Pada bulan Desember 2020, peretasan SolarWinds membuat peretas negara bagian mendapatkan akses ke data ribuan pelanggan SolarWinds, termasuk beberapa departemen pemerintah AS melalui sistem pemantauan kinerja TI perusahaan, dengan menyuntikkan kode berbahaya ke dalam perangkat lunak (terbuka di tab baru) memperbarui. Untungnya, jumlah yang jauh lebih kecil disusupi “melalui aktivitas lanjutan pada sistem mereka” menurut CISA (terbuka di tab baru) dengan SolarWinds mengumumkan pada bulan Mei bahwa jumlah sebenarnya pelanggan yang diretas melalui Sunburst kurang dari 100 (terbuka di tab baru).
Namun baru-baru ini, pada Juli 2021, solusi manajemen dan pemantauan jarak jauh dari Penyedia Layanan Keamanan Terkelola besar, Kaseya, diserang yang berdampak pada pelanggan MSP lokal perusahaan. (terbuka di tab baru) dan pelanggan akhir mereka.
Insiden ini menyoroti kerentanan yang ada di jaringan rantai pasokan organisasi. Badan Keamanan Siber Uni Eropa menemukan bahwa 66% serangan berfokus pada kode pemasok. Suatu organisasi dapat berinvestasi dalam keamanan siber yang paling kuat (terbuka di tab baru) strategi, tetapi bisakah mereka mengamanatkan vendor dan pemasok pihak ketiga untuk mengikuti aturan yang sama?
Mari kita pahami implikasi dari serangan semacam itu dan langkah apa yang dapat diambil untuk meminimalkan risikonya.
Tentang Penulis
Vishal Salvi adalah Senior Vice President, Chief Information Security Officer dan Head of the Cyber Security Practice di Infosys (terbuka di tab baru).
Bahaya serangan rantai pasokan
Serangan dunia maya dapat mengambil proporsi yang berbahaya jika berasal dari sumber tepercaya. Dalam contoh di atas, tak satu pun dari organisasi dapat mendeteksi pelanggaran untuk waktu yang cukup lama karena penyerang menggunakan perangkat lunak tepercaya dan bersembunyi di balik protokol. Penggunaan AI dan ML oleh peretas untuk menghindari deteksi sangatlah cerdas dan seringkali sulit ditembus. Peretas menggunakan teknik kebingungan atau menyamar sebagai entitas yang sah untuk menghilangkan deteksi.
Selalu ada jeda waktu antara serangan dan saat serangan ditemukan oleh suatu organisasi, yang dikenal sebagai waktu tunda. M-Trends 2021 dari FireEye Mandiant melaporkan bahwa waktu tinggal turun secara global (dari 416 hari pada tahun 2011 menjadi 24 hari pada tahun 2021), tetapi sayangnya di EMEA, waktu tunggu meningkat menjadi 66 hari pada tahun 2020 dari 54 hari pada tahun 2019. Insiden keterlambatan ini Deteksi dapat menyebabkan serangan rantai pasokan meningkat menjadi proporsi yang sangat besar, dan efek yang mengalir dari dampaknya dapat berlangsung selama berbulan-bulan atau bertahun-tahun.
Berikut adalah beberapa tindakan pencegahan yang direkomendasikan untuk memastikan efektivitas pertahanan puncak.
Program Validasi Perangkat Lunak Aman
Organisasi harus melihat kembali pedoman validasi perangkat lunak mereka. Beberapa software ini menggunakan open source (terbuka di tab baru) komponen yang mengekspos organisasi terhadap kerentanan ekosistem yang lebih besar. Organisasi harus memiliki proses uji tuntas pada pembelian dan penginstalan perangkat lunak serta penggunaan komponen sumber terbuka dan pihak ketiga.
Kontrak dengan penyedia pihak ketiga harus direvisi untuk memasukkan keamanan (terbuka di tab baru) mandat. Misalnya, mitra rantai pasokan harus diminta untuk membuat sertifikat kepatuhan untuk standar seperti ISO 20001 atau ISO 20000. Untuk vendor yang lebih kecil, yang mungkin tidak mampu membayar akreditasi yang mahal ini, mereka harus berkomitmen untuk segera melakukan perbaikan jika terjadi insiden. Mereka juga harus diminta untuk mematuhi pedoman berikut jika relevan – pedoman National Institute of Standards and Technology (NIST), Center for Internet Security (CIS) Benchmarking, dan praktik terbaik yang direkomendasikan OEM lainnya.
Penilaian Risiko Pihak Ketiga
Semua vendor harus dikategorikan dan dinilai untuk skor keamanan guna membantu menentukan kontrol yang diperlukan untuk risiko yang mereka timbulkan. Audit rutin terhadap kredensial teknis vendor perangkat lunak serta postur keamanannya merupakan praktik yang sangat baik.
Langkah-langkah seperti analisis kode statis pihak ketiga (SAST), pemindaian keamanan reguler lingkungan lokal dan berbasis cloud, DevSecOps, Pengujian Keamanan Aplikasi Interaktif (IAST), Pengujian Keamanan Aplikasi Dinamis (DAST), pemeriksaan integritas dapat diadopsi bersama dengan enkripsi terbaru (terbuka di tab baru) dan teknologi otentikasi. Pengujian penetrasi dan pemodelan ancaman juga direkomendasikan.
Kelola Titik Akses
Ketika perangkat lunak pihak ketiga digunakan, organisasi perlu membatasi administrator lokal dan akses istimewa. Tim TI perlu menerapkan prinsip hak istimewa yang paling tidak diperlukan dan akses terikat waktu berdasarkan kebutuhan untuk menghindari insiden keamanan apa pun. Organisasi tidak boleh memperlakukan karyawan vendor (terbuka di tab baru) sebagai karyawan mereka saat memberikan akses. Kepercayaan yang salah tempat dapat menyebabkan jaringan yang disusupi.
Manajemen kredensial menjadi aspek penting dalam menangani akses karena kata sandi yang dicuri dapat mengekspos data penting. Cukup sering, peretas rantai pasokan berasal dari dalam perusahaan, yang memiliki akses ke informasi penting.
Kerangka kontrol
Organisasi perlu menentukan strategi yang dapat menjelaskan praktik pengawasan yang diperlukan untuk mengatur akses ke sumber daya internal mereka. Aliran data penting harus dipetakan dan dipantau secara teratur untuk mendeteksi aktivitas yang tidak biasa atau kebocoran data. Solusi berbasis AI dan ML dapat memberikan analisis ancaman prediktif untuk mendeteksi aktivitas yang mencurigakan. Semua komunikasi masuk dan keluar harus diperiksa secara menyeluruh. Menggunakan jaringan paralel juga dapat melindungi serangan rantai pasokan. Banyak organisasi menggunakan segmentasi jaringan atau mengkotak-kotakkannya.
Secara keseluruhan, strategi keamanan siber organisasi harus selaras dengan sasaran perusahaannya yang berbeda-beda di setiap industri. Misalnya, organisasi pemerintah memiliki kebutuhan yang jauh lebih besar untuk manajemen akses kritis dan memiliki banyak vendor pihak ketiga untuk dikelola, sehingga memerlukan kontrol keamanan yang lebih luas.
Terakhir, menciptakan budaya mengutamakan keamanan dalam organisasi dapat membantu karyawan bertindak sebagai penjaga aset perusahaan. Sesi kesadaran, program pelatihan, dan pendekatan top-down untuk menerapkan praktik keamanan siber dapat sangat membantu dalam mencegah serangan rantai pasokan.