Menyeimbangkan risiko dan manfaat kehadiran online [Q&A]

Meluasnya penggunaan platform digital memungkinkan bisnis untuk berkembang, tetapi pada saat yang sama kehadiran internet yang berkembang dapat menempatkan organisasi pada risiko dengan cara yang tidak dapat mereka rencanakan.

Kami berbicara dengan ilmuwan data Censys, Emily Austin tentang laporan State of the Internet perusahaan baru-baru ini dan tentang bagaimana bisnis dapat secara proaktif melawan domain dan risiko yang tidak diketahui.

BN: Pertumbuhan kehadiran internet membuat organisasi berisiko dengan cara yang tidak dapat mereka rencanakan; bagaimana organisasi dapat meningkatkan visibilitas layanan mereka di internet sekaligus tetap aman sepenuhnya?

EA: Organisasi berkembang pesat dan perlu mengambil pendekatan baru untuk visibilitas; pergi adalah hari-hari ketika satu atau dua alat dapat menutupi celah dalam keamanan dan menangani kecepatan pertumbuhan kehadiran internet perusahaan. Perusahaan sering berpikir kehadiran online mereka hanya terdiri dari situs publik dan server web mereka. Namun dalam praktiknya, jejak digital itu seringkali terlihat berbeda dari yang diharapkan. Organisasi dan pemimpin perlu mulai berpikir secara strategis tentang bagaimana mengikuti pasar yang terus berubah sambil menjaga agar permukaan serangan mereka tetap aman.

Pemimpin perlu mencari platform yang memberikan pandangan 360 ke lanskap organisasi mereka. Visibilitas ini membantu mendapatkan pemahaman yang lebih baik tentang apa yang tersedia di internet yang mungkin tidak seharusnya, seperti perangkat atau layanan yang seharusnya hanya tersedia secara internal untuk organisasi. Hal ini dapat membantu menyeimbangkan permintaan bisnis yang terus meningkat sambil mempertahankan postur keamanan sekuat mungkin.

BN: Laporan Keadaan Internet mengamati 37 organisasi dan menemukan bahwa mereka menggunakan rata-rata 44 pendaftar domain sebagai bagian dari keberadaan internet mereka. Mengapa menggunakan begitu banyak pendaftar domain?

EA: Sementara organisasi sering menggunakan lebih dari satu pendaftar domain untuk tujuan bisnis resmi, 44 adalah… banyak. Mengingat jumlah pendaftar yang diamati dalam penelitian kami, kemungkinan besar ada domain yang dibeli oleh organisasi yang berada di luar jangkauan tim TI dan keamanan mereka. Jika domain ini kedaluwarsa dan dibeli oleh pelaku ancaman, mereka dapat dijadikan senjata untuk phishing dan peniruan merek. Hal ini membuat tim keamanan menghadapi serangan dan akibat yang tidak dapat mereka pertahankan secara proaktif.

BN: Rata-rata, 37 perusahaan ini hadir di 17 penyedia hosting yang berbeda — termasuk cloud, lokal, dan pusat data. Bagaimana gepeng ini berdampak pada tim keamanan?

EA: Dengan rata-rata 17 penyedia hosting per perusahaan dalam penelitian kami, hampir tidak mungkin untuk mengetahui data apa yang disimpan di masing-masing penyedia. Ini menyebarkan tim keamanan lebih tipis dari sebelumnya, membuat inventarisasi komprehensif dan pertahanan aset tersebut lebih menantang–dan dalam beberapa kasus, tidak mungkin.

Selama dua tahun terakhir, pekerjaan jarak jauh berkontribusi pada perluasan ini. Tuntutan pekerjaan jarak jauh yang baru adalah pendorong utama dari peningkatan 59 persen yang dilaporkan dalam TI bayangan. Konektivitas yang meningkat di luar kesadaran tim TI dan keamanan ini menimbulkan risiko tambahan bagi organisasi dalam bentuk perangkat dan layanan yang dikelola secara tidak benar yang terhubung ke internet.

BN: Jenis risiko apa yang mereka hadapi pada perusahaan? Apa yang harus diwaspadai oleh tim keamanan?

EA: Risiko mencakup pengaturan atau kondisi yang meningkatkan potensi pelanggaran data, kebocoran informasi, atau perusakan aset. Kesalahan konfigurasi dan eksposur bertanggung jawab atas 88 persen risiko yang dihadapi internet yang diamati — dan sering kali diatasi dengan praktik kebersihan keamanan yang kuat. Beberapa risiko paling umum di internet adalah kurangnya header keamanan umum, sertifikat yang ditandatangani sendiri, dan halaman autentikasi yang tidak terenkripsi menggunakan autentikasi dasar atau intisari. Meskipun kurangnya tajuk keamanan atau sertifikat yang ditandatangani sendiri biasanya tidak mengarah langsung ke permata mahkota organisasi, mereka dapat dijadikan senjata sebagai bagian dari rantai eksploitasi, atau mengarah pada pemaparan informasi. Halaman autentikasi yang tidak terenkripsi menggunakan metode autentikasi dasar atau intisari lebih berbahaya. Metode autentikasi ini membuat kredensial rentan terhadap intersepsi saat dikirim melalui koneksi yang tidak terenkripsi (alias, serangan man-in-the-middle). Meskipun sama sekali bukan taktik baru, pencurian kredensial masih merupakan metode yang populer untuk masuk tanpa izin ke dalam organisasi.

Inventarisasi dan penemuan aset secara teratur adalah penting–memahami perangkat lunak dan layanan apa yang ada di suatu lingkungan adalah kunci untuk dapat melindungi dan mempertahankannya secara efektif. Selain itu, praktik manajemen kerentanan dan tambalan adalah bagian penting dari kebersihan keamanan yang baik. Ini tidak bisa dikatakan enteng, karena sering kali ada garis tipis antara patch yang berhasil dan perubahan otomatis yang merusak, tetapi penting untuk menjaga agar perangkat lunak tetap ditambal dan diperbarui. Meskipun bukan daftar lengkap, menambahkan praktik ini ke rutinitas keamanan Anda memberi tim kerangka kerja yang bermakna dan proaktif untuk memperkuat kondisi keamanan mereka.

BN: Apa tiga hal yang dapat dilakukan oleh semua organisasi untuk memastikan bahwa mereka menerapkan kebersihan keamanan yang baik?

EA: Membuat rencana proaktif adalah dasar dari kebersihan keamanan organisasi. Pola pikir yang mengutamakan keamanan ini memungkinkan organisasi untuk berfokus pada prioritas lain, memberikan kesadaran kepada tim, dan menciptakan lingkungan kerja yang lebih kolaboratif. Berikut adalah tiga praktik yang harus dilakukan setiap organisasi secara rutin:

Pindai seluruh lanskap — lalu lakukan lagi: Ada beberapa celah yang bisa disembunyikan oleh pelaku ancaman — dan banyak yang terletak di area yang bahkan tidak terpikirkan oleh Anda. Jika perusahaan Anda baru saja melakukan merger atau akuisisi, atau mungkin melakukan rebranding, ini membuka potensi risiko keamanan pada aset yang tidak diketahui oleh tim keamanan Anda. Seiring pergeseran perusahaan, tim harus mengidentifikasi dan menetapkan rutinitas untuk memantau semua aset yang terhubung ke internet agar dapat menghadirkan visibilitas langsung ke tangan profesional keamanannya. Anda tidak dapat mengamankan apa yang tidak Anda ketahui keberadaannya. Hilangkan kesalahan konfigurasi dan eksposur: Ini adalah bagian penting dari pertahanan untuk organisasi. Pelaku ancaman sering menargetkan organisasi melalui kesalahan konfigurasi dan paparan karena ini merupakan titik masuk yang mudah ke lingkungan. Mulailah dengan menggabungkan alat dan praktik seperti zero-trust, autentikasi multi-faktor, dan audit yang aman untuk semua aset yang terhubung ke internet. Penting juga untuk memastikan organisasi Anda memiliki proses manajemen kerentanan dan melakukan patching secara teratur. Selangkah lebih maju dari scammer domain: Sangat mudah bahkan bagi profesional keamanan yang paling berpengalaman sekalipun untuk menjadi korban domain situs web palsu, terutama melalui serangan phishing. Dan pelaku ancaman semakin disempurnakan — antara membuat antarmuka situs web palsu yang terlihat identik dengan aslinya hingga sedikit mengubah salinan domain, tim keamanan dapat memanfaatkan alat untuk memantau domain web, atau bahkan melangkah lebih jauh dengan membuat dan membeli nama domain yang mirip itu sendiri sehingga pelaku ancaman tidak dapat menggunakannya.

Kredit gambar: Jirsak/depositphotos.com