Salah satu kesalahpahaman paling relevan yang saya temui baru-baru ini di media adalah konsep “situs web tepercaya”, terutama sepanjang tahun ini dengan artikel yang menyarankan pembeli untuk tetap aman saat berbelanja online dengan “hanya berbelanja atau berinteraksi dengan situs web tepercaya” dan mencari logo “situs web aman” yang terkenal.
Tentang Penulis
Pedro Fortuna, CTO dan Salah Satu Pendiri Jscrambler (terbuka di tab baru).
Nah, masalahnya di sini adalah tidak ada lagi yang namanya situs tepercaya. Bahkan dengan TLS, firewall aplikasi web (terbuka di tab baru)pertahanan browser asli, dan semua hal lain yang berada di antara pengguna dan situs web, ada banyak hal lain yang terjadi yang tidak dapat dicegah secara efektif oleh langkah-langkah keamanan ini – terutama di sisi klien (yaitu, semua yang terjadi di browser (terbuka di tab baru) atau perangkat pengguna akhir).
Ada alasan mengapa keamanan siber (terbuka di tab baru) para ahli mengadvokasi model “kepercayaan nol”. Situs web yang tampaknya aman sebenarnya dapat diganggu dengan aktivitas jahat tanpa visibilitas apa pun dari pemilik situs web atau pengguna akhir. Dan ini menjadi jauh lebih sulit mengingat kerumitan rantai pasokan di balik situs web modern. Masalah rantai pasokan web
Mengeksploitasi kelemahan keamanan
Hampir setiap situs web di luar sana memiliki paparan yang signifikan terhadap risiko pihak ketiga. Statistik menunjukkan kepada kita bahwa rata-rata situs web saat ini memiliki 35 komponen pihak ketiga yang berbeda dan masing-masing memiliki ketergantungan pihak keempat sendiri. Dan saat kami memperbesar kode pihak pertama yang dikembangkan secara internal oleh perusahaan, kami akan menemukan bahwa, rata-rata, 97% kode sumber tersebut berasal dari pustaka eksternal yang digunakan selama pengembangan.
Di web, semua komponen situs web memiliki hak istimewa yang sama. Jadi, komponen pihak ketiga mana pun bebas mengganggu situs web dengan cara apa pun. Mari kita lihat sebuah contoh dan pertimbangkan peritel global dengan sumber daya keamanan siber yang ekstensif. Perusahaan ini memiliki E-commerce (terbuka di tab baru) berbelanja dan menggunakan semua mekanisme keamanan tradisional di tingkat server dan jaringan. Dari sudut pandang penyerang, mungkin tidak masuk akal untuk mencoba menembus server perusahaan ini untuk mengambil data berharga. Yang dapat mereka lakukan adalah menargetkan salah satu pemasok dalam rantai pasokan situs web perusahaan.
Misalnya, jika pengecer ini menjalankan layanan chatbot di situs web, penyerang mungkin menyelidiki kelemahan keamanan vendor ini dan akhirnya menemukan jalan masuk, karena penyedia pihak ketiga ini mungkin memiliki lebih sedikit sumber daya yang dialokasikan untuk keamanan. Ketika penyerang berhasil, mereka dapat menyuntikkan muatan berbahaya ke dalam layanan yang bersumber dari vendor, secara efektif meracuni sumur dan memasukkan kode berbahaya ke setiap perusahaan yang menggunakan layanan tersebut.
Jika contoh ini terdengar familier, kemungkinan itu membunyikan bel dari serangan skimming web Magecart di Ticketmaster (dicapai melalui chatbot), atau mungkin dari insiden SolarWinds (serangan rantai pasokan perangkat lunak yang mengikuti pendekatan serupa). Atau mungkin dari salah satu dari ratusan serangan rantai pasokan lainnya yang telah menjadi berita utama beberapa tahun terakhir ini, karena penyerang memahami peluang di balik kelemahan keamanan siber yang serius ini.
Mengalahkan penyerang
Saat ini, sebagian besar perusahaan sangat tidak siap menghadapi serangan ini. Mereka sama sekali tidak tahu tentang apa yang terjadi di sisi klien situs web mereka dan tidak yakin tentang kode apa yang sebenarnya disajikan kepada pengguna akhir mereka. Inilah sebabnya mengapa serangan rantai pasokan web seperti Magecart sering tidak terdeteksi selama berbulan-bulan.
Setidaknya kita melihat beberapa tanda kemajuan ke arah yang benar. Pada Mei 2021, Gedung Putih mengeluarkan perintah eksekutif untuk meningkatkan postur keamanan dunia maya AS menyusul dampak serangan rantai pasokan SolarWinds yang belum pernah terjadi sebelumnya. Dorongan dari entitas federal ini kemungkinan akan mendorong bisnis untuk meningkatkan postur keamanan mereka dan menghindari mengandalkan pendekatan keamanan tradisional yang gagal mencegah vektor serangan baru ini.
Perusahaan yang ingin mengurangi paparan terhadap risiko pihak ketiga dan mendapatkan kendali atas rantai pasokan mereka tidak boleh terlambat. Mereka harus segera mengambil tindakan dan menerapkan lapisan keamanan tambahan untuk secara efektif mendapatkan visibilitas dan kontrol atas situs web mereka. Dan ini membutuhkan melampaui firewall (terbuka di tab baru) dan mempertimbangkan segala sesuatu yang dapat terjadi di sisi klien.
Jika kita melihat ini terjadi dalam skala global, mungkin suatu hari nanti konsep “situs web tepercaya” mungkin menjadi aturan, bukan pengecualian.