Gambar: Yuichiro Chino/Moment via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Intisari ZDNET:
- Serangan terhadap jaringan perusahaan semakin cepat.
- Pelaku kejahatan siber memanfaatkan AI, namun manusia tetap menjadi mata rantai terlemah.
- Bertahan dari serangan memerlukan perubahan struktural pada jaringan.
Inilah paradoks perang siber modern: Para penyerang semakin menggunakan mesin yang bekerja jauh lebih cepat daripada manusia yang mengendalikannya. Sebagai tanggapan, target sasaran pun semakin beralih ke sistem otomatis untuk mendeteksi dan mengusir penyusup tersebut.
Namun, dalam pertarungan mesin lawan mesin ini, manusia tetap berada di pusat setiap pertempuran, dan mereka yang fana inilah yang terus menjadi titik lemah. Itulah kesimpulan dari survei lanskap keamanan perusahaan tahun ini oleh Mandiant, sebuah firma keamanan siber AS—kini bagian dari Google Cloud—yang berspesialisasi dalam menyelidiki pelanggaran keamanan global besar dan menasihati organisasi tentang cara melindungi diri dari ancaman siber.
Jaringan perusahaan modern terdistribusi luas dan dapat melimpahkan tugas ke mitra melalui software-as-a-service. Para penjahat melakukan hal yang sama, lapor Mandiant, dengan menggunakan model "pembagian kerja", di mana satu kelompok menggunakan teknik berdampak rendah seperti iklan berbahaya atau pembaruan browser palsu untuk mendapatkan akses ke jaringan, kemudian menyerahkan target yang sudah dikompromikan ke kelompok sekunder untuk akses langsung.
Dan semua ini terjadi dengan kecepatan yang mencengangkan. Pada tahun 2022, lapor Mandiant, "waktu serah-terima" ini lebih dari 8 jam. Pada tahun 2025, berkat otomasi, serah-terima itu terjadi hanya dalam rata-rata 22 detik. Demikian pula, jendela untuk membobol sistem dengan eksploit zero-day juga merosot, dengan waktu rata-rata untuk mengeksploitasi kerentanan turun menjadi tujuh hari sebelum vendor sempat merilis patch.
Mengidentifikasi Penyerang
Menurut Mandiant, mayoritas kelompok sekunder yang melakukan "operasi hands-on-keyboard" di jaringan perusahaan yang disusupi dapat dibagi menjadi dua kelompok dengan taktik dan kecepatan yang sangat berbeda. Pelaku kejahatan siber mengejar keuntungan finansial dengan alat seperti ransomware, sementara kelompok spionase mengoptimalkan akses jangka panjang yang tersembunyi.
Di satu sisi, kelompok kriminal siber dioptimalkan untuk dampak langsung dan penolakan pemulihan yang disengaja. Di sisi lain, kelompok spionase siber canggih dan ancaman internal dioptimalkan untuk keberlangsungan ekstrem, memanfaatkan perangkat tepi yang tidak terpantau dan fungsionalitas jaringan asli untuk menghindari deteksi.
"Waktu tinggal" (dwell times) — yaitu waktu dari intrusi hingga deteksi — rata-rata 14 hari, tetapi insiden spionase siber bisa berlangsung jauh lebih lama, dengan waktu tinggal median 122 hari.
Mandiant mengidentifikasi lebih dari 16 vertikal industri yang menjadi target, dengan sektor teknologi tinggi (17%) dan sektor keuangan (14,6%) berada di puncak daftar.
Dari Mana Intrusi Berasal
Tidak mengejutkan: Hampir sepertiga intrusi yang terdeteksi berasal dari eksploit. Vektor yang paling umum diamati berikutnya adalah "rekayasa sosial berbasis suara yang sangat interaktif," dengan kelompok menargetkan meja bantuan IT "untuk melewati autentikasi multi-faktor (MFA) dan mendapatkan akses awal ke lingkungan software-as-a-service (SaaS)."
Juga tidak mengejutkan adalah peningkatan adopsi alat AI untuk pengintaian, rekayasa sosial, dan pengembangan perangkat lunak berbahaya. Setelah mendapatkan akses ke jaringan, mereka melaporkan, "penyerang mempersenjatai AI… pencuri kredensial QUIETVAULT diamati memeriksa mesin target untuk alat [command-line] AI guna menjalankan perintah yang telah ditentukan untuk mencari file konfigurasi dan mengumpulkan token GitHub dan NPM."
Namun, AI masih memainkan peran sekunder. "Terlepas dari kemajuan teknologi yang pesat ini," catat laporan itu, "kami tidak menganggap 2025 sebagai tahun di mana pelanggaran adalah hasil langsung dari AI. Dari pandangan kami di garis depan, sebagian besar intrusi yang berhasil masih berasal dari kegagalan fundamental manusia dan sistem."
Para Penjahat Bergerak Lebih Cepat dan Merusak
Seluruh industri teknologi telah belajar dari imperatif terkenal Mark Zuckerberg untuk insinyur Facebook: "Move fast and break things." Itu juga berlaku bagi pelaku kejahatan siber, yang menemukan bahwa serangan ransomware bahkan lebih efektif ketika mereka juga menargetkan infrastruktur virtual yang mendukung alat cadangan:
Kelompok ransomware tidak lagi hanya mengenkripsi data; mereka secara aktif menghancurkan kemampuan untuk memulihkan… secara aktif menghapus objek cadangan dari penyimpanan awan… Dengan menargetkan lapisan penyimpanan virtualisasi secara langsung atau mengenkripsi datastore hypervisor, mereka dapat membuat semua mesin virtual terkait tidak beroperasi secara bersamaan.
Kabar baiknya adalah target sasaran juga semakin cerdas. "Organisasi meningkatkan visibilitas internal mereka. Di semua investigasi 2025, 52% dari waktu organisasi pertama kali mendeteksi bukti aktivitas berbahaya secara internal, meningkat dari 43% pada 2024." Semakin cepat Anda menemukan bukti intrusi, semakin cepat Anda dapat memulai proses pemulihan.
Cara Melawan Balik
Seiring penyerang menjadi lebih canggih dan gigih, pekerja IT juga harus meningkatkan permainan mereka. Nasihat Mandiant mencakup pelatihan lanjutan untuk karyawan dan staf meja bantuan tentang cara mengenali vektor serangan modern: mengenali serangan rekayasa sosial menggunakan alat berbasis suara dan aplikasi perpesanan, serta permintaan reset MFA yang tidak sah.
Strategi pertahanan lainnya melibatkan perubahan dalam infrastruktur jaringan:
- Perlakukan platform virtualisasi dan manajemen sebagai aset Tingkat-0 dengan batasan akses paling ketat.
- Untuk mengatasi penghancuran kemampuan pemulihan, pisahkan lingkungan cadangan dari domain Active Directory perusahaan dan gunakan penyimpanan yang tidak dapat diubah (immutable storage).
- Terapkan deteksi ancaman tingkat lanjut di seluruh ekosistem dan perpanjang kebijakan retensi log jauh melampaui jendela standar 90 hari.
- Audit integrasi SaaS secara berkala dan arahkan semua aplikasi SaaS melalui penyedia identitas (identity provider/IdP) pusat.
- Terapkan model deteksi berbasis perilaku yang menandai aktivitas anomali dan penyimpangan dari baseline yang telah ditetapkan.
Dalam kesimpulannya, peneliti Mandiant mencatat bahwa "identitas adalah perimeter baru." Sekadar mengganti kata sandi dan memberlakukan MFA sudah tidak cukup lagi. Fokus pada pengerasan kontrol identitas dan beralih ke verifikasi identitas berkelanjutan, terutama dengan vendor pihak ketiga, adalah kuncinya. Sumber: Yuichiro Chino / Moment via Getty Images