Kami telah mengalami insiden keamanan siber terkait API pertama untuk tahun 2023, dan tahun ini baru saja dimulai. Pelanggaran T-Mobile API mengungkap informasi identitas pribadi (PII) dari 37 juta pelanggan. Serangan API telah berlangsung sejak November tetapi tidak ditemukan dan diungkapkan hingga 19 Januari, menggambarkan ancaman pendekatan serangan API “rendah dan lambat”, yang meningkat dengan kecepatan tetap. Menyusul penelitian Sam Curry yang mengungkap ratusan kerentanan API di industri otomotif — dari Mercedes-Benz hingga Nissan hingga Kia hingga Ferrari dan banyak lagi — tidak mengherankan jika tahun 2023 dijuluki “Tahun Keamanan API”.
Sayangnya, ancaman tidak berhenti pada keamanan API. Organisasi saat ini — dan dunia — menghadapi risiko keamanan yang sangat besar. Ancaman dan tren apa lagi yang bisa kita lihat di tahun mendatang?
Dr. Edward Amoroso, CEO, TAG Cyber dan profesor riset, NYU
Serangan otomatis yang menargetkan infrastruktur sistem kontrol industri (ICS) akan meledak pada tahun 2023, mengikuti irama jenis ransomware dan dirancang untuk gangguan maksimal.
Perang yang sedang berlangsung di Ukraina pasti akan menjadi faktor. Kami dapat melihat gangguan dunia maya terhadap ICS yang berasal dari negara asal yang sebenarnya (yaitu, Rusia) atau dari tim yang mengaku disponsori oleh pemerintah Rusia. ICS yang ditargetkan kemungkinan akan berada di AS, Inggris, dan sejenisnya. Ukraina juga akan melihat serangan ICS seperti yang mereka lakukan dari Rusia pada tahun 2015.
Untuk eksploitasi yang diharapkan, kami belum melihat skala Stuxnet, dan lebih dari 12 tahun telah berlalu sejak peristiwa itu. Pemodelan ancaman kami menunjukkan bahwa serangkaian berulang serangan tipe Stuxnet yang sedang berlangsung dalam skala besar akan terjadi, dan akses berbahaya otomatis melalui API publik akan menjadi vektor utama.
Jeff Farinich, Teknologi SVP dan CISO, Pendanaan Amerika Baru
Serangan baru-baru ini membuktikan autentikasi multi-faktor (MFA) tidak lagi memadai, membutuhkan pengadopsian autentikasi Tanpa Kata Sandi untuk meningkatkan perlindungan.
Keamanan cloud tidak lagi terbatas pada Infrastructure-as-a-Service (IaaS), adopsi aplikasi berbasis cloud secara luas memerlukan manajemen postur keamanan Software-as-a-Service (SaaS).
Browser telah menjadi ruang kerja utama tetapi tetap agak tidak aman, membutuhkan browser atau plugin perusahaan untuk memberikan kontrol keamanan yang terperinci.
Memperluas peraturan dengan tindakan penegakan hukum yang lebih kuat di tingkat federal (FTC, SEC) dan tingkat negara bagian (California, Colorado, Connecticut, New York, Utah, dan Virginia) akan memerlukan pematangan kontrol, kebijakan, dan praktik untuk lebih melindungi data pelanggan.
Michael Farnum, CTO, Set Solutions, Inc.
Karena vendor SaaS terus bertambah jumlahnya, dan PaaS serta alat low-code/no-code memungkinkan gerakan Citizen Developer, karyawan non-TI akan semakin membangun aplikasi dan fungsionalitas tanpa keterlibatan dari TI dan keamanan. Perusahaan akan berjuang untuk menjadi yang terdepan (dan tetap menjadi yang terdepan) dari IT bayangan karena fungsionalitas yang lebih rumit dibangun ke dalam aplikasi dan API yang tidak disetujui/non-federasi.
CISO pertama-tama perlu memastikan adanya kebijakan dan pendidikan sehingga karyawan memahami bahaya dan konsekuensi potensial dari implementasi SaaS dan PaaS non-federasi. Kedua, peralatan seputar penemuan, federasi, kontrol, dan offboarding alat SaaS dan PaaS harus diselidiki sekarang untuk mengendalikan TI bayangan (bahkan jika mereka tidak tahu bahwa mereka memiliki masalah ini).
Richard Stiennon, Kepala Analis Riset, IT-Harvest
Dua tahun lalu, kami mengetahui tentang salah satu serangan langsung yang paling berpotensi merusak — korupsi pembaruan perangkat lunak SolarWinds.
Proses CI/CD yang tidak aman bukanlah akar masalahnya. Masalah sebenarnya adalah kami telah menghabiskan waktu puluhan tahun membujuk tim untuk segera menambal. Pindai sistem secara terus-menerus, skor kerentanan yang ditemukan berdasarkan tingkat keparahan atau “risiko”, dan tempel, tempel, tempel.
Pembaruan perangkat lunak berbahaya bukanlah hal baru. Selama Olimpiade Athena pada tahun 2004, sakelar Ericsson di penyedia telekomunikasi Yunani diperbarui untuk mengaktifkan penyadapan standar yang sah dan atlet, pejabat Olimpiade, dan politisi disadap secara ilegal. NotPetya, worm berbahaya yang diunggulkan di Ukraina, berasal dari pembaruan yang disusupi dari perusahaan perangkat lunak akuntansi. Dan malware FLAME dikirim melalui pembaruan Microsoft palsu ke target tertentu.
Pada tahun 2023, kami akan mendapatkan lebih banyak pengingat bahwa kami tidak dapat mempercayai pembaruan perangkat lunak, meskipun telah ditandatangani, disegel, dan dikirimkan langsung dari rantai pasokan. Kita harus mencari cara untuk mempertahankan diri kita sekarang, sebelum SolarWinds berikutnya.
Patricia Titus, Kepala Petugas Privasi dan Keamanan Informasi, Markel Corporation
Pasar tenaga kerja cybersecurity akan terus berjuang untuk mengisi lowongan dan keragaman. Bakat terampil dengan pengalaman dalam operasi keamanan dan insinyur identitas akan sulit ditemukan dan dipertahankan. Profesional keamanan dunia maya akan menuntut lebih banyak manfaat seperti kerja jarak jauh dan gaji yang berlebihan.
CISO juga akan terpengaruh karena mereka menuntut asuransi direktur dan pejabat, ganti rugi, dan tunjangan sebelum dan sesudah kerja. Mereka mungkin memilih peran nomor dua untuk menghindari risiko atau keluar dari posisi sama sekali, menambah kesenjangan kepemimpinan keamanan dunia maya.
Target peluang akan selalu menjadi mata rantai terlemah dalam armor — manusia. Dengan pelaku ancaman yang canggih membuat kampanye phishing yang lebih realistis dan prevalensi pengeboman/kelelahan autentikasi multifaktor (MFA), penyerang akan terus masuk ke sistem email, bermaksud mengalihkan transaksi keuangan ke rekening bank palsu.
Daniel van Slochteren, Chief Innovation Officer di Open Line
Investasi berbasis teknologi tidak akan membuahkan hasil. Sebagian besar perusahaan berinvestasi dalam keamanan dunia maya yang digerakkan oleh teknologi, dengan hasil sebagai berikut: tidak ada gambaran umum, biaya yang meroket, dan solusi yang membalut tetapi tidak menghentikan pendarahan.
Organisasi harus menghubungkan investasi keamanan siber dengan potensi risiko bisnis digital yang dapat berdampak serius pada tujuan bisnis inti.
Perusahaan membutuhkan pendekatan ‘top-down’, di mana tujuan bisnis dan penelitian risiko bisnis memimpin pengambilan keputusan mereka. Membuat kemungkinan skenario berbasis risiko dan kasus penggunaan berbasis risiko memungkinkan perusahaan menentukan logging, perkakas, dan perangkat lunak mana yang diperlukan untuk mengelola risiko bisnis digital. Dengan berfokus pada apa yang benar-benar penting, perusahaan mendapatkan kendali atas tindakan dan investasi keamanan siber.
Colin Williams, CTO Lini Bisnis, Computacenter UK
Organisasi sekarang menghadapi tantangan tambahan, berpotensi sebesar pertempuran pertahanan dunia maya yang terjadi setiap hari — kompleksitas.
Mempertahankan lingkungan keamanan perusahaan yang mahal dan sangat kompleks, sambil bergumul dengan tantangan yang lebih besar untuk menemukan profesional keamanan yang memenuhi syarat untuk memeliharanya, dapat membuat organisasi berada dalam keadaan operasional yang tidak dapat dikelola dan tidak aman. Inisiatif pertama untuk tahun 2023 adalah menyelidiki solusi keamanan yang ada untuk area yang tumpang tindih dan menghilangkan duplikasi tersebut. Satu-satunya “peluru perak” keamanan baru yang diperkenalkan harus memberikan perlindungan yang jelas dan berbeda yang mengamankan aset yang saat ini tidak aman. Perusahaan harus menyederhanakan untuk menurunkan biaya, meningkatkan visibilitas, dan meningkatkan efisiensi operasional. Fokus pada celah cakupan keamanan yang sebenarnya dan letakkan dasar untuk peningkatan penggunaan otomatisasi.
Saat kita melangkah lebih jauh ke tahun 2023, perusahaan harus fokus pada apa yang benar-benar penting sehingga mereka dapat memperoleh kendali atas tindakan dan investasi keamanan siber.
Kredit gambar: IgorVetushko/depositphotos.com
Michael Nicosia adalah COO dan salah satu pendiri di Salt Security
