Laporan terbaru Palo Alto Networks menemukan bahwa cloud menjadi permukaan serangan paling dominan. Sebanyak 80% eksposur sedang, tinggi, atau kritis milik organisasi yang dianalisis berasal dari aset yang berada di cloud.
Digitalisasi dan implementasi berbagai teknologi baru membuat permukaan serangan (attack surface) pun terus berubah sehingga menyulitkan tim keamanan TI untuk mengamankannya. Di sisi lain, para penjahat siber mampu mengeksploitasi kerentanan baru dalam hitungan jam setelah kerentanan itu diumumkan ke publik.
Sementara itu, dalam riset sebelumnya, Palo Alto Networks menemukan bahwa sebuah organisasi rata-rata membutuhkan waktu lebih dari tiga minggu untuk menyelidiki dan memulihkan eksposur yang kritis.
Hal inilah yang ingin dijawab Palo Alto Networks melalui Unit 42 Attack Surface Threat Report 2023. Laporan ini menganalisis data yang berukuran hingga beberapa petabyte tentang paparan yang dapat diakses internet di 250 organisasi di seluruh dunia, antara tahun 2022- 2023.
Berikut adalah temuan-temuan penting mengenai perubahan permukaan serangan dan risiko ancaman yang ditimbulkannya.
Cloud menjadi permukaan serangan yang dominan
- Risiko ancaman keamanan yang ditemukan di lingkup layanan cloud mencapai 80%, berbanding jauh dengan ancaman yang terjadi di lingkup on-premise (19%).
- Infrastruktur TI berbasis cloud terus berubah. Rata-rata lebih dari 20% layanan cloud yang dapat diakses secara eksternal berubah setiap bulan di 250 organisasi.Walhasil, kesalahan miskonfigurasi yang tak disengaja mudah terjadi.
- Bagi sebagian besar organisasi, terdapat lebih dari 45% ancaman berisiko tinggi berbasis cloud setiap bulannya, yang disebabkan oleh (1) adanya perubahan terus-menerus pada layanan berbasis cloud yang baru beroperasi dan/atau (2) perubahan pada model layanan lama.
- Lebih dari 75% paparan ancaman terhadap infrastruktur sofrware development yang dapat diakses oleh umum ditemukan di cloud.
Gerak cepat penyerang
- Saat ini para penyerang memiliki kemampuan memindai seluruh alamat IPv4 (berisi lebih dari 4 miliar alamat IP) untuk menemukan target yang rentan dalam hitungan menit.
- Dari 30 Kerentanan dan Ancaman Umum (Common Vulnerabilities and Exposrues / CVE) yang dianalisis, tiga di antaranya berhasil ditembus dalam waktu beberapa jam setelah diekspos ke publik, dan sebanyak 63% berhasil ditembus dalam waktu 12 minggu (sekitar 3 bulan) setelah dipublikasikan.
Ancaman pada sistem akses jarak jauh semakin luas
- Lebih dari 85% organisasi yang kami survei memiliki alat Remote Desktop Protocol (RDP) yang terhubung dengan internet setidaknya selama 25% dalam sebulan sehingga membuka peluang terjadinya serangan ransomware dan upaya login tak resmi.
- Delapan dari sembilan industri yang disurvei oleh Unit 42 memiliki RDP yang dapat diakses melalui internet yang rawan terhadap serangan brute-force selama setidaknya 25% dalam sebulan.
- Rata-rata industri jasa keuangan dan organisasi pemerintahan pusat maupun daerah memiliki ancaman RDP di sepanjang bulan.
Industri strategis yang terancam
- Dalam hal potensi kemungkinan terhadap ancaman, infrastruktur TI, keamanan, dan jaringan industri manufaktur menempati peringkat pertama (48%), yang dapat mengakibatkan risiko penurunan produksi dan pendapatan.
- Lembaga keuangan paling rentan terpapar melalui layanan file-sharing (38%).
- Bagi pemerintah pusat, sistem manajemen file-sharing dan pusat penyimpanan data yang tidak aman merupakan salah satu risiko ancaman serangan permukaan yang paling signifikan. Metode ini menyumbang lebih dari 46% dari seluruh risiko ancaman yang ada pada organisasi pemerintah pusat pada umumnya.
- Di organisasi kesehatan, sekitar 56% dari ekosistem pengembangan yang terpapar ke publik sering kali tidak terkonfigurasi dengan baik dan rawan mengalami serangan.
- Sedangkan untuk sektor utilitas dan energi, pusat kendali infrastruktur IT yang terhubung dengan internet menyumbang 47% dari total ancaman paparan.
Melihat perkembangan ancaman pada permukaan serangan yang terus berubah itu, Palo Alto Networks menganjurkan sejumlah rekomendasi bagi pemain industri, yaitu:
- Dapatkan visibilitas menyeluruh pada seluruh aset untuk menjamin pemahaman yang mendalam dan real-time terhadap seluruh aset yang dapat diakses melalui internet, termasuk sistem dan layanan berbasis cloud.
- Mengutamakan pemulihan kerentanan dan ancaman kerentanan yang paling kritis berdasarkan CVSS (Sistem Penilaian Kerentanan Umum) dan EPSS (Sistem Penilaian Prediksi Serangan).
- Mengamankan layanan akses jarak jauh dengan menerapkan autentikasi multifaktor (MFA) dan memantau seluruh titik dan penggunaan akses jarak jauh untuk mengeliminasi dan mengetahui risiko login yang tidak sah atau serangan brute force.
- Mengatasi kesalahan konfigurasi cloud dengan meninjau dan melakukan pembaruan secara berkala terhadap miskonfigurasi cloud yang tak terhindarkan untuk memastikan hal tersebut telah selaras dengan praktik keamanan terbaik.
Baca juga: Ini Tiga Serangan Siber yang Targetkan Penjualan Tiket Konser Online
Baca juga: Antisipasi UU PDP, Virtus Showcase 2023 Bahas Ketahanan Siber