Lebih dari 26.500 aset yang rentan dieksploitasi berdasarkan penelitian baru yang dilakukan oleh Tenable®, Inc., perusahaan manajemen eksposur. Penelitian ini mengungkapkan lebih dari 26.500 aset potensial yang dapat diakses melalui internet di antara perusahaan perbankan, layanan keuangan, dan asuransi (BFSI) teratas di Asia Tenggara berdasarkan kapitalisasi pasar di Indonesia, Malaysia, Filipina, Singapura, Thailand, dan Vietnam.
Pada tanggal 15 Juli 2024, Tenable meneliti permukaan serangan eksternal dari lebih dari 90 organisasi BFSI dengan kapitalisasi pasar terbesar di wilayah tersebut. Temuan tersebut mengungkapkan bahwa rata-rata organisasi memiliki hampir 300 aset yang dapat diakses melalui internet yang rentan dieksploitasi, menghasilkan total lebih dari 26.500 aset di seluruh kelompok studi.
Singapura menempati peringkat tertinggi di antara enam negara yang dinilai, dengan lebih dari 11.000 aset yang dapat diakses melalui internet diidentifikasi di antara 16 perusahaan BFSI teratasnya. Lebih dari 6.000 aset tersebut dihosting di Amerika Serikat. Berikutnya adalah Thailand dengan lebih dari 5000 aset. Distribusi aset yang dapat diakses melalui internet menegaskan perlunya strategi keamanan cyber yang dapat beradaptasi dengan lanskap digital yang berkembang dengan cepat.
\”Hasil studi kami mengungkapkan bahwa banyak lembaga keuangan kesulitan menutup celah keamanan prioritas yang membuat mereka rentan. Manajemen eksposur yang efektif adalah kunci untuk menutup celah-celah ini,\” kata Nigel Ng, Wakil Presiden Senior, Tenable APJ. \”Dengan mengidentifikasi dan mengamankan aset yang rentan sebelum dapat dieksploitasi, organisasi dapat lebih baik melindungi diri dari gelombang serangan cyber yang semakin meningkat.\”
Kesenjangan Kebersihan Cyber
Studi Tenable mengungkapkan banyak kerentanan potensial dan mengungkap beberapa masalah kebersihan cyber di antara kelompok studi, termasuk perangkat lunak usang, enkripsi lemah, dan konfigurasi yang salah. Kerentanan ini memberikan peluang masuk yang mudah dieksploitasi bagi penjahat cyber, menimbulkan risiko potensial terhadap integritas dan keamanan data keuangan.
Enkripsi SSL/TLS lemah
Temuan yang mencolok adalah bahwa di antara total aset, organisasi memiliki hampir 2.500 yang masih mendukung TLS 1.0—protokol keamanan berusia 25 tahun yang diperkenalkan pada tahun 1999 dan dinonaktifkan oleh Microsoft pada September 2022. Hal ini menyoroti tantangan signifikan yang dihadapi organisasi dengan jejak internet yang luas dalam mengidentifikasi dan memperbarui teknologi usang.
Konfigurasi yang salah meningkatkan eksposur eksternal
Penemuan lain yang mengkhawatirkan adalah bahwa lebih dari 4.000 aset, yang awalnya ditujukan untuk penggunaan internal, secara tidak sengaja terpapar dan sekarang dapat diakses secara eksternal. Gagal mengamankan aset internal ini menimbulkan risiko signifikan bagi organisasi, karena menciptakan peluang bagi pelaku jahat untuk menargetkan informasi sensitif dan sistem kritis.
Kekurangan enkripsi
Ada lebih dari 900 aset dengan URL akhir yang tidak dienkripsi, yang dapat menjadi kelemahan keamanan. Ketika URL tidak dienkripsi, data yang ditransmisikan antara browser pengguna dan server tidak dilindungi oleh enkripsi, membuatnya rentan terhadap penyadapan, pengupingan, dan manipulasi oleh penjahat cyber. Kekurangan enkripsi ini dapat menyebabkan paparan informasi sensitif, seperti kredensial login, data pribadi, atau rincian pembayaran, dan dapat mengompromikan integritas komunikasi.
Kerentanan API meningkatkan risiko
Identifikasi lebih dari 2.000 API v3 dari total aset di dalam infrastruktur digital organisasi menimbulkan risiko substansial bagi keamanan dan integritas operasional mereka.
API berfungsi sebagai penghubung penting antara aplikasi perangkat lunak, memfasilitasi pertukaran data yang lancar. Namun, otentikasi yang tidak memadai, validasi input yang kurang, kontrol akses yang lemah, dan kerentanan dalam dependensi dalam implementasi API v3 menciptakan permukaan serangan yang rentan.
Penjahat cyber dapat mengeksploitasi kelemahan tersebut untuk mendapatkan akses tanpa izin, mengompromikan integritas data, dan meluncurkan serangan cyber yang menghancurkan.
\”Lanskap keamanan cyber berkembang lebih cepat dari sebelumnya, dan lembaga keuangan harus berevolusi bersamanya, sehingga mereka dapat mengetahui di mana mereka rentan dan mengambil tindakan untuk menutup risiko kritis,\” tambah Ng. \”Dengan memprioritaskan manajemen eksposur, organisasi ini dapat lebih baik melindungi aset digital mereka, menjaga kepercayaan pelanggan, dan memastikan ketahanan operasional mereka di lingkungan digital yang semakin bermusuhan.\”
Tentang Tenable
Tenable® adalah perusahaan manajemen eksposur, mengekspos dan menutup celah keamanan cyber yang mengikis nilai bisnis, reputasi, dan kepercayaan. Platform manajemen eksposur yang didukung kecerdasan buatan secara radikal menyatukan visibilitas keamanan, wawasan, dan tindakan di seluruh permukaan serangan, melengkapi organisasi modern untuk melindungi diri dari serangan dari infrastruktur TI ke lingkungan cloud hingga infrastruktur kritis dan di mana saja di antaranya. Dengan melindungi perusahaan dari eksposur keamanan, Tenable mengurangi risiko bisnis bagi lebih dari 44.000 pelanggan di seluruh dunia. Pelajari lebih lanjut di tenable.com.
Catatan untuk Editor:
Tenable meneliti 12-16 perusahaan BFSI teratas yang dapat ditemukan berdasarkan kapitalisasi pasar. Dalam konteks peringatan ini: Aset adalah nama domain, subdomain, atau alamat IP dan/atau kombinasi dari perangkat yang terhubung ke Internet atau jaringan internal. Aset dapat mencakup, namun tidak terbatas pada server web, server nama, perangkat IoT, printer jaringan, dll. Contoh: foo.tld, bar.foo.tld, x.x.x.xs. Permukaan Serangan adalah dari perspektif jaringan seorang penyerang, inventaris aset lengkap dari sebuah organisasi termasuk semua layanan yang mendengarkan aktif (port terbuka) pada setiap aset.
Sumber: Tenable
Reporter: PR Wire
Editor: PR Wire
Hak Cipta © ANTARA 2024