Perhatian global pada keadaan cybersecurity (terbuka di tab baru) meningkat selama setahun terakhir setelah serangan terhadap SolarWinds dan Colonial Pipeline. Sebagai anggota komunitas keamanan, sangat penting bagi kita untuk memperhatikan temuan penelitian dari kampanye terbaru untuk menentukan apakah ada yang memengaruhi organisasi tempat kita bekerja. Kita juga harus tetap menyadari fakta bahwa musuh terus mengembangkan cara mereka beroperasi untuk mencapai target baru. Ancaman yang hanya relevan untuk industri tertentu suatu hari nanti, mungkin akan segera menjadi relevan untuk industri lain.
Tentang Penulis
Hugh Njemanze adalah Presiden di Anomali (terbuka di tab baru).
Advanced Persistent Threat (APT) FIN7 (alias Carbon Spider, Carbanak Group, dan Navigator Group) adalah contoh utama bagaimana pelaku ancaman yang sangat mudah beradaptasi. Pertama kali terdeteksi pada tahun 2015, FIN7 secara konsisten menargetkan bisnis ritel, restoran, dan perhotelan yang berbasis di AS dengan berbagai kampanye bermotivasi finansial yang telah menimbulkan kerugian hingga satu miliar dolar, menurut Departemen Kehakiman Amerika Serikat (DOJ). Itu mengejutkan dunia lagi ketika muncul sebagai pemain di ransomware (terbuka di tab baru) serangan yang mengunci sistem Pipa Kolonial, menandai kemampuannya untuk beradaptasi agar tetap relevan dan memperluas tentakelnya ke lebih banyak sektor.
Banyak keamanan (terbuka di tab baru) tim mungkin tidak pernah memperhatikan FIN7 karena tidak bekerja di industri yang awalnya ditargetkan oleh APT. Sekarang, organisasi mana pun yang mengkhawatirkan ancaman seperti ransomware dan phishing (terbuka di tab baru) perlu mulai beroperasi dengan asumsi bahwa grup tersebut mungkin relevan bagi mereka. Dan tentu saja, tim operasi keamanan di dalam area yang awalnya ditargetkan oleh aktor ancaman harus tetap waspada, karena kelompok tersebut terus menargetkan organisasi tersebut, seperti yang baru-baru ini diungkapkan oleh analis intelijen ancaman Anomali.
Mengatasi lanskap ancaman saat ini
Gagasan harus mengalihkan fokus keamanan untuk menghadapi ancaman yang sebelumnya tidak relevan dengan industri Anda mungkin tampak sulit. Yang pasti, ini akan membutuhkan upaya tambahan dari Anda, tetapi itu akan terbayar dalam pencegahan insiden besar di kemudian hari. Untungnya, ada beberapa langkah yang dapat Anda ambil untuk meningkatkan kemampuan organisasi Anda untuk beradaptasi dalam lanskap ancaman yang selalu berubah saat ini, di mana aktor jahat baru dan lama seperti FIN7 terus menyebarkan jaring yang lebih luas. Di antara beberapa dasar yang harus diambil:
Terapkan deteksi dan respons komprehensif
Mengidentifikasi kapan musuh mencoba menembus jaringan Anda hanyalah setengah dari program deteksi yang efektif. Anda juga harus mengetahui apa yang sudah ada di dalam jaringan Anda untuk merespons secara efektif ancaman yang dapat menimbulkan risiko. Deteksi komprehensif dan strategi respons memanfaatkan telemetri, intelijen ancaman, kerangka kerja ancaman, visibilitas ke dalam jaringan, dan bakat untuk menemukan, menetralkan, dan menghilangkan ancaman sebelum berubah menjadi bencana. Solusi tradisional yang mendukung kemampuan deteksi dan respons Anda tentu saja harus dipertahankan, tetapi inovasi baru juga perlu diterapkan karena solusi lama hanya dapat melakukan banyak hal. Di antara yang terbaru menunjukkan hasil adalah Extended Detection and Response (XDR), yang memperluas deteksi dan membantu mempercepat respons dengan memperluas visibilitas ancaman di lebih banyak permukaan serangan, termasuk titik akhir, cloud, kontainer, aplikasi (terbuka di tab baru)dan aset perangkat lunak dan perangkat keras lainnya.
Dapatkan pemahaman strategis tentang ancaman
Perusahaan sering memprioritaskan ekspansi ke pasar daripada keamanan, meninggalkan tim operasi keamanan untuk mengejar ketinggalan dalam hal pertahanan. Pendekatan taktis ini berbahaya; ia memenangkan beberapa pertempuran tetapi kalah dalam perang secara keseluruhan. Untuk mendapatkan keunggulan strategis atas penyerang, Anda perlu menggunakan kerangka kerja model respons lanjutan yang menghasilkan informasi tentang siapa penyerang, bagaimana mereka beroperasi, apa permainan akhir mereka, dan bagaimana cara mematikannya. Untungnya, kerangka kerja seperti MITRE ATT&CK sudah tersedia untuk membantu Anda mendapatkan konteks, memprioritaskan ancaman, dan menjalankan respons yang lebih efisien terhadap grup ancaman yang selalu, atau baru-baru ini menjadi, relevan dengan lingkungan Anda.
Merangkul kecerdasan buatan
Solusi yang didukung oleh AI dan pembelajaran mesin membantu menyamakan kedudukan bagi mereka yang berkecimpung dalam bisnis menangkis serangan siber yang berubah dengan cepat. Dalam serangkaian laporan yang sedang berlangsung, analis Gartner telah menyoroti peran inovasi ini dalam deteksi dan respons. Di antara temuan sehubungan dengan nilai bisnis pasokan ini adalah peningkatan keseluruhan pengalaman analis keamanan, postur keamanan, dan visibilitas melalui jaringan dan aset. Penelitian lebih lanjut menyimpulkan bahwa deteksi dan respons yang lebih cepat, deteksi fidelitas tinggi, dan pengurangan biaya dicapai melalui AI di berbagai kasus penggunaan keamanan. AI dan ML kini telah matang ke titik di mana ia membuat perbedaan mutlak dan tidak dapat diabaikan sebagai alat yang harus dimiliki.
Inventaris aset Anda
Infrastruktur TI modern, sistem yang menyusunnya, dan data (terbuka di tab baru) dapat diakses melalui mereka luas, seringkali di luar pandangan operasi keamanan. Organisasi saat ini harus menjadi sangat sadar akan segala sesuatu yang terkandung dalam jaringan mereka jika ingin menghindari menjadi korban pelanggaran data. Inventarisasi aset digital perlu memetakan dan memperhitungkan komputer (terbuka di tab baru)server (terbuka di tab baru)router, pemindai (terbuka di tab baru)mesin faks, printer (terbuka di tab baru), modem, hub, dan berbagai perangkat Internet of Things (IoT). Di era pandemi saat ini, ledakan “work from home” dan meningkatnya jumlah perangkat milik pribadi yang digunakan untuk aktivitas bisnis juga perlu diperhitungkan.
Jadilah fleksibel
Agar tetap relevan dan mencapai pertumbuhan, perusahaan kriminal terus mengejar peluang baru, seperti yang dibuktikan oleh contoh FIN7. Ransomware adalah salah satu pasar kejahatan dunia maya yang paling ekspansif dan menguntungkan saat ini, yang berarti bahwa perusahaan swasta dan lembaga pemerintah sama-sama menjadi sasaran serangan dan gangguan. Terlepas dari apakah Anda seorang karyawan pemula atau eksekutif berpengalaman, Anda tidak dapat mengabaikan kemungkinan ancaman yang pernah dianggap tidak relevan dengan industri Anda sekarang, terutama sekarang karena Anda tahu bahwa banyak yang mengadopsi metode monetisasi baru. Jika Anda khawatir tentang hal-hal seperti ransomware, lebih baik Anda mencari cara untuk mendeteksi dan memblokir setiap penjahat dunia maya yang sekarang menggunakannya.
Dunia modern memaksa semua organisasi untuk mengejar transformasi digital dan ekspansi cloud dengan kecepatan yang semakin tinggi, yang seringkali dapat menempatkan inisiatif komersial dan operasi keamanan dalam persaingan satu sama lain. Realitas yang nyata adalah bahwa kita ada di lingkungan di mana bisnis perlu berkembang terlepas dari FIN7 dan kelompok kejahatan dunia maya lainnya. Ini tugas yang sulit, tetapi dengan kombinasi teknologi, bakat, dan strategi yang tepat, hal itu dapat dicapai.
