infrastruktur jaringan menjadi kategori kedua yang paling banyak digunakan: Eksploitasi terhadap perpustakaan perangkat lunak dan perangkat IoT mengalami penurunan proporsional. Hanya 27% dari kerentanan yang dieksploitasi tercantum dalam daftar CISA KEV (turun dari 25% pada tahun 2023). Setidaknya 25 kerentanan pada perangkat OT dan IoT industri yang dieksploitasi oleh botnet dan serangan otomatis tidak terdaftar dalam daftar tersebut. Tindakan pasca-eksploitasi berfokus pada: Discovery (84%), meningkat tajam dari 25% di tahun 2023. Persistence (12%). Execution (4%). Serangan terhadap OT dan Otomasi Bangunan Lima protokol OT yang paling sering diserang: Modbus tetap menjadi target utama dengan 40% serangan. Ethernet/IP di posisi kedua dengan 28%, diikuti oleh Step7, DNP3, dan BACnet masing-masing sekitar 8%. Peningkatan serangan terhadap protokol otomasi bangunan populer seperti BACnet, Fox, dan KNX. Sebagian besar serangan tetap menargetkan protokol yang digunakan dalam otomasi industri. Analisis Pelaku Ancaman Pelaku ancaman menargetkan 176 negara: Amerika Serikat menjadi target utama dengan 264 aktor ancaman. Jerman di posisi kedua dengan 144 aktor, diikuti oleh India (141 aktor). Sebagian besar pelaku ancaman berasal dari China (199), Rusia (98), dan Iran (55). Ketiga negara ini menyumbang 43% dari total kelompok ancaman dalam database kami. Sektor yang paling banyak diserang adalah pemerintah, layanan keuangan, dan telekomunikasi. Peningkatan Fokus Serangan pada Infrastruktur Kritis (CI) Jumlah insiden terhadap CI meningkat 10% dari 2023 ke 2024. 57% dari seluruh insiden menargetkan sektor infrastruktur kritis. Perubahan signifikan dalam proporsi insiden CI: 2022: 34% dari total insiden. 2023: 58% dari total insiden. Distribusi Insiden Berdasarkan Negara AS mengalami jumlah insiden tertinggi, tetapi serangan terhadap CI semakin tersebar secara global. Dalam tiga tahun terakhir, jumlah negara yang terkena dampak meningkat 192%: 2022: 27 negara. 2023: 57 negara. 2024: 79 negara. Negara dengan insiden CI terbanyak setelah AS: Eropa: Jerman, Prancis, Spanyol, Italia, Inggris. Asia: Jepang, India, Korea, Taiwan, Singapura. Distribusi Insiden Berdasarkan Industri Sektor kesehatan mengalami insiden terbanyak pada 2023 dan 2024, meskipun persentasenya menurun dari 24% menjadi 17%. Layanan keuangan tetap di posisi kedua, tetapi meningkat dari 12% menjadi 17%. Pemerintah naik dari posisi keempat (2023) menjadi ketiga (2024). Manufaktur melonjak dari posisi keenam ke keempat. Mayoritas pelaku ancaman: Kejahatan siber menargetkan kesehatan, layanan keuangan, dan manufaktur. Aktor yang didukung negara menargetkan pemerintahan dan energi. Aktivitas hacktivist lebih umum di sektor pemerintahan. Malware Botnet menjadi jenis malware paling populer (29%, naik dari 22% pada 2023), diikuti oleh infostealers dan RATs. Tidak ada perubahan besar dalam jenis malware yang umum, tetapi keluarga malware populer dan server C2 mengalami perubahan. Mirai kembali menjadi malware yang paling umum. Lumma stealer menjadi entri baru paling populer di peringkat kedua. Cobalt Strike tetap menjadi C2 yang paling banyak digunakan, tetapi penggunaan Viper meningkat tajam, melampaui Sliver, yang sebelumnya banyak mendapat perhatian pada 2023. Mitigasi yang Direkomendasikan Sepanjang laporan ancaman ini, kami memberikan wawasan bagi para pembela keamanan. Seperti tahun sebelumnya, kami merekomendasikan organisasi untuk fokus pada tiga pilar utama keamanan siber: Manajemen Risiko & Paparan Identifikasi semua aset yang terhubung ke jaringan, termasuk tingkat kritikalitas, postur keamanan, kredensial, dan port yang terbuka. Ubah kredensial default dan gunakan kata sandi yang kuat serta unik untuk setiap perangkat. Nonaktifkan layanan yang tidak digunakan dan patch kerentanan untuk mencegah eksploitasi. Gunakan kontrol otomatis untuk mitigasi risiko yang tidak hanya bergantung pada agen keamanan, tetapi berlaku untuk seluruh perusahaan, bukan hanya jaringan IT, OT, atau tipe perangkat tertentu. Keamanan Jaringan Jangan mengekspos perangkat yang tidak dikelola langsung ke internet. Segmentasi jaringan untuk memisahkan perangkat IT, IoT, dan OT, serta membatasi koneksi hanya ke workstation manajemen dan rekayasa yang diizinkan. Segmentasi tidak hanya antara IT dan OT, tetapi juga dalam jaringan masing-masing untuk mencegah pergerakan lateral dan pencurian data. Batasi jalur komunikasi eksternal dan isolasi perangkat yang rentan sebagai langkah mitigasi jika patch belum tersedia. Deteksi & Respons Ancaman solusi pemantauan yang mendukung IoT/OT dan DPI untuk mendeteksi indikator dan aktivitas berbahaya, seperti eksploitasi kerentanan, penebakan kata sandi, atau penggunaan protokol OT yang tidak sah. Blokir lalu lintas anomali dan tidak valid, atau setidaknya berikan peringatan kepada administrator jaringan. Gunakan solusi deteksi dan respons ancaman yang mengumpulkan data dari berbagai sumber, termasuk alat keamanan, aplikasi, infrastruktur, dan cloud, untuk mengidentifikasi sinyal serangan dan mengotomatiskan respons di seluruh perusahaan. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di forescout.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!
Category: blog
Mengapa Regulasi DORA Penting di Luar Uni Eropa
Waktu terus berjalan menuju tenggat penting dalam regulasi keamanan siber di Eropa. Pada 17 Januari 2025, Digital Operational Resilience Act (DORA) secara resmi mulai berlaku di Uni Eropa (UE). Regulasi ini dirancang untuk memperkuat ketahanan operasional digital lembaga keuangan dalam menghadapi ancaman siber yang terus berkembang, sekaligus menjaga stabilitas sistem keuangan di era digital. Lebih dari Sekadar Bank dan Lembaga Keuangan Seperti halnya GDPR yang dampaknya meluas ke seluruh dunia, DORA juga tidak hanya berlaku untuk perusahaan jasa keuangan atau bank yang beroperasi di UE. Regulasi ini juga mencakup penyedia layanan Teknologi Informasi dan Komunikasi (ICT) serta vendor pihak ketiga yang menjadi bagian dari rantai pasok layanan digital sektor keuangan. Artinya, perusahaan teknologi dan penyedia layanan di luar UE yang berhubungan dengan entitas keuangan Eropa juga akan terdampak.Jika perusahaan Anda masuk dalam kategori ini dan belum melakukan persiapan, sekarang adalah saat yang tepat untuk bertindak. Mengapa DORA Penting di Luar Uni Eropa? Dalam dunia keuangan global yang saling terhubung, peraturan seperti DORA seringkali menjadi standar acuan yang memengaruhi pendekatan terhadap manajemen risiko dan keamanan siber di seluruh dunia. CISOs, compliance officers, dan tim manajemen risiko di luar UE harus memahami DORA untuk: Menjaga keberlanjutan hubungan bisnis dengan mitra keuangan Eropa. Memastikan kepatuhan terhadap standar keamanan operasional yang semakin ketat. Memperkuat ketahanan digital terhadap ancaman siber yang terus berkembang. Apa yang Harus Dilakukan? Menurut Corporate Compliance Insights (CCI) dalam artikel berjudul “Beyond Box-Checking: How EU’s NIS2 and DORA Elevate Security Standards”, pemenuhan regulasi seperti DORA bukan sekadar “check the box” untuk formalitas kepatuhan. Sebaliknya, perusahaan harus membangun tata kelola risiko yang kuat dengan memanfaatkan teknologi yang tepat, seperti: Integrated Risk Management (IRM) untuk pengelolaan risiko secara terintegrasi. Incident Detection and Response Systems untuk mendeteksi dan merespons insiden keamanan. Third-Party Risk Management (TPRM) untuk mengelola risiko vendor. Data Encryption Solutions untuk perlindungan data sensitif. Network Discovery Tools untuk visibilitas jaringan yang lebih baik. Catat Tenggat Waktu: 17 Januari 2025 DORA bukan sekadar regulasi regional, melainkan indikator peningkatan standar keamanan digital di sektor keuangan global. Perusahaan di seluruh dunia perlu segera meninjau kesiapan operasional dan memastikan ketahanan digital mereka sesuai dengan perkembangan peraturan ini. Sudahkah Anda siap menghadapi DORA? Mengapa DORA Diperlukan Ancaman digital saat ini semakin kompleks—dan para penyerang tidak mengenal batas wilayah. Serangan ransomware saja meningkat 73% pada tahun 2023. Para pelaku kejahatan siber kini dengan mudah membeli dan menggunakan “attack kits” otomatis yang memanfaatkan celah keamanan yang telah ditemukan pada perangkat keras dan perangkat lunak. Dalam riset 2024 tentang perangkat paling berisiko, sektor jasa keuangan menempati posisi keempat sebagai industri dengan perangkat paling rentan, setelah manufaktur, pendidikan, dan teknologi. Selain itu, sejak 2023, kerentanan pada perangkat IoT meningkat sebesar 136%, menciptakan pintu masuk baru bagi pelaku kejahatan untuk mengancam sistem keuangan dan operasi bisnis. DORA hadir sebagai respons terhadap eskalasi risiko ini, bertujuan untuk membangun ketahanan operasional digital di sektor keuangan dengan memastikan bahwa perusahaan mampu menghadapi, merespons, dan memulihkan diri dari gangguan siber secara efektif. Dari Ransomware hingga Penipuan Digital: Kenapa DORA Begitu Penting bagi Sektor Keuangan Dunia kejahatan digital terus berkembang pesat—mulai dari ransomware as a service, penipuan digital, hingga scam berbasis AI. Kejahatan siber tanpa wajah ini menghantui semua industri, namun sektor keuangan seperti bank, perusahaan kartu kredit, dan asuransi menjadi target utama. Tak heran, premi asuransi siber terus meningkat dan anggaran keamanan siber di sektor ini melonjak. Perusahaan jasa keuangan berinvestasi besar dalam keamanan IT demi melindungi aset digital mereka. Ketergantungan pada Teknologi Membawa Risiko Baru Parlemen Uni Eropa menegaskan dalam penjelasan resminya: “Sektor keuangan semakin bergantung pada teknologi dan perusahaan teknologi untuk menyediakan layanan keuangan. Hal ini membuat entitas keuangan rentan terhadap serangan atau insiden siber.” Perusahaan jasa keuangan, seperti bank dan penyedia layanan investasi, mengoperasikan data center dan sistem perdagangan sendiri. Namun, seiring perkembangan, mereka juga beralih ke solusi cloud-based fintech untuk keperluan analitik, kecerdasan buatan (AI), dan aplikasi lainnya. Adopsi teknologi cloud semakin meningkat: Menurut riset Accenture, pada 2022, bank telah memindahkan 15% beban kerja mereka ke cloud—dua kali lipat dibandingkan 2021. Namun, perpindahan ini juga memperluas permukaan serangan karena: Infrastruktur dan aplikasi tidak lagi 100% dikelola sendiri Keterlibatan banyak mitra dan vendor pihak ketiga dengan koneksi digital di back-end Pengelolaan risiko pihak ketiga (Third-Party Risk Management / TPRM) menjadi semakin krusial. Proses Regulasi DORA DORA (Digital Operational Resilience Act) bukan aturan yang muncul tiba-tiba. Prosesnya dimulai sejak 2020 dan diratifikasi pada 2022. Tanggal efektif penerapannya: 17 Januari 2025. DORA memperluas konsep resiliensi operasional dalam sistem keuangan—bukan hanya fokus pada risiko modal atau aspek ekonomi, tetapi juga ancaman digital. Tujuan DORA: Menjamin bahwa perusahaan keuangan mampu mencegah, merespons, dan pulih dari gangguan siber, sekaligus mengamankan stabilitas keuangan di kawasan UE. 6 Pilar Kepatuhan DORA: Manajemen Risiko ICT Manajemen Risiko Pihak Ketiga ICT Pengujian Ketahanan Operasional Digital Penanganan Insiden terkait ICT Berbagi Informasi Ancaman Siber Pengawasan Penyedia Layanan Pihak Ketiga yang Kritis Mengapa Ini Penting? “Jika risiko ICT tidak dikelola dengan baik, gangguan pada layanan keuangan lintas negara bisa terjadi,” jelas Uni Eropa. “Hal ini dapat berdampak pada perusahaan lain, sektor lain, bahkan ekonomi secara keseluruhan. Inilah alasan mengapa ketahanan operasional digital sektor keuangan sangat penting.” Kesimpulan: DORA hadir sebagai fondasi baru untuk memperkuat ketahanan digital sektor keuangan, mengantisipasi risiko teknologi yang tak hanya membahayakan perusahaan individual, tetapi juga stabilitas ekonomi regional. “Forescout Platform untuk DORA” Siapa Saja yang Terdampak DORA? Menurut PWC, DORA (Digital Operational Resilience Act) berlaku untuk lebih dari 22.000 entitas keuangan dan penyedia layanan ICT yang beroperasi di dalam Uni Eropa, serta infrastruktur ICT yang mendukung mereka dari luar UE. Berikut ini beberapa contoh perusahaan yang termasuk dalam cakupan DORA: Institusi Kredit (Bank) Lembaga Penyimpanan Sekuritas Pusat Penyedia Layanan Pelaporan Data Penyedia Layanan Crowdfunding Institusi Pembayaran Lembaga Kliring Sentral Perusahaan Asuransi dan Reasuransi Lembaga Repositori Sekuritisasi Penyedia Layanan Informasi Rekening Bursa Efek / Platform Perdagangan Perantara Asuransi Lembaga Keuangan Lainnya Institusi Uang Elektronik Repositori Perdagangan Institusi Penyedia Pensiun Karyawan Entitas Non-Keuangan: Penyedia Layanan ICT* Perusahaan Investasi Pengelola Dana Investasi Alternatif Lembaga Pemeringkat Kredit Penyedia Layanan Aset Kripto Perusahaan Manajemen Investasi…
Kepatuhan HIPAA untuk Sektor Kesehatan: Amandemen Baru Menargetkan Celah Keamanan Besar
Amandemen HIPAA: Mengapa Perubahan Besar di Keamanan Data Kesehatan Tak Bisa Dihindari Mari jujur saja. Beberapa tahun terakhir menjadi masa yang sangat sulit bagi keamanan data di sektor kesehatan. Data medis sangat berharga di pasar gelap dan terlalu mudah dijadikan sasaran ransomware. Jadi, tidak mengherankan jika perubahan besar terhadap regulasi HIPAA akhirnya muncul—apalagi setelah 12 tahun tidak ada pembaruan. Kenapa Perubahan Ini Mendesak? Kita semua mungkin sudah paham, tetapi berikut fakta-fakta yang perlu jadi perhatian, menurut Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) serta riset Forescout: Data dari HHS: Pelanggaran data berskala besar di sektor kesehatan meningkat 102% dari 2018 hingga 2023. 167 juta individu terdampak pelanggaran data sepanjang tahun 2023—hampir setengah populasi AS. Temuan Forescout Research – Vedere Labs: Kerentanan pada perangkat IoT, termasuk perangkat medis terhubung (IoMT), meningkat 136% year-over-year. Pada 2022, ditemukan 7.000 sistem medis terekspos di internet, meliputi: PACS (sistem penyimpanan dan distribusi gambar medis) Healthcare integration engines Rekam medis elektronik (EHR) Sistem pendistribusian obat Printer gambar medis 2024: Jumlah sistem pendistribusian obat yang terekspos meningkat 23% dibandingkan 2022, dengan 225 perangkat ditemukan secara terbuka di internet. Apa Artinya Ini? Data medis menjadi target empuk bagi pelaku kejahatan siber karena nilainya yang tinggi. Sistem kesehatan kini sangat terhubung, mulai dari perangkat medis (IoMT), rekam medis elektronik, hingga integrasi farmasi. Setiap celah dapat menjadi pintu masuk bagi peretas. Dengan semakin banyaknya perangkat terhubung ke internet tanpa pengamanan memadai, risiko serangan meningkat drastis. HIPAA: Saatnya Adaptasi dengan Ancaman Baru Amandemen terbaru pada HIPAA bertujuan untuk menjawab situasi kritis ini, dengan fokus pada: Penguatan perlindungan data pasien. Pengawasan lebih ketat terhadap perangkat medis terhubung. Peningkatan kewajiban pelaporan insiden. Pengamanan yang lebih ketat terhadap sistem berbasis cloud dan pihak ketiga. Amandemen HIPAA: Perubahan Besar Demi Menutup Celah Keamanan Data Kesehatan Tidak bisa dipungkiri, beberapa tahun terakhir merupakan periode paling berat bagi keamanan data di sektor kesehatan. Data medis menjadi barang mahal di pasar gelap dan begitu mudah disandera lewat serangan ransomware. Maka, setelah 12 tahun tanpa pembaruan, amandemen besar terhadap regulasi HIPAA akhirnya hadir sebagai langkah yang tak bisa ditunda lagi. Mengapa Perubahan Ini Mendesak? Biar lebih jelas, mari kita tengok fakta berikut dari Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) dan riset terkini Forescout Vedere Labs: Data dari HHS: Pelanggaran data berskala besar di sektor kesehatan meningkat 102% antara 2018 hingga 2023. 167 juta individu terdampak insiden pelanggaran data hanya dalam setahun pada 2023—hampir setengah populasi AS. Temuan Forescout Vedere Labs: Kerentanan pada perangkat IoT, termasuk perangkat medis terhubung (IoMT), melonjak 136% secara year-over-year. 2022: Teridentifikasi 7.000 sistem medis terekspos di internet, di antaranya: PACS (sistem penyimpanan dan distribusi gambar medis) Healthcare integration engines Rekam medis elektronik (EHR) Sistem pendistribusian obat Printer gambar medis 2024: Sistem pendistribusian obat yang terekspos meningkat 23% dari 2022, dengan 225 perangkat terpantau terbuka di internet. Apa Dampaknya bagi Industri Kesehatan? Data medis menjadi sasaran utama pelaku kejahatan siber karena nilainya yang tinggi dan sifatnya yang sensitif. Transformasi digital membuat ekosistem kesehatan semakin terhubung: dari perangkat medis (IoMT), rekam medis elektronik, hingga rantai distribusi farmasi. Setiap celah sistem bisa jadi pintu masuk peretas. Lonjakan perangkat yang terhubung ke internet tanpa pengamanan yang memadai memicu peningkatan risiko serangan yang signifikan. HIPAA: Beradaptasi dengan Ancaman Siber Masa Kini Amandemen terbaru HIPAA hadir untuk menjawab eskalasi ancaman ini, dengan penekanan pada beberapa aspek krusial: Peningkatan perlindungan data pasien dari serangan siber. Pengawasan lebih ketat terhadap perangkat medis terhubung (IoMT). Kewajiban pelaporan insiden diperluas dan dipercepat. Pengamanan lebih kuat terhadap layanan cloud dan pihak ketiga yang terhubung ke jaringan layanan kesehatan. Amandemen Peraturan HIPAA 2024: HISAA Perketat Standar Keamanan Data Kesehatan Tahun 2024 menghadirkan rancangan undang-undang baru yang disebut Health Infrastructure Security and Accountability Act (HISAA). Regulasi ini berpotensi membawa perubahan besar bagi Entitas yang Tercakup dalam HIPAA (Covered Entities) dan Mitra Bisnis (Business Associates). Di bawah HISAA, persyaratan keamanan minimum dan tambahan akan ditetapkan – dengan keterlibatan CISA dan Direktur Intelijen Nasional AS – serta ancaman denda bagi ketidakpatuhan. Pokok Perubahan Aturan yang Diusulkan Meskipun ada banyak ketentuan baru, HIPAA Journal merangkum 17 persyaratan utama. Yang paling mendasar adalah setiap entitas wajib membangun inventaris aset teknologi dan peta jaringan. Ini menjadi syarat awal untuk memenuhi seluruh ketentuan lainnya. Pasal 164.306 dalam rancangan aturan baru (Security Standards: General Rules) menyatakan bahwa setiap entitas harus mengidentifikasi semua sistem informasi yang membuat, menerima, menyimpan, atau mengirimkan ePHI (electronic Protected Health Information), serta seluruh aset teknologi sebagaimana didefinisikan dalam 45 CFR 164.304: “Entitas yang diatur tidak dapat memahami risiko terhadap kerahasiaan, integritas, dan ketersediaan ePHI tanpa memahami sepenuhnya aset-aset ini.” Berikut lima area utama yang merangkum 17 persyaratan tersebut: Area Fokus Poin Penting 1. Asset Insights Inventaris aset teknologi dan peta jaringan, diperbarui secara berkala (setidaknya setiap 12 bulan) 2. Risk Analysis Analisis ancaman, kerentanan, dan penilaian risiko terhadap ePHI 3. Securing & Isolating Key Network Components Segmentasi jaringan, pengamanan aset, dan perlindungan perangkat 4. Incident Response Planning Prosedur pemulihan data dalam waktu 72 jam, prioritas berdasarkan kritikalitas 5. Compliance Audits Audit kepatuhan dan pengujian keamanan minimal setiap 12 bulan Detail Persyaratan Teknis Penting Lainnya: Pemetaan jaringan dan inventaris aset teknologi: Perbarui setidaknya setiap 12 bulan. Analisis Risiko: Evaluasi ancaman, kerentanan, dan penilaian risiko yang komprehensif. Perencanaan Kontingensi & Respons Insiden: Prosedur pemulihan data dalam waktu 72 jam. Audit Kepatuhan Security Rule: Dilakukan setidaknya setiap 12 bulan. Uji Keamanan: Vulnerability Scan: Setiap 6 bulan. Penetration Test: Setiap 12 bulan. Enkripsi: ePHI saat beristirahat (at rest) dan saat ditransmisikan (in transit). Multi-factor Authentication (MFA). Segmentasi Jaringan. Anti-malware Protection. Pengamanan Perangkat Portabel: Workstation, mobile, tablet, dan perangkat portabel lainnya. Patch Management. Penghapusan Software yang Tidak Diperlukan. Menonaktifkan Port Jaringan yang Tidak Digunakan. Cadangan Data (Backup). Audit Keamanan Mitra Bisnis (Business Associate): Setiap 12 bulan. Implikasi: Ini Bukan Lagi Opsional Jika HISAA diimplementasikan, peraturan ini akan memperkuat perlindungan terhadap ePHI dan menutup celah yang selama ini dieksploitasi. Sebelumnya, aturan HIPAA membedakan antara ketentuan “wajib” dan “bisa diterapkan” (addressable), yang sering disalahartikan sebagai opsional. Kini, HHS menegaskan bahwa: “Kami khawatir beberapa entitas yang diatur menganggap kepatuhan terhadap spesifikasi implementasi yang bersifat ‘addressable’ itu…
Ransomware Hunters International: Pelajaran yang Kami Dapat dari Serangan Oracle WS
Ringkasan Juli 2024: Pemburu ancaman kami mencatat peningkatan serangan September 2024: Hunters International memposting informasi tentang serangan di situs kebocoran data Kami menemukan bukti serangan dengan titik masuk di server web Oracle, dan: Pergerakan lateral Eksfiltrasi data sensitif Enkripsi file Penonaktifan pemulihan data Panduan Tinjau berbagi pengetahuan kami dalam briefing ancaman lengkap untuk: Taktik, Teknik, dan Prosedur (TTP) Peluang deteksi Indikator Kompromi (IoC) Ikuti praktik terbaik dalam deteksi dan respons terhadap ancaman Gunakan aturan deteksi ancaman khusus—termasuk log telemetri EDR untuk membantu mengidentifikasi dan mengotomatiskan respons insiden Hunters International adalah operasi ransomware-as-a-service (RaaS) yang pertama kali muncul pada Oktober 2023, dengan lebih dari 200 korban sejak awal kemunculannya. Pada November 2024 saja, grup ini mengklaim 24 organisasi korban, rata-rata hampir satu per hari: 10 di AS 2 di Inggris 12 secara global: 7 di Uni Eropa 3 di Amerika Selatan 2 di Asia Dari membocorkan data US Marshals dan FBI hingga memeras bank China, ICBC, di London, Hunters International adalah layanan ransomware yang sangat aktif dan menguntungkan. Dikenal karena desainnya yang dapat disesuaikan, ransomware Hunters International ditulis dalam bahasa Rust, yang memungkinkannya untuk melewati deteksi, mempercepat enkripsi, dan memastikan kompatibilitas lintas platform. Malware ini memiliki kesamaan kode dengan ransomware Hive, tetapi memperbaiki desain Hive dengan menyederhanakan opsi baris perintah dan mengoptimalkan manajemen kunci. Yang mencolok, ransomware ini menyematkan kunci enkripsi dalam file yang ter-enkripsi, sebuah teknik yang menyulitkan dekripsi namun mempermudah proses pemulihan bagi korban yang membayar tebusan. Dalam briefing ancaman terbaru, kami menganalisis insiden di mana penyerang mengeksploitasi Oracle Web Server yang terhubung ke publik untuk mendapatkan akses awal ke jaringan korban. Setelah itu, mereka melakukan rekognisi dan pergerakan lateral menggunakan alat komoditas, mengekstrak data sensitif, menonaktifkan opsi pemulihan data, dan akhirnya mengenkripsi file menggunakan enkriptor Hunters International. Briefing ancaman lengkap juga memberikan analisis malware serta rekomendasi untuk mendeteksi, mengurangi, dan berburu aktivitas jenis ini. Berikut ini, kami merangkum insiden tersebut dan bagaimana Forescout dapat membantu mengurangi ancaman jenis ini. Deskripsi Insiden: Ransomware Hunters International Pada Juli 2024, kami mengamati peningkatan pemberitahuan keamanan di jaringan yang kami pantau, yang menandakan potensi aktivitas jahat. Kami hanya memiliki visibilitas endpoint parsial pada akun tersebut sebagai bagian dari keterlibatan proof-of-concept, sehingga pemberitahuan tersebut tidak dapat disimpulkan saat itu. Pemberitahuan tersebut kemudian terhubung dengan kampanye serangan yang lebih luas. Pada September 2024, para penyerang memposting informasi tentang aktivitas mereka di situs kebocoran data, mengonfirmasi kecurigaan kami. Selama penyelidikan, kami menemukan bukti upaya eksploitasi yang menargetkan berbagai kerentanannya, pembuangan kredensial, dan penggunaan SMB serta RDP untuk pergerakan lateral di jaringan. Setelah penyelidikan mendalam, kami merekonstruksi urutan kejadian yang mengarah pada insiden ini dengan beberapa keterbatasan karena visibilitas parsial. Proses ini dirangkum dalam gambar di bawah: Akses Awal Penyelidikan mengidentifikasi dua metode potensial di mana penyerang mungkin telah mendapatkan akses ke lingkungan. Malware AutoIt yang Diganti Namanya Para penyerang menyebarkan malware AutoIt yang telah diganti namanya, diikuti dengan aktivitas pemindaian jaringan. Mereka juga berusaha untuk mengkompromikan pengontrol domain menggunakan Zerologon dan SECRETSDUMP DCSYNC, yang menunjukkan niat mereka untuk meningkatkan hak akses dan menguasai domain. Oracle WebLogic Server Para penyerang terhubung ke port debug 8453 dari server Oracle WebLogic yang memungkinkan mereka mengeksekusi perintah sebagai java.exe dan menginstal China Chopper web shell. Metode pasti dari kompromi mesin Oracle ini masih belum diketahui, apakah melalui kerentanannya atau vektor lain. Reconnaissance dan Pergerakan Lateral Setelah mendapatkan akses, para penyerang melakukan rekognisi dan pergerakan lateral untuk memetakan jaringan dan meningkatkan hak akses. Mereka membuat folder untuk menyimpan alat dan informasi tentang lingkungan, seperti lokasi jaringan, hubungan kepercayaan domain, dan rincian pengguna. Para penyerang memperoleh akun dengan hak administratif dan mengumpulkan kredensial sistem lokal menggunakan dump SAM dan SYSTEM hive untuk melakukan pergerakan lateral. Untuk mendapatkan kontrol penuh atas domain, para penyerang mengeksploitasi layanan domain, kemungkinan menggunakan DFSCoerce untuk memanipulasi pengontrol domain. Ini memungkinkan mereka mengakses basis data Active Directory, yang kemudian mereka dump. Para penyerang menggunakan berbagai alat administratif umum dan alat red teaming untuk pergerakan lateral, termasuk: Plink Impacket AnyDesk TeamViewer RDP dengan memanfaatkan akun Administrator yang terpapar, serta akun domain admin. Mereka juga menambahkan akun ke grup Administrator atau RDP untuk mempertahankan akses. Selain menargetkan sistem Windows, para penyerang juga menyelidiki mesin Linux dengan menjalankan perintah untuk mengumpulkan informasi tentang hak akses pengguna dan pengaturan sistem. Dampak: Pengumpulan Data, Eksfiltrasi, dan Enkripsi Para penyerang meningkatkan kampanye mereka dengan menargetkan server basis data, dari mana mereka melakukan dump isi data yang kemudian dieksfiltrasi ke layanan berbagi file MEGA, menunjukkan strategi eksfiltrasi data yang sengaja dan efisien. Setelah itu, para penyerang membuka dan mengeksekusi payload ransomware terakhir, encrypter_windows_x64.exe. Setelah diterapkan, ransomware ini secara sistematis menonaktifkan opsi cadangan dan pemulihan dengan menghapus salinan bayangan dan menonaktifkan Data Execution Prevention (DEP). Ransomware ini kemudian menenumerasi file di seluruh sistem, mengenkripsinya, dan menyebarkan aktivitasnya ke seluruh jaringan. Ransomware ini meninggalkan catatan tebusan di sistem yang terpengaruh. Technique Artifact Detection Opportunity Exploit Public-Facing Application Debug ports (8453) on WebLogic servers Monitor for connections to debug ports and subsequent java.exe spawning cmd.exe (or other unusual parent-child relationships) Web Shell China Chopper deployment in WebLogic Track web shell command patterns. Correlate with network traffic or endpoint reconnaissance commands. Command and Scripting Interpreter Usage of cmd.exe 1. Monitor parent child relationships. 2. Pair observations with command line arguments and length analysis. User Execution Users downloading and executing malicious files Perform long tail analysis, identify new executables, track their prevalence and user’s context External Remote Services Unauthorized deployment of Remote Monitoring and Management (RMM) tools (e.g. AnyDesk, TeamViewer) Monitor for RMM installation and associated network connections. Start with LOLRMM and establish a baseline of known RMM tools in the environment to detect anomalies. Remote Desktop Protocol RDP abuse for lateral movement Build baseline of RDP connections and authentication patterns. Detect deviations, new connections, or changes in RDP configurations on the host. Scheduled Task Execution of batch file using schtasks Monitor: 1. Windows events 4698 – 4702 in “Microsoft-Windows-Security-Auditing” channel. 2. “Microsoft-Windows-TaskScheduler/Operational” logs 3. File creations in C:\Windows\System32\Tasks folder (Sysmon Event 11) with svchost.exe as the creation process 4. Registry changes (CreateKey, DeleteKey, SetValue)…
5 Tren Keamanan Siber Federal yang Perlu Diperhatikan pada 2025
Lanskap keamanan siber diperkirakan akan mengalami perubahan signifikan tahun ini seiring dengan upaya AS menghadapi ancaman yang semakin meningkat terhadap infrastruktur kritis—termasuk sistem yang beroperasi di luar angkasa. Salah satu perkembangan paling berdampak? Pembentukan Cyber Force independen, yang berpotensi mendefinisikan ulang bagaimana Departemen Pertahanan AS (DoD) melindungi dan menjalankan operasi siber dengan lebih efektif. Perubahan ini menuntut pemikiran baru mengenai kemitraan publik-swasta, kerangka hukum, serta integrasi talenta baru dari berbagai latar belakang. Berikut lima tren keamanan siber yang diperkirakan akan memberikan dampak nyata bagi pemerintah federal AS dan DoD pada tahun 2025. Tren #1: Melindungi Infrastruktur Kritis AS Dengan semakin canggihnya serangan terhadap sistem Operational Technology (OT) yang mendukung infrastruktur kritis, pemerintahan Trump 47 yang akan datang tampaknya akan mengambil pendekatan yang lebih langsung. Alih-alih hanya mengandalkan serangkaian peraturan yang terfragmentasi, pemerintahan ini mungkin akan meninjau ulang kebijakan yang memungkinkan unit siber militer dikerahkan ke jaringan domestik untuk tujuan pertahanan. Langkah ini sejalan dengan meningkatnya dorongan untuk mengklasifikasikan luar angkasa sebagai infrastruktur kritis, mengingat ketergantungan yang semakin besar pada teknologi Space-as-a-Service (SPaaS) untuk operasi publik dan pemerintahan. Melindungi satelit komersial dan sistem darat memerlukan komitmen serius terhadap pertahanan siber, menjadikan aset luar angkasa komersial sebagai fokus utama bagi komunitas keamanan nasional yang lebih luas. Tren #2: Munculnya Cyber Force “Sistem pembentukan Cyber Force Amerika jelas bermasalah,” demikian temuan laporan yang diterbitkan oleh Foundation for Defense of Democracies. “Memperbaikinya memerlukan langkah besar, yaitu pembentukan layanan siber independen.” Berbeda dengan unit militer konvensional, Cyber Force yang baru akan memanfaatkan beragam talenta. Unit ini akan membuka peluang bagi individu dengan bakat dan keahlian teknis khusus, meskipun mereka tidak memenuhi persyaratan layanan militer tradisional. Penekanan baru pada keahlian teknis dibandingkan kehadiran fisik mencerminkan perubahan paradigma dalam cara keamanan nasional dipahami dan dijalankan. Dengan bermitra dengan industri, layanan baru ini akan menciptakan kumpulan talenta yang lebih luas dan beragam, siap untuk berkontribusi dalam pertahanan nasional. Tren #3: Transformasi dan Harmonisasi Keamanan Siber Federal CISA perlu berkembang lebih jauh dari akar pendiriannya pada tahun 2018 untuk menghadapi ancaman digital paling serius terhadap domain ‘.gov’ saat ini. Mereka harus lebih fokus pada threat hunting di seluruh jaringan federal—terutama pada sistem operasional jarak jauh yang sering terabaikan dibandingkan dengan keamanan jaringan TI tradisional. Mengatasi kerentanan ini sangat penting untuk memperkuat ekosistem ‘.gov’. Peningkatan jumlah perangkat IoT yang tidak aman dan tidak terkelola harus menjadi perhatian utama lembaga ini, termasuk jaringan OT dan TI dalam infrastruktur kritis. Di tingkat eksekutif, harmonisasi kewenangan Title 10, 50, dan 32 yang mengatur operasi militer, intelijen, dan Garda Nasional dapat menciptakan kerangka kerja yang lebih jelas dalam menangani risiko siber. Sinkronisasi hukum ini akan memberi kewenangan lebih besar bagi Gedung Putih untuk bertindak secara tegas dan terpadu dalam melindungi infrastruktur digital nasional, sekaligus mempercepat respons terhadap ancaman siber. Pada saat yang sama, memprioritaskan anggaran Sector Risk Management Agencies (SRMAs) dan mengadakan latihan siber berskala nasional akan memperkuat kesiapan dan ketahanan terhadap ancaman dari negara-negara musuh seperti China. Tren #4: Merespons Eskalasi Ancaman Siber Seiring dengan semakin maraknya kampanye siber dari pihak lawan, AS harus menggandakan atau bahkan melipatgandakan upaya dalam membangun ketahanan terhadap kelompok seperti Volt Typhoon, Flax Typhoon, Salt Typhoon, dan lainnya. Latihan siber nasional—mirip dengan simulasi perang militer—akan membantu mengidentifikasi kelemahan serta menyempurnakan strategi respons terhadap ancaman siber yang terus berkembang. Memastikan dukungan fiskal bagi Sector Risk Management Agencies (SRMAs) juga akan memungkinkan investasi yang terarah di sektor-sektor paling rentan, sehingga memperkuat pertahanan mereka terhadap ancaman yang terus berkembang. Sebagai contoh, Israel baru-baru ini mengadakan latihan siber nasional yang melibatkan 26 lembaga pemerintah dan 40.000 pegawai sipil. Dalam skenario tersebut, sebuah ‘serangan siber’ secara simultan memengaruhi infrastruktur kritis utama di sektor transportasi, kesehatan, keuangan, pemerintahan, rantai pasokan, dan energi. Tren #5: Menjembatani Kesenjangan Talenta Pembentukan Cyber Force menghadirkan peluang unik untuk memperluas kumpulan talenta potensial. Dengan melepaskan keahlian teknis dari peran militer tradisional, Departemen Pertahanan (DoD) dapat menjangkau tenaga kerja yang lebih luas, termasuk spesialis siber sipil, veteran industri, dan inovator teknologi baru. Pendekatan ini dirancang untuk memaksimalkan kontribusi individu berdasarkan keterampilan mereka, tanpa bergantung pada kualifikasi untuk peran tempur atau tugas fisik yang berat. Negara akan lebih siap menghadapi ancaman digital yang kompleks dengan cara berikut: Mengintegrasikan kemampuan siber militer dengan pertahanan infrastruktur domestik Mendirikan Cyber Force Membangun kolaborasi publik-swasta yang kuat Kemajuan ini akan membantu mendefinisikan kembali peran individu dan organisasi dalam pertahanan kolektif terhadap sistem kritis, sekaligus membuka jalan menuju masa depan yang lebih aman dan tangguh bagi Amerika serta mitra-mitranya. Untuk mendapatkan keamanan terbaik hubungi Forescout Indonesia, untuk POC dan lainnya kami selalu siap support untuk Perusahaan anda.
Mencapai Mandat Keamanan Zero Trust dengan Pendekatan Adaptif
Lembaga Pemerintah dan Perusahaan Besar di Bawah Tekanan untuk Beralih ke Zero Trust Architecture (ZTA) Lembaga pemerintah dan perusahaan besar kini menghadapi mandat regulasi untuk beralih ke Zero Trust Architecture (ZTA). Namun, mengamankan jaringan yang mencakup ratusan ribu—bahkan jutaan—perangkat yang terhubung merupakan tantangan besar. Desakan untuk menerapkan ZTA dari ujung jaringan hingga ke cloud yang terhubung semakin meningkat dengan adopsi teknologi baru, bersamaan dengan serangan siber yang menargetkan firewall perimeter, VPN, dan area lainnya. Pertumbuhan perangkat OT/IoT yang tidak dikelola (unmanaged) menambah kerentanan di luar perimeter tradisional. Kerentanan ini sering kali menyebabkan kegagalan audit, pelanggaran keamanan, dan hilangnya data sensitif. Pendekatan Adaptif Menuju Zero Trust oleh Forescout Untuk membantu organisasi menghadapi tantangan ini, Forescout mengembangkan pendekatan bertahap menuju implementasi Zero Trust yang efektif. Kami menyebutnya “Pendekatan Adaptif untuk Zero Trust”, yang dirancang untuk menyederhanakan proses transisi ini sekaligus mempercepat pencapaian mandat regulasi. Pendekatan ini tidak hanya berfokus pada autentikasi, tetapi juga mencakup langkah-langkah strategis untuk melindungi seluruh ekosistem digital, termasuk: Identifikasi Semua Perangkat yang Terhubung: Memastikan visibilitas penuh atas semua perangkat, baik yang dikelola maupun yang tidak dikelola, di dalam jaringan. Segmentasi Dinamis: Membagi jaringan ke dalam segmen-segmen kecil untuk membatasi pergerakan lateral dan mencegah penyebaran ancaman. Pemantauan Berkelanjutan: Menggunakan alat otomatisasi dan analitik berbasis AI untuk mendeteksi dan merespons ancaman secara real-time. Integrasi Solusi Keamanan yang Ada: Menggunakan infrastruktur keamanan yang telah dimiliki organisasi untuk membangun arsitektur Zero Trust secara efisien. Dengan pendekatan adaptif ini, organisasi dapat mengatasi hambatan utama seperti skala jaringan yang besar, keterbatasan sumber daya, dan kompleksitas teknologi. Hal ini memungkinkan transisi ke Zero Trust yang lebih mulus dan sesuai dengan kebutuhan operasional masing-masing organisasi. Menangani Permukaan Serangan Fase pertama berfokus pada penanganan permukaan serangan dengan menciptakan visibilitas penuh terhadap semua sumber daya jaringan melalui penemuan dan klasifikasi aset. Ini mencakup pemahaman mendalam tentang cara perangkat terhubung ke jaringan dan pengelompokan perangkat berdasarkan karakteristik uniknya. Klasifikasi data berbasis konteks membantu dalam pemetaan topologi jaringan dengan menetapkan tingkat sensitivitas pada setiap aset. Pendekatan ini memastikan bahwa hanya pengguna yang memiliki otorisasi yang dapat mengakses area paling sensitif dalam jaringan. Hal ini menjadi langkah awal penting untuk memperkuat postur keamanan dan mengurangi risiko yang muncul dari permukaan serangan yang luas. Merancang Permukaan Perlindungan Langkah berikutnya adalah merancang permukaan perlindungan yang aman. Fase ini menitikberatkan pada pengembangan kebijakan akses dengan hak istimewa minimum (least-privileged access) dalam praktik kontrol akses Anda. Pendekatan ini melampaui penerapan autentikasi multi-faktor (MFA) saja. Proses ini mencakup evaluasi keamanan endpoint dan firewall, otomatisasi kepatuhan perangkat, pemberian akses dengan hak minimum, serta memastikan autentikasi dan otorisasi berkelanjutan selama sesi pengguna berlangsung. Autentikasi dan otorisasi berkelanjutan terhadap semua aset dalam model Zero Trust Assurance sangat penting untuk mencegah akses tidak sah akibat pencurian kredensial dan pembajakan sesi. Sebelum administrator jaringan dan analis keamanan siber mulai mengembangkan kebijakan akses berbasis hak minimum, mereka perlu mengetahui apa yang menjadi aktivitas normal dalam jaringan. Representasi visual dari lalu lintas jaringan membantu memahami komunikasi jaringan dan menetapkan baseline perilaku lalu lintas, sehingga penyimpangan dan anomali dapat terlihat dengan jelas. Setelah perilaku lalu lintas dipahami dengan baik, administrator jaringan dapat menerapkan segmentasi secara sesuai. Pada tahap ini, banyak implementasi arsitektur Zero Trust mengalami kegagalan. Menerapkan kebijakan segmentasi sebelum memahami perilaku lalu lintas normal dapat secara tidak sengaja memblokir akses yang sah atau bahkan memungkinkan akses tidak sah ke sumber daya sensitif—yang tentunya merugikan. Dengan menggunakan alat simulasi kebijakan, hasil dari segmentasi dan kebijakan kontrol akses dapat diuji tanpa risiko memengaruhi aset dan pengguna secara langsung. Hal ini memungkinkan implementasi kebijakan yang lebih aman dan efektif. Menyelaraskan Strategi Otomasi dengan Kebijakan dan Penegakan Zero Trust Langkah berikutnya adalah menerapkan otomatisasi. Selaraskan strategi otomatisasi dengan menyertakan kesadaran kontekstual. Evaluasi risiko berdasarkan lokasi, perilaku, dan koneksi historis. Kebijakan akses dinamis berbasis aturan memungkinkan fleksibilitas dalam menyesuaikan kebijakan keamanan dengan kondisi yang berubah—serta memastikan penegakan yang konsisten dan pengurangan kesalahan manual. Kontrol akses berbasis risiko mengevaluasi konteks dari setiap permintaan akses untuk menentukan tindakan yang tepat. Tata kelola yang terotomasi memastikan bahwa langkah-langkah keamanan diterapkan dan diperbarui secara konsisten sesuai dengan intelijen ancaman terkini. Pendekatan ini memperkuat perlindungan keamanan dengan memadukan otomatisasi dan kebijakan berbasis risiko, sehingga organisasi dapat dengan lebih efektif mengurangi risiko dan meningkatkan efisiensi operasional dalam menerapkan arsitektur Zero Trust. Melindungi Kebijakan di Seluruh Organisasi dan Cloud dengan Kontrol Terpusat Tahap Protect berfokus pada penggunaan deteksi ancaman canggih dan respons yang terintegrasi di seluruh tumpukan teknologi Anda. Langkah-langkah keamanan dengan kapabilitas Zero Trust (ZT) memungkinkan respons proaktif yang meningkatkan pertahanan terhadap ancaman sekaligus mempertahankan kepatuhan dan efisiensi operasional melalui sistem keamanan yang terpusat. Pendekatan ini selaras dengan prinsip inti ZT, yaitu memastikan keamanan terintegrasi dan tertanam dalam setiap aspek teknologi organisasi. Integrasi ini memungkinkan berbagi data secara real-time di seluruh domain TI dan OT, sekaligus menyederhanakan proses pengelolaan layanan dan mempertahankan inventaris aset yang diperkaya di semua sistem yang terintegrasi. Dengan kontrol yang terpusat, organisasi dapat lebih efektif mengelola kebijakan keamanan lintas organisasi dan lingkungan cloud, meningkatkan ketahanan terhadap ancaman tanpa mengorbankan efisiensi operasional. Menyempurnakan dengan Menggunakan Analitik Lanjutan, Otomasi, dan Deteksi Anomali Proaktif Fase Tune adalah fase matang di mana lembaga pemerintah dan organisasi mencapai visibilitas penuh dan otomasi dalam proses keamanan mereka. Pada fase ini, lembaga dan organisasi memanfaatkan analitik lanjutan untuk deteksi anomali secara real-time, memungkinkan identifikasi perilaku tidak biasa dan potensi ancaman secara proaktif. Mereka mengimplementasikan alur kerja respons insiden adaptif yang menyesuaikan berdasarkan konteks insiden, sehingga meningkatkan waktu respons dengan perbaikan otomatis. Sistem perlindungan titik akhir adaptif mampu mengisolasi perangkat yang terkompromi dan secara otomatis memberlakukan kontrol keamanan yang lebih ketat saat terdeteksi perilaku mencurigakan. Kebijakan segmentasi jaringan adaptif secara dinamis menyesuaikan kebijakan keamanan berdasarkan risiko real-time, memastikan hanya lalu lintas yang sah yang dapat mengakses area sensitif jaringan. Pemantauan kepatuhan berkelanjutan menjadi elemen integral pada fase ini. Hal ini membantu memastikan kepatuhan terhadap standar regulasi sekaligus memberikan wawasan yang dimasukkan kembali ke dalam model Zero Trust Assurance untuk meningkatkan kemampuan deteksi ancaman dan respons secara berkelanjutan. Pendekatan Adaptif Akan Mengubah Program Keamanan Siber Anda Menerapkan Adaptive Approach bukan hanya…
Analisis Ancaman ICS: Malware Baru dan Eksperimental Dapat Membunuh Proses Teknik
Ringkasan Analisis kami terhadap repositori malware publik menunjukkan terus meningkatnya malware yang menargetkan OT/ICS. Lebih dari 20% serangan OT/ICS menargetkan workstation teknik, jadi kami fokus pada hal ini. Kami melihat dua insiden dengan workstation teknik Mitsubishi yang terinfeksi worm Ramnit. Kami menganalisis tiga sampel malware baru yang dapat menghentikan proses teknik Siemens — kami menamakannya Chaya_003. Panduan Perkuat workstation teknik. Segmentasi jaringan. Monitor untuk ancaman. Analisis lengkap dan rekomendasi mitigasi ada di bawah. Malware spesifik OT seperti FrostyGoop/BUSTLEBERM masih jauh lebih jarang dibandingkan dengan malware yang menargetkan perangkat lunak perusahaan atau sistem operasi seluler berdasarkan volume. Namun, tidak ada ruang untuk tidur tenang bagi operator keamanan di OT atau mereka yang mengelola keamanan sistem kontrol industri. Malware di OT/ICS lebih umum daripada yang Anda kira — dan workstation teknik yang terhubung ke internet adalah target. Kami baru-baru ini menganalisis keluarga botnet otomatis seperti Aisuru, Kaiten, dan Gafgyt, yang dapat ditemukan di repositori malware publik VirusTotal pada waktu yang sama dengan FrostyGoop/BUSTLEBERM. Yang kami temukan termasuk kredensial default perangkat OT untuk infeksi awal atau instruksi untuk menghapus direktori data sensitif. Botnet tersebut biasanya menyusup ke jaringan melalui perangkat yang dapat diakses melalui internet. Menurut survei terbaru dari SANS Institute mengenai “State of ICS/OT Cybersecurity”, perangkat yang terhubung merupakan salah satu vektor serangan awal yang paling umum terlibat dalam insiden OT/sistem kontrol dunia nyata. Survei SANS yang sama mengidentifikasi kompromi workstation teknik sebagai vektor serangan awal yang paling umum keempat, yang menyumbang lebih dari 20% insiden OT/sistem kontrol. Sebagai tanggapan, kami menganalisis jenis malware yang menargetkan workstation teknik yang tersedia di repositori VirusTotal selama periode 90 hari yang bertepatan dengan publikasi survei SANS. Penelitian kami mengungkapkan dua klaster aktivitas yang signifikan: Klaster 1: Software eksekutabel workstation teknik Mitsubishi yang sah terinfeksi worm Ramnit dalam dua insiden terpisah. Klaster 2: Tiga sampel malware eksperimental baru, yang kami namakan Chaya_003, yang dapat menghentikan proses teknik Siemens. Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik terletak pada tingkat 2 dan 3 dari model Purdue, seperti yang ditunjukkan dalam diagram arsitektur OT standar di bawah ini. Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS Workstation teknik adalah komputer standar yang menjalankan sistem operasi tradisional, seperti Windows, bersama dengan perangkat lunak teknik khusus yang disediakan oleh produsen peralatan, seperti Siemens TIA Portal atau Mitsubishi GX Works. Perangkat lunak ini sangat penting untuk pengaturan dan pemrograman perangkat lapangan seperti programmable logic controller (PLC) yang beroperasi di tingkat bawah Model Purdue. Untuk menyelidiki potensi ancaman, kami fokus pada identifikasi dua kategori artefak yang diunggah ke VirusTotal: Eksekusi perangkat lunak teknik yang terdeteksi terinfeksi oleh alat deteksi malware umum. File yang berpotensi berbahaya yang dirancang untuk berinteraksi dengan perangkat lunak teknik. Untuk menangani kedua kasus ini, kami mengembangkan aturan YARA yang menggabungkan tanda tangan eksekutabel biner yang merujuk pada artefak OT khusus, termasuk nama eksekutabel, panggilan API dari DLL, dan sumber ikon. Tujuannya adalah untuk mengidentifikasi eksekutabel berbahaya yang menunjukkan perilaku, termasuk: Menyematkan nama perangkat lunak teknik sebagai string Menghubungkan atau mengekspor fungsi yang biasanya ditemukan dalam DLL perangkat lunak teknik Atau menyamar sebagai perangkat lunak teknik yang sah dengan menggunakan ikon yang terlihat asli Aturan YARA yang kami kembangkan mencakup tanda tangan untuk perangkat lunak teknik berikut: Siemens TIA Portal CODESYS v2 Mitsubishi GX Works Rockwell Automation RSLogix500 Phoenix Contact PC Worx Kami menerapkan aturan ini selama periode 90 hari, dari Agustus hingga November 2024 dan memperoleh hasil berikut: Rockwell Automation dan CODESYS: Tidak ada kecocokan yang terdeteksi. Phoenix Contact: 20 kecocokan teridentifikasi, semuanya adalah DLL benign. Mitsubishi: 10 kecocokan terkait dengan file sah yang terinfeksi oleh worm Ramnit. Siemens: 3 kecocokan dikonfirmasi sebagai eksekutabel berbahaya, sementara 1 kecocokan ditandai sebagai berbahaya namun akhirnya diidentifikasi sebagai positif palsu. Pada bagian berikutnya, kami menganalisis sampel berbahaya ini secara rinci. Ramnit: Infektor PE Kembali Menyerang Investigasi kami mengungkapkan dua klaster Ramnit yang menginfeksi workstation teknik: Klaster 1: Klaster ini berisi satu eksekutabel Mitsubishi GX Works dengan hash SHA-256: 703f0aac78d388f1fbe3800697015d092fa70cea2c01f22f456c8b1aa20a2334 Sampel ini dikirim dari Kanada pada 7 Juli 2024 dengan waktu pembuatan 16 April 2014. Klaster 2: Klaster ini terdiri dari 9 DLL yang terkait dengan eksekutabel yang sama. Semua dikirim dari Amerika Serikat pada 18 Oktober 2024 dan memiliki waktu pembuatan 28 Mei 2018: 1b8957804dfa7324d10bf6d7ca22fc038951ab57ab1e6838da9c63ad057c1d20 5b63ca75f95dc549729bb6261e9dc22f6425547584366188770507bd964221b4 5ec05f903cc94d559b8eb23aa749805b78de2845bd2317017bc8e50cdceb613f 69eb2b940ba1fc7bc46699eeb3ff11d921683609f636efae05c0cb796b588a38 8b585155cdc7fcbe3d2fa169b307756557ef0d69afb392726f577a73f11d5a97 a1d721db0583eed0077bb8ab542ff15a806d24e2dbf13557b12842bd49995354 ad5922bcc740e5761a708c526d023450ca278168ebcefaaf80f85815d6d6d24e c1826e0d310a6a02f2ee1b5d88b6c0dd48baa8fe1dd99447e98e42c4ca023c96 fd8558b8a4165ebb47f120fa237c2ada306c430ae4cb2109eb644fd8b0b82b15 Perbedaan lokasi, waktu, dan versi pengiriman yang dikompilasi untuk bahasa yang berbeda menunjukkan bahwa ini adalah dua infeksi terpisah. Ramnit adalah jenis malware yang pertama kali muncul pada tahun 2010 sebagai trojan perbankan yang dirancang untuk mencuri kredensial dari korban yang kemudian dijual di forum bawah tanah. Seiring waktu, Ramnit berkembang menjadi platform modular yang dapat mengunduh plugin dari server command and control (C2). Plugin ini memungkinkan fungsionalitas canggih, seperti desktop jarak jauh dan pengambilan screenshot. Pada tahun 2021, Ramnit telah menjadi trojan perbankan yang paling aktif. Itu menggabungkan kode sumber yang disalin dari malware sebelumnya yang dikenal sebagai Zeus dan akhirnya mengarah pada pengembangan strain malware lainnya yang disebut Bumblebee pada tahun 2022. Mandiant melaporkan pada tahun 2021 bahwa infeksi Ramnit pada perangkat lunak OT adalah bagian dari tren yang berkembang, bersama dengan infektor PE serupa lainnya – malware yang menyisipkan kode berbahaya ke dalam eksekutabel Windows yang sah. Contoh lainnya termasuk Sality, Virut, Expiro, DirtCleaner, Jeefo, Neshta, LockLoad, Parite, dan Floxif. Kami tidak dapat memastikan apakah dua klaster Ramnit yang kami identifikasi secara langsung menargetkan sistem OT – yang mana – atau bagaimana workstation teknik terinfeksi. Jenis malware ini dapat menyebar melalui perangkat fisik yang terinfeksi, seperti USB, atau melalui jaringan yang terkompromi oleh sistem TI yang kurang tersegmentasi dengan baik. Namun, temuan kami menunjukkan bahwa tren yang diidentifikasi pada tahun 2021 tetap ada. Setidaknya satu dari infektor yang sama yang diamati tiga tahun lalu terus mempengaruhi jaringan OT di seluruh dunia. DLL yang terinfeksi menjatuhkan eksekutabel, file yang dibungkus dengan UPX, ke C:\Program Files (x86)\Microsoft\DesktopLayer.exe. File ini, dengan hash SHA-256 fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320, telah diamati ribuan kali dengan berbagai nama file sejak 2010. Ini telah diunduh dari ratusan URL, termasuk contoh terbaru berikut: 432i[.]com pada 2024-09-11 az-security[.]info pada 2024-10-08 0g0d[.]com pada 2024-10-10 grpaper[.]com pada 2024-11-19…
Router DrayTek Dieksploitasi dalam Kampanye Ransomware Besar-Besaran: Analisis dan Rekomendasi
Ringkasan Laporan Dray:Break 2024 kami mengungkapkan 14 kerentanan baru pada perangkat DrayTek. Lihat presentasi kami yang akan datang di Black Hat Europe untuk informasi lebih lanjut. PRODAFT membagikan intelijen ancaman dari tahun 2023 tentang kampanye ransomware yang mengeksploitasi perangkat DrayTek. Ini adalah pertama kalinya kampanye ini dibahas secara publik. Analisis kami menunjukkan alur serangan canggih untuk menyebarkan ransomware, termasuk kemungkinan: Kerentanan zero-day Pencurian kredensial dan pembobolan kata sandi Penyalahgunaan VPN dan tunneling Panduan Pastikan visibilitas terhadap semua perangkat jaringan, terutama yang berada di perimeter. Terapkan praktik terbaik dalam pengelolaan kredensial untuk perangkat tersebut. Perbarui perangkat perimeter yang rentan sesegera mungkin. Segmentasi jaringan Anda untuk mencegah penyebaran pelanggaran. Perangkat jaringan perimeter telah menjadi target akses awal yang kritis bagi aktor ancaman tingkat lanjut. Operator ransomware semakin sering mengeksploitasi kerentanan pada router dan perangkat VPN. Analisis ini mengungkapkan kampanye terkoordinasi yang menargetkan perangkat DrayTek Vigor. Temuan kami menunjukkan ekosistem kolaborasi kriminal siber yang kompleks dan infiltrasi jaringan yang sistematis. Pada tahun 2022, Forescout Research – Vedere Labs melaporkan insiden di mana ransomware ALPHV digunakan setelah akses awal diperoleh melalui perangkat SonicWall SRA yang rentan. Berdasarkan temuan tersebut, penelitian kami menemukan kerentanan baru pada perangkat perimeter, termasuk router DrayTek, yang menyoroti potensi eksploitasi dalam kampanye ransomware mendatang. Saat kami bersiap mempresentasikan temuan kami tentang DrayTek di Black Hat Europe 2024, kami didekati oleh PRODAFT, penyedia intelijen ancaman, dengan wawasan unik tentang kampanye eksploitasi aktif terhadap DrayTek. Antara Agustus dan September 2023, PRODAFT mengidentifikasi kampanye terkoordinasi yang menargetkan lebih dari 000 perangkat DrayTek Vigor di seluruh dunia. Operasi ini mengeksploitasi kerentanan yang diduga sebagai zero-day, memungkinkan penyerang untuk menyusup ke jaringan, mencuri kredensial, dan menyebarkan ransomware. Beberapa insiden besar terkait dengan kampanye eksploitasi ini, termasuk serangan rantai pasokan Polisi Manchester. PRODAFT bekerja sama dengan beberapa Tim Tanggap Darurat Komputer (CERT) – termasuk CISA dan lembaga penegak hukum – untuk memberi tahu organisasi yang terdampak dan menilai cakupan kampanye ini secara menyeluruh. Dalam laporan ini, kami mengungkapkan aktivitas ini secara publik untuk pertama kalinya. Fokus kami adalah pada koordinasi di antara aktor ancaman dan implikasinya yang lebih luas terhadap keamanan siber. Aktivitas Aktor Ancaman yang Teramati: Wawasan tentang Operasi Ransomware Canggih yang Mengeksploitasi Perangkat DrayTek Kampanye yang dianalisis melibatkan tiga aktor ancaman yang berbeda—Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288), dan LARVA-15 (Wazawaka)—yang mengikuti alur kerja yang terstruktur dan efisien sebagaimana ditunjukkan dalam gambar berikut: Eksploitasi Monstrous Mantis Monstrous Mantis memainkan peran sentral dalam kampanye ini, bertindak sebagai fasilitator alih-alih terlibat langsung dalam penyebaran ransomware. Mereka mengidentifikasi dan mengeksploitasi kerentanan, secara sistematis mengekstraksi kredensial, lalu mendekripsinya menjadi format teks biasa. Dengan membagikan kredensial yang sudah didekripsi secara selektif kepada mitra tepercaya, Monstrous Mantis menjaga kendali ketat atas alokasi korban dan memastikan kerahasiaan operasional. Strategi ini memungkinkan mereka untuk mendapatkan keuntungan secara tidak langsung dari serangan ransomware yang dilakukan oleh mitra mereka, sekaligus meminimalkan risiko bagi diri mereka sendiri. Model yang sangat terspesialisasi dan transaksional ini mencerminkan kompleksitas ekosistem siber modern, di mana kelompok-kelompok berbeda bekerja sama untuk memaksimalkan efisiensi operasional dan meminimalkan risiko individu. Gambar di bawah ini diperoleh dari percakapan antar penyerang. Gambar tersebut menunjukkan cuplikan dari “manual” yang dibuat oleh Monstrous Mantis dan dibagikan kepada kelompok mitra, berisi instruksi tentang cara menggunakan kredensial yang dibagikan untuk membuat profil VPN baru dan membangun saluran koneksi. Pengamatan PRODAFT: Strategi dan Kolaborasi Monstrous Mantis PRODAFT juga mengamati cuplikan percakapan di mana kelompok tersebut menyebut kerentanan sebagai zero-day dan secara eksplisit menginstruksikan orang lain untuk tidak membagikannya. Namun, kami belum dapat mengonfirmasi apakah kerentanan tersebut benar-benar merupakan eksploitasi zero-day, karena banyak masalah serupa memengaruhi endpoint “mainfunction.cgi” yang rentan, dan kami tidak memiliki akses penuh ke seluruh payload eksploitasi. Beberapa kerentanan berulang ini akan dibahas pada bagian berikutnya. Monstrous Mantis menyediakan kredensial yang sudah didekripsi kepada kolaborator tepercaya mereka, memungkinkan kelompok lain seperti Ruthless Mantis (PTI-288) dan LARVA-15 (Wazawaka) untuk menyusup ke lingkungan korban. Namun, Monstrous Mantis menahan eksploitasi itu sendiri, mempertahankan kendali eksklusif atas fase akses awal. Struktur yang terencana ini memungkinkan mereka untuk meraih keuntungan secara tidak langsung, karena operator ransomware yang berhasil memonetisasi intrusi diwajibkan berbagi sebagian hasil mereka. Aktivitas kampanye yang berlangsung bersamaan menunjukkan bahwa Monstrous Mantis mungkin telah menyediakan kredensial kepada kelompok lain di luar Ruthless Mantis dan LARVA-15. Meskipun identitas kelompok tambahan ini belum dikonfirmasi, penyebaran yang lebih luas ini mengindikasikan kemungkinan adanya jaringan kolaborator yang lebih besar. Operasi Ruthless Mantis Ruthless Mantis, sebuah kelompok ransomware yang sangat canggih dengan akar dari operasi REvil sebelumnya, menggunakan kredensial yang disediakan oleh Monstrous Mantis untuk menargetkan korban secara independen. Fokus mereka terutama pada organisasi di Inggris dan Belanda. Berdasarkan data atribusi PRODAFT, mereka berhasil menyerang setidaknya 337 organisasi. Kelompok ini menunjukkan pendekatan yang sistematis dan metodis dengan memanfaatkan kredensial curian untuk mendapatkan akses awal, meningkatkan hak akses di dalam jaringan yang dikompromikan, dan menyebarkan varian ransomware seperti Nokoyawa dan Qilin. Profil korban mereka mencakup mulai dari perusahaan besar hingga UKM, yang mengindikasikan eksploitasi jaringan yang terpapar secara sembarangan untuk memaksimalkan dampak. Serangan Serentak oleh LARVA-15 DrayTek Routers Exploited in Massive Ransomware Campaign – Forescout LARVA-15 menjalankan aktivitas eksploitasi paralel menggunakan kredensial yang disediakan oleh Monstrous Mantis, dengan target korban yang tersebar secara geografis. Operasi mereka mencakup Inggris, Belanda, Australia, Taiwan, Italia, Polandia, Prancis, Jerman, dan Türkiye. Berbeda dengan Ruthless Mantis, LARVA-15 mengkhususkan diri sebagai Initial Access Broker (IAB), menghasilkan uang dengan menjual akses yang dikompromikan kepada aktor ancaman lainnya. Model operasional ini menegaskan peran mereka dalam memfasilitasi jaringan serangan yang lebih luas, sekaligus menggambarkan sifat saling terhubung dari ekosistem kejahatan siber. Kerentanan yang Dieksploitasi: Menelusuri Masalah Baru dan Berulang pada Perangkat DrayTek Kampanye yang diamati memanfaatkan kerentanan pada router DrayTek untuk mendapatkan akses awal, dengan secara spesifik menargetkan halaman web “mainfunction.cgi” di antarmuka WebUI. WebUI adalah antarmuka administratif berbasis peramban yang digunakan untuk mengonfigurasi router DrayTek, dan sering kali terekspos ke internet meskipun ada panduan dari vendor untuk membatasi akses tersebut. Sesuai laporan Dray:Break, aplikasi web DrayTek telah menghadapi berbagai masalah keamanan selama empat tahun terakhir, termasuk setidaknya 18 kerentanan yang memungkinkan Remote Code Execution (RCE). Beberapa masalah ini memengaruhi halaman web yang…
7 Prediksi Keamanan Siber untuk 2025: Bersiaplah untuk Perjalanan yang Tidak Mulus
Menjelang tahun baru, lanskap ancaman dunia maya terus berkembang. Di sini, kami membagikan prediksi keamanan siber yang paling mendesak di berbagai sektor seperti infrastruktur kritis, teknologi operasional (OT), ransomware, kecerdasan buatan, rantai pasokan, dan lainnya. Berdasarkan riset dan intelijen ancaman kami, organisasi dapat menggunakan wawasan ini untuk mempersiapkan diri menghadapi risiko yang akan datang dan tetap waspada terhadap potensi ancaman. Pada 2025, lanskap keamanan siber akan ditentukan oleh ancaman canggih yang berlapis, mulai dari peretasan yang dibantu AI hingga ransomware yang terus-menerus dan serangan yang ditargetkan pada OT. Seiring dengan berkembangnya taktik aktor ancaman, organisasi harus tetap proaktif dan memanfaatkan teknologi serta strategi terbaru untuk melindungi infrastruktur dan aset kritis mereka. Prediksi Keamanan Siber #1: Penjahat Siber Akan Mengembangkan Serangan Kustom Baru pada Router dan Perangkat Perimeter Pada tahun 2024, kami melihat aktor ancaman semakin menargetkan perangkat perimeter jaringan, seperti router, firewall, dan VPN. Pada paruh pertama tahun ini saja, 20% dari kerentanannya yang baru dieksploitasi berfokus pada perangkat ini, sebuah tren yang kami prediksi akan terus berkembang dengan semakin canggih. Terutama, ancaman persisten canggih dari China telah mengembangkan malware kustom untuk kegiatan spionase pada perangkat perimeter baru-baru ini – seperti ZuoRAT, HiatusRAT, dan COATHANGER – dan menyebarkannya ke ribuan perangkat di seluruh dunia, yang diduga sebagai bagian dari kegiatan penempatan sebelumnya. Penargetan canggih terhadap perangkat perimeter melalui malware kustom dan metode lainnya dapat memberikan akses istimewa ke jaringan, menjadikannya target bernilai tinggi bagi aktor yang didukung negara seperti China, dengan negara-negara lain seperti Iran mungkin mengikuti langkah tersebut pada tahun 2025. Berdasarkan penelitian kami pada tahun 2024, berikut adalah perangkat paling berisiko dalam jaringan saat ini: Prediksi Keamanan Siber #2: Sistem OT Legacy Akan Menjadi Sasaran Utama Kejahatan Siber Sebagai Titik Masuk ke Infrastruktur Kritis Dengan semakin meningkatnya integrasi antara perangkat IT, IoT, dan OT, malware kustom akan meningkatkan ancaman terhadap infrastruktur kritis, mirip dengan apa yang terjadi pada perangkat perimeter. Botnet dan malware IoT oportunistik kini sudah menyertakan kemampuan, seperti infeksi melalui kredensial OT yang dikenal. Pada tahun 2025, kami memprediksi peningkatan serangan yang memanfaatkan malware oportunistik yang dapat mengganggu operasi. Sistem OT legacy tetap rentan. Seperti yang telah terlihat pada sektor air tahun lalu, terlalu banyak aset dan perangkat yang tidak dikelola dan terekspos. Jika diserang, sistem-sistem ini dapat menjadi titik masuk ke sistem infrastruktur kritis. Seperti yang ditunjukkan oleh konflik Rusia-Ukraina yang sedang berlangsung, infrastruktur kritis berada dalam bahaya, menyoroti bahwa manajemen kerentanannya yang proaktif menjadi prioritas mendesak. Prediksi Keamanan Siber #3: Negara-Negara Akan Menggunakan Serangan Siber ‘Hacktivist’ ‘Grassroots’ untuk Melakukan Perang Diam-Diam Sejak 2022, taktik hacktivism semakin banyak digunakan dalam konflik regional seperti Rusia-Ukraina dan Timur Tengah. Pada tahun 2025, diprediksi lebih banyak negara akan mengadopsi identitas hacktivist untuk melancarkan serangan siber yang lebih canggih—beralih dari defacement dan DDoS menjadi pelanggaran data besar-besaran dan gangguan siber-fisik. Dengan meningkatnya ketegangan, seperti konflik antara China dan Taiwan, kami mengantisipasi lebih banyak negara yang akan menggunakan kelompok hacktivist sebagai kedok untuk menjalankan operasi siber secara diam-diam. Serangan ini memungkinkan negara untuk menjalankan operasi siber tanpa langsung teridentifikasi, memanfaatkan teknik hacktivism untuk memperburuk ketegangan internasional dan melancarkan serangan yang tidak dapat dilacak langsung ke pihak yang berwenang. Prediksi Keamanan Siber #4: Ancaman Ransomware Bertahan dengan Inovasi yang Lebih Sedikit, Tapi Dampak Finansial yang Lebih Besar Meski evolusi ransomware mungkin melambat, bahayanya lebih nyata dari sebelumnya. Para pelaku ancaman tidak memperbaiki hal-hal yang tidak rusak. Era emas inovasi ransomware tampaknya telah berakhir karena banyak kode sumber dari enkripsi yang telah bocor atau dibagikan, namun jumlah tebusan terus meningkat dengan cepat. Dengan organisasi besar yang menjadi target, kami memprediksi tuntutan tebusan akan melampaui rata-rata $2,73 juta pada tahun 2024, karena para penjahat dunia maya menargetkan korban dengan nilai tinggi untuk mendapatkan pembayaran lebih besar. Metode pemerasan baru, seperti pemerasan ganda dengan kebocoran data dan pemerasan triple dengan serangan DDoS, serta inovasi teknis lain seperti enkripsi yang dipercepat dan serangan terhadap server virtualisasi, sudah menjadi hal yang umum hingga 2022. Meski demikian, serangan ransomware masih meningkat jumlahnya setiap tahun, dan yang lebih mengkhawatirkan adalah peningkatan jumlah kelompok yang meluncurkan serangan ini. Hal ini tetap terjadi meskipun operasi penegakan hukum internasional yang telah menghancurkan kartel kriminal besar. Meskipun kami tidak melihat banyak perubahan dalam strategi ransomware pada tahun depan, kami memperkirakan lebih banyak kasus dan lebih banyak organisasi yang mengungkapkan korban mereka di halaman kebocoran data. Prediksi Keamanan Siber #5: Pelaku Ancaman Akan Membajak Rantai Pasokan dengan Ancaman Firmware ‘Tak Terlihat’ Aktornya negara semakin mengubah serangan rantai pasokan firmware menjadi senjata, menyematkan kode jahat selama proses manufaktur yang menghubungkan perang siber dan fisik. Kompromi perangkat komunikasi baru-baru ini oleh Israel menunjukkan bagaimana ancaman di tingkat firmware dapat memiliki dampak di dunia nyata. Pertahanan tradisional dan dokumentasi, termasuk Software Bill of Materials (SBOM), hanya bersifat reaktif dan tidak memberikan visibilitas serta deteksi yang sebenarnya terhadap risiko ini dan implan canggih. Seiring dengan meningkatnya adopsi IoT, risiko rantai pasokan juga semakin meningkat, sehingga sangat penting bagi organisasi untuk mengamankan setiap langkah dalam proses produksi dan distribusi. Prediksi Keamanan Siber #6: Kompromi Bisnis Otonom Akan Memungkinkan Penjahat Siber Mencuri Uang Saat Anda Tidur Business Email Compromise (BEC) dapat berkembang menjadi Autonomous Business Compromise (ABC), di mana kecerdasan buatan (AI) akan mengotomatiskan penipuan dengan interaksi manusia yang minimal. Penjahat siber akan menargetkan proses-proses yang didorong oleh AI, seperti manajemen rantai pasokan dan perencanaan keuangan, untuk melakukan penipuan dengan risiko tinggi tanpa pernah memasuki kotak masuk korban. Hal ini memungkinkan penjahat siber untuk melakukan serangan tanpa bergantung pada metode rekayasa sosial untuk menipu individu agar melakukan pembayaran. Prediksi Keamanan Siber #7: Penerapan AI Canggih Akan Mendorong Generasi Serangan Siber Berikutnya’ Kecerdasan buatan (AI) akan menjadi pembeda utama bagi penjahat siber. Pada tahun 2025, para pelaku serangan akan memanfaatkan AI untuk mengotomatisasi dan mempercepat kampanye mereka, beradaptasi dengan pertahanan secara real-time, dan membuat serangan semakin efektif serta lebih sulit dideteksi daripada sebelumnya. Seiring AI diintegrasikan ke dalam sistem pengambilan keputusan yang kompleks seperti manajemen rantai pasokan dan perencanaan keuangan, hal ini juga membuka peluang baru bagi…
Platform Keamanan IT dan OT Terbaru Menawarkan Ketahanan Siber yang Sesungguhnya
Dalam lanskap industri yang berkembang pesat saat ini—di mana kompleksitas operasional yang meningkat meningkatkan risiko—hanya memiliki visibilitas tidak lagi cukup. Ketika batas antara keamanan IT dan OT semakin kabur, kemampuan Anda untuk melihat gambaran secara keseluruhan dan mengambil kendali dapat menjadi perbedaan antara operasi yang lancar dan gangguan besar. “Organisasi menghabiskan jutaan untuk teknologi visibilitas dan deteksi terbaru namun tetap mengalami downtime atau terkompromi oleh ransomware, eksploitasi, kerentanan yang dikenal, dan Zero Days,” kata Barry Mainz, CEO Forescout. “Mereka tidak butuh lebih banyak visibilitas. Mereka butuh intelijen yang dapat ditindaklanjuti dan kontrol.” Platform keamanan Forescout untuk OT baru ini melampaui visibilitas—ini adalah solusi SaaS pertama yang dirancang untuk memberikan Intelijen Aset di seluruh perusahaan, Manajemen Paparan Risiko (REM), dan Deteksi dan Respon Ancaman (TDR) yang canggih untuk lingkungan industri yang kompleks. Baik saat bertransisi ke cloud, mempertahankan sistem yang terputus (air-gapped), atau mengelola infrastruktur hybrid, Forescout untuk Keamanan OT beradaptasi dengan mulus sesuai kebutuhan spesifik Anda, menawarkan penyebaran yang dapat diskalakan di seluruh sistem OT, IoT/IoMT, dan IT tanpa batasan. Apa yang Membuat Forescout untuk Keamanan OT Berbeda dari yang Lain? Forescout menawarkan platform keamanan IT dan OT yang komprehensif dan menyeluruh yang tidak hanya mendukung berbagai kasus penggunaan—baik itu memperluas kontrol keamanan IT ke lingkungan industri atau mengkonsolidasikan risiko dan kepatuhan ke dalam strategi yang terpadu—tetapi juga memungkinkan Anda untuk mengambil tindakan. Kami tidak hanya mendeteksi masalah dan membiarkan Anda menebak langkah selanjutnya. Platform ini terintegrasi dengan mulus ke dalam ekosistem IT dan keamanan Anda sehingga Anda dapat secara proaktif membuat, mengoptimalkan, dan mengotomatiskan perbaikan serta alur kerja operasional. Bagaimana Forescout untuk Keamanan OT Mengatasi Keamanan Siber Industri untuk Memastikan Ketahanan Opsi Penerapan yang Lebih Banyak: Baik dalam penerapan di cloud, menggunakan kontainer Docker pada sensor perangkat keras kustom, atau memanfaatkan peralatan jaringan Anda, platform keamanan IT dan OT ini terintegrasi dengan mulus di berbagai lapisan infrastruktur yang sudah ada, meminimalkan gangguan dan menghindari perubahan yang tidak perlu. Kemampuan Penemuan yang Diperluas: Forescout untuk Keamanan OT mendukung lebih dari 350 protokol industri dengan kombinasi metode aktif dan pasif untuk menemukan dan mengklasifikasikan aset IT, OT, dan IoT. Baik Anda menarik data dari API, saklar, atau adaptor nirkabel, platform ini menangani skenario di mana pemantauan SPAN bukanlah pilihan atau metode pasif tidak memadai. Intelijen Aset yang Ditingkatkan dengan AI: Mengetahui aset apa yang Anda miliki hanyalah langkah awal. Nilai sesungguhnya terletak pada pemahaman tentang bagaimana aset tersebut dikonfigurasi, bagaimana mereka beroperasi, dan bagaimana mereka berinteraksi dengan sistem lainnya. Forescout untuk keamanan OT memberikan wawasan yang dapat ditindaklanjuti untuk secara efektif mengelola dan mengoptimalkan proses perubahan, kerentanan, risiko, dan kepatuhan. Bagaimana Forescout untuk Keamanan OT Mengatasi Keamanan Siber Industri untuk Memastikan Ketahanan Opsi Penerapan yang Lebih Banyak: Baik dalam penerapan di cloud, menggunakan kontainer Docker pada sensor perangkat keras kustom, atau memanfaatkan peralatan jaringan Anda, platform keamanan IT dan OT ini terintegrasi dengan mulus di berbagai lapisan infrastruktur yang sudah ada, meminimalkan gangguan dan menghindari perubahan yang tidak perlu. Kemampuan Penemuan yang Diperluas: Forescout untuk Keamanan OT mendukung lebih dari 350 protokol industri dengan kombinasi metode aktif dan pasif untuk menemukan dan mengklasifikasikan aset IT, OT, dan IoT. Baik Anda menarik data dari API, saklar, atau adaptor nirkabel, platform ini menangani skenario di mana pemantauan SPAN bukanlah pilihan atau metode pasif tidak memadai. Intelijen Aset yang Ditingkatkan dengan AI: Mengetahui aset apa yang Anda miliki hanyalah langkah awal. Nilai sesungguhnya terletak pada pemahaman tentang bagaimana aset tersebut dikonfigurasi, bagaimana mereka beroperasi, dan bagaimana mereka berinteraksi dengan sistem lainnya. Forescout untuk keamanan OT memberikan wawasan yang dapat ditindaklanjuti untuk secara efektif mengelola dan mengoptimalkan proses perubahan, kerentanan, risiko, dan kepatuhan. Deteksi yang Dipandu Intelijen: Deteksi ancaman yang komprehensif, disesuaikan untuk lingkungan hybrid OT, IoT, dan IT, didukung oleh penelitian FS Vedere Labs. Dengan klasifikasi peristiwa yang canggih dan manajemen kasus, Anda dapat mengelola peringatan dengan efisien, melacak penyelesaian insiden, dan memantau KPI untuk memastikan waktu respons yang lebih cepat dan penanganan peristiwa yang lebih baik. Laporan AI Forescout: Dasbor berbasis persona dan tampilan yang disesuaikan memastikan bahwa data yang tepat mencapai orang yang tepat. Anda dapat membuat tampilan khusus untuk operasi IT dan keamanan, analis SOC, serta eksekutif, dan mengubahnya menjadi laporan yang disesuaikan yang memberikan wawasan kontekstual tentang perangkat, peringatan, potensi penyebab insiden, dan langkah-langkah perbaikan yang direkomendasikan. Apa Kata Analis dan Pelanggan Tentang Forescout dan Keamanan OT GigaOm Radar untuk Keamanan Teknologi Operasional (OT) “Forescout telah mencapai status Pemimpin karena kemampuannya yang luar biasa untuk beradaptasi dengan tuntutan yang berkembang di pasar keamanan OT,” ungkap Chris Ray, analis di GigaOm, dalam laporan “GigaOm Radar untuk Keamanan Teknologi Operasional (OT)” 2024. “Sebagai Pemain Cepat, Forescout telah menunjukkan peningkatan yang signifikan dalam memperluas fitur kepatuhan dan manajemen perangkatnya selama setahun terakhir, memastikan bahwa ia tetap berada di garis depan kemajuan teknologi dalam keamanan jaringan.” https://www.forescout.com/analyst-report-gigaom-radar-ot-security-2024 Forescout Diakui dalam Panduan Pasar Gartner® untuk Keamanan OT Menurut laporan ini, pada tahun 2025, 75% solusi keamanan OT akan dapat berinteroperasi dengan solusi keamanan IT dan disampaikan melalui platform multifungsi. Panduan Pasar Gartner untuk Keamanan OT memberikan penilaian holistik tentang kondisi terkini pasar yang berubah ini untuk membantu mempersiapkan strategi keamanan siber OT Anda di masa depan. https://www.forescout.com/gartner-market-guide-for-operational-technology-ot-cybersecurity Bagaimana AES Corporation Menghubungkan Perbedaan Keamanan IT dan OT dengan Forescout AES adalah perusahaan energi generasi berikutnya dengan 70 pabrik internasional yang tersebar di 15 negara berbeda dan merupakan pelanggan Forescout. Pastikan untuk membaca blog wawancara Q&A dengan Christina Hoefer, Wakil Presiden Strategi OT & xIoT dari Forescout. “Salah satu hal yang dilakukan platform Forescout dengan sangat baik adalah membuat peta jaringan dari apa yang dibicarakan setiap sistem dan dalam arah mana,” jelas para pemimpin keamanan, Kyle Oetken, Direktur Cyber Defense, dan Andrew Plunket, Insinyur Keamanan Siber Sr. (OT) di AES Corporation. “Ini menyoroti sistem yang menghubungkan OT ke IT yang dapat dipantau lebih baik oleh beberapa pabrik. Kami juga telah mampu mendeteksi aktivitas pemindaian jaringan (uji penetrasi atau pemeliharaan vendor) di jaringan OT, mengidentifikasi kredensial default, dan kemudian bekerja sama dengan tim operasi OT untuk mengubah kredensial tersebut. Semua temuan ini membantu meningkatkan nilai program keamanan…