• (021) 53660861
  • cyberark@ilogoindonesia.id
  • AKR Tower – 9th Floor Jl. Panjang no. 5

Category: Cloud Computing

Serangan terhadap Departemen Keuangan AS: Peristiwa Penting dan Implikasi Keamanan

Serangan Siber di Musim Liburan: Pola Berulang yang Dimanfaatkan Penyerang Ada sebuah lelucon kelam yang sering terdengar di dunia keamanan siber: setiap tahun selalu ditutup dengan “kejutan liburan” berupa insiden keamanan besar. Sayangnya, ini bukan kebetulan. Aktor ancaman sengaja memilih waktu tersebut karena mereka tahu tim keamanan biasanya beroperasi dengan personel terbatas selama liburan, sehingga proses deteksi, investigasi, dan respons melambat. Ini adalah strategi yang telah terbukti efektif, tahun demi tahun. Kini, daftar “kejutan liburan” bertambah dengan serangan terbaru terhadap Departemen Keuangan AS. Berikut adalah sekilas tentang beberapa serangan siber besar yang terjadi selama atau menjelang musim liburan dalam beberapa tahun terakhir:   Ringkasan Eksekutif: Wawasan Penting dari Pelanggaran Keamanan Departemen Keuangan AS CyberArk Labs telah merilis hasil penelitian terkait insiden pelanggaran keamanan yang menargetkan Departemen Keuangan AS. Laporan ini menguraikan detail yang diketahui sejauh ini, serta merangkum poin-poin penting dan rekomendasi utama untuk membantu organisasi mengurangi risiko serupa. Berikut adalah rangkuman singkat mengenai aspek krusial dari insiden tersebut: Fakta-Fakta Kunci yang Telah Terungkap Keterkaitan dengan BeyondTrust: Hingga saat laporan ini dipublikasikan, sebanyak 17 pelanggan BeyondTrust telah terkonfirmasi terdampak oleh insiden ini. Eksploitasi Zero-Day: Serangan ini mengeksploitasi kerentanan zero-day yang sebelumnya belum diketahui. Penyalahgunaan Identitas Mesin: Penyerang berhasil mencuri dan memanfaatkan identitas mesin untuk memperoleh akses lebih dalam ke sistem federal. Waktu Serangan yang Strategis: Serangan dilancarkan saat musim liburan, memanfaatkan keterbatasan tenaga keamanan untuk memperlambat deteksi dan respons.   Kronologi Pelanggaran Keamanan Departemen Keuangan AS Memahami urutan kejadian secara rinci sangat penting untuk mendapatkan gambaran menyeluruh terkait insiden pelanggaran keamanan yang menimpa Departemen Keuangan AS. Berikut ini adalah kronologi peristiwa dan respons yang terjadi:   Rangkaian Peristiwa Penting 2 Desember 2024 Sistem pemantauan keamanan BeyondTrust mendeteksi aktivitas mencurigakan. Detail spesifik belum diungkapkan. 5 Desember 2024 BeyondTrust mengonfirmasi insiden tersebut sebagai aktivitas berbahaya dan meningkatkan status menjadi penyelidikan insiden keamanan. Diumumkan bahwa sejumlah kecil pelanggan layanan SaaS BeyondTrust Remote Support terdampak. 8 Desember 2024 Departemen Keuangan AS menerima pemberitahuan bahwa penyerang telah memperoleh identitas mesin (machine identity), berupa kunci API, untuk mengakses sistem Treasury secara ilegal. Tim tanggap darurat yang terdiri dari instansi pemerintah dan penyedia respons insiden pihak ketiga segera dilibatkan. 16 Desember 2024 BeyondTrust menemukan celah keamanan awal: CVE-2024-12356, dengan skor CVSS 9.8 (kritis). Kerentanan ini memungkinkan penyerang mengeksekusi perintah dengan hak istimewa tanpa otentikasi di server Remote Support dan Privileged Remote Access. BeyondTrust langsung memperbaiki sistem SaaS dan mengeluarkan panduan patch darurat untuk pelanggan yang menggunakan layanan on-premises. Sistem yang belum diperbarui tetap rentan. 18 Desember 2024 BeyondTrust mengungkap kerentanan kedua: CVE-2024-12686, dengan tingkat keparahan sedang (CVSS 6.6), yang membutuhkan autentikasi untuk dieksploitasi. Semua instansi cloud diperbarui, dan pelanggan on-premises diminta segera mengaplikasikan patch. 19 Desember 2024 CISA menambahkan CVE-2024-12356 ke dalam Known Exploited Vulnerabilities (KEV) Catalog. 30 Desember 2024 Aditi Hardikar, Asisten Sekretaris Departemen Keuangan, mengirim surat kepada Ketua Komite Perbankan, Perumahan, dan Urusan Perkotaan Senat AS. Ia melaporkan bahwa penyerang memperoleh kunci API yang digunakan vendor untuk mengamankan layanan cloud berbasis dukungan teknis jarak jauh. Penyerang memanfaatkan kunci tersebut untuk mengakses workstation karyawan Treasury dan memperoleh dokumen-dokumen tidak rahasia. 6 Januari 2025 CISA menyatakan tidak ada indikasi instansi federal lain terdampak. BeyondTrust mengumumkan penyelidikan forensik atas insiden SaaS Remote Support hampir selesai. 13 Januari 2025 CISA menambahkan CVE-2024-12686 ke dalam KEV Catalog. 16 Januari 2025 Bloomberg melaporkan bahwa pelanggaran tersebut melibatkan akses ilegal ke 400 perangkat komputer. Data yang diakses mencakup informasi sensitif terkait penegakan hukum dan investigasi Komite Investasi Asing di AS.   Temuan dan Analisis CyberArk Labs Bagaimana penyerang memperoleh identitas mesin (API key)? Meski mekanisme pasti pencurian belum diungkapkan, keberadaan kerentanan CVE-2024-12356 memungkinkan penyerang menjalankan perintah dengan hak istimewa dan berpotensi mencuri kredensial sensitif seperti API key. 3 Pelajaran Penting dari Insiden Ini: Kerentanan Zero-Day Menggoyahkan Keamanan: Dua kerentanan zero-day menunjukkan tantangan dalam threat modeling dan pengembangan perangkat lunak yang aman. Identitas Mesin Perlu Perlindungan Ketat: Pencurian dan penyalahgunaan API key mengungkap kelemahan dalam manajemen rahasia dan kontrol identitas mesin, yang memungkinkan pergerakan lateral pasca-breaching. Keterlambatan Tanggap Insiden Berisiko: Enam hari keterlambatan (2-8 Desember) dalam pemberitahuan kepada Treasury memberikan waktu bagi penyerang untuk memperdalam pijakan dan memperluas akses.   Rekomendasi untuk Pemimpin Keamanan Perlindungan Identitas Mesin dan Akses Vendor ✅ Gunakan API key dinamis atau rahasia dengan masa berlaku pendek, serta lakukan rotasi kredensial secara berkala. ✅ Simpan semua rahasia ini di manajer rahasia khusus (secrets manager). ✅ Berikan akses vendor berdasarkan kebutuhan minimum (least privilege) dengan kontrol waktu dan pemantauan sesi menggunakan Privileged Access Management (PAM). Keamanan Identitas Endpoint dan Akun Privileged ✅ Terapkan prinsip Zero Trust, kurangi hak admin lokal, dan gunakan MFA tahan phishing. ✅ Implementasikan Just-In-Time (JIT) privilege elevation untuk memberikan hak istimewa hanya saat dibutuhkan. ✅ Lakukan pemantauan sesi privileged secara real-time dan tinjau ulang izin akses secara berkala. Respon Insiden Cepat: Kill Switch dan Orkestrasi ✅ Siapkan mekanisme kill switch untuk mencabut hak istimewa secara otomatis jika terdeteksi aktivitas mencurigakan. ✅ Integrasikan PAM dan manajemen rahasia dengan SIEM/SOAR untuk otomatisasi tanggap insiden. ✅ Lakukan simulasi tanggap darurat secara berkala.   Memutus Siklus Serangan Siber: Strategi 2025 Identitas Mesin adalah Target Utama: Volume dan kecepatan penggunaan identitas mesin terus meningkat, menjadi celah eksploitasi yang menarik bagi penyerang. Manajemen Rahasia adalah Kunci: Pengelolaan rahasia yang baik dapat menghambat pergerakan lateral penyerang, meskipun eksploitasi awal terjadi. Meskipun insiden ini telah terkendali, dampaknya terhadap keamanan siber pemerintahan dan pengelolaan risiko pihak ketiga akan terus terasa sepanjang 2025. Organisasi perlu meningkatkan perlindungan identitas mesin dan pengamanan rahasia untuk mencegah insiden serupa. Hubungi CyberArk Indonesia untuk lebih mengetahui Informasi Informasi terkini tentang potensi serangan siber pada Perusahaan anda.

Read More

Penjelasan Audit Keamanan Cloud : Tantangan dan Solusi

Cloud telah memungkinkan pengiriman perangkat lunak yang lebih cepat, lebih andal, dan lebih skalabel bagi organisasi. Bersamaan dengan perbaikan ini, muncul kompleksitas dan pertimbangan keamanan yang lebih besar, yang semuanya memiliki dampak saat mempersiapkan audit keamanan cloud. Seperti halnya audit keamanan lainnya, audit keamanan cloud membantu memastikan bahwa data tetap aman dari akses tidak sah dan pencurian. Ini adalah evaluasi menyeluruh terhadap infrastruktur cloud, kebijakan, dan prosedur organisasi untuk menilai efektivitasnya dalam melindungi data sensitif dan memastikan kepatuhan terhadap standar regulasi. Audit keamanan cloud biasanya mencakup area seperti manajemen identitas dan akses (IAM), perlindungan data, respons insiden, enkripsi, dan kepatuhan terhadap standar seperti GDPR, HIPAA, dan ISO 27001. Dengan melakukan audit keamanan cloud secara teratur, organisasi dapat secara proaktif memperkuat posisi keamanannya dan meminimalkan risiko pelanggaran. Tujuan Utama dari Audit Keamanan Cloud Audit keamanan cloud biasanya mencakup lima tujuan utama: Identifikasi risiko: Menyoroti kerentanannya dalam konfigurasi cloud, kontrol akses, dan kebijakan. Memastikan kepatuhan: Memverifikasi kepatuhan terhadap regulasi industri dan standar keamanan internal. Evaluasi kontrol keamanan: Menilai efektivitas langkah-langkah keamanan, seperti firewall, enkripsi, dan sistem pemantauan. Meningkatkan respons insiden: Menguji kesiapan organisasi dalam mendeteksi dan merespons insiden keamanan. Meningkatkan akuntabilitas: Memberikan dokumentasi yang jelas tentang praktik dan peran keamanan, memastikan transparansi bagi para pemangku kepentingan. Meskipun tujuan dari audit keamanan cloud relatif sederhana, sifat lingkungan cloud juga menghadirkan tantangan spesifik bagi organisasi yang ingin memaksimalkan posisi keamanannya di cloud. Hambatan Umum dalam Audit Keamanan Cloud Manfaat yang disebutkan sebelumnya, seperti pengiriman perangkat lunak yang lebih cepat, lebih andal, dan lebih skalabel, memungkinkan organisasi untuk berinovasi. Namun, dengan fleksibilitas dan kecepatan yang lebih besar ini, muncul tantangan signifikan dalam hal keamanan, audit, dan kepatuhan. Berikut adalah beberapa tantangan yang paling umum saat melakukan audit keamanan cloud: Kompleksitas Lingkungan Cloud Tantangan: Ekosistem cloud sering melibatkan beberapa penyedia layanan cloud (CSP) seperti AWS, GCP, dan Azure. Pengaturan hibrida, yang merupakan campuran antara sistem on-premises dan berbasis cloud, juga dapat menambah kompleksitas lingkungan, terutama dalam hal visibilitas dan tata kelola data. Dampak: Kompleksitas ini dapat menyulitkan untuk mendapatkan gambaran menyeluruh tentang kontrol dan konfigurasi keamanan. Model Tanggung Jawab Bersama Tantangan: Penyedia layanan cloud (CSP) dan pelanggan berbagi tanggung jawab keamanan, yang dapat menimbulkan ambiguitas mengenai siapa yang bertanggung jawab atas kontrol tertentu. Selain itu, setiap CSP memiliki model tanggung jawab bersama yang berbeda untuk dihadapi. Dampak: Kesalahpahaman dapat meninggalkan celah keamanan yang kritis yang tidak tertangani. Sifat Dinamis Cloud Tantangan: Lingkungan cloud sangat dinamis, dengan perubahan konfigurasi, peran pengguna, dan beban kerja yang sering terjadi. Ini menyoroti bagaimana keuntungan utama cloud juga dapat menjadi tantangan keamanan. Dampak: Perubahan terus-menerus meningkatkan risiko kesalahan konfigurasi dan menyulitkan untuk mempertahankan inventaris sumber daya yang akurat. Visibilitas yang Tidak Cukup Tantangan: Visibilitas yang terbatas terhadap beban kerja cloud dan aliran data dapat menghambat proses audit yang efektif. Dampak: Titik buta dalam pemantauan dapat menyebabkan kerentanannya tidak terdeteksi. Kompleksitas Regulasi Tantangan: Persyaratan kepatuhan bervariasi di berbagai industri dan yurisdiksi. Dampak: Mengikuti regulasi yang beragam dan memastikan kepatuhan dapat sangat memakan sumber daya. Tantangan IAM Tantangan: Mengelola akses ke sumber daya cloud di berbagai platform dapat sulit, terutama dengan peran seperti pengembang. Seringkali, peran ini memiliki hak akses berlebihan karena kebutuhan akses yang sangat bervariasi dari insinyur untuk memperbaiki masalah yang muncul pada perangkat lunak. Dampak: Keamanan identitas yang lemah adalah titik masuk yang umum bagi penyerang. Faktanya, menurut IBM X-Force Threat Intelligence Index 2024, data respons insiden menunjukkan peningkatan 71% dari tahun ke tahun dalam volume serangan yang menggunakan kredensial yang sah. Mengingat berbagai tantangan spesifik cloud yang terlibat dalam audit, sangat penting untuk mengikuti praktik terbaik untuk membantu memastikan proses yang lancar dan sukses. Persiapan untuk Audit Keamanan Cloud: Praktik Terbaik Persiapan yang efektif untuk audit keamanan cloud sangat penting untuk memperlancar proses dan mencapai kesuksesan. Langkah pertama yang penting adalah memahami model tanggung jawab bersama. Organisasi harus dengan jelas mendefinisikan tanggung jawab keamanan mereka dan tanggung jawab penyedia layanan cloud (CSP) mereka yang mencakup lingkungan cloud mereka. Meninjau dokumentasi keamanan CSP akan membantu memahami kontrol yang mereka sediakan dan mengidentifikasi kontrol yang harus diterapkan secara mandiri oleh organisasi. Melakukan penilaian pra-audit adalah praktik terbaik lainnya. Melakukan tinjauan internal membantu mengidentifikasi potensi celah dalam kerangka keamanan cloud. Organisasi dapat menggunakan alat pemindaian kerentanannya untuk mendeteksi kesalahan konfigurasi, kontrol yang kedaluwarsa, dan kelemahan lain yang dapat mengkompromikan keamanan. Pendekatan proaktif ini dapat membantu mengatasi masalah dan mengurangi kejutan sebelum proses audit formal dimulai. Mempertahankan inventaris komprehensif sumber daya cloud juga sangat penting. Organisasi harus menyimpan catatan terkini tentang semua aplikasi, VM, sistem penyimpanan, dan komponen jaringan. Selain itu, mendokumentasikan aliran data dan lokasi penyimpanan memastikan data sensitif terlindungi dan sesuai dengan persyaratan kepatuhan. Membangun praktik IAM yang kuat, seperti yang dibahas sebelumnya, memainkan peran penting dalam keamanan cloud. Kontrol akses berbasis peran (RBAC) harus diterapkan untuk membatasi izin pengguna berdasarkan peran spesifik, dan tentu saja MFA harus diterapkan untuk semua pengguna—terutama mereka yang memiliki hak akses administratif. Langkah-langkah ini mengurangi risiko akses tidak sah dan meningkatkan keamanan secara keseluruhan. Pemantauan dan pencatatan aktivitas secara teratur adalah cara lain untuk mengurangi gesekan audit. Alat pemantauan asli cloud dapat melacak upaya akses, transfer data, dan perubahan konfigurasi, sementara pencatatan kejadian kritis menyediakan jejak audit yang jelas. Langkah terakhir untuk pencatatan dan pemantauan? Menyimpan log dengan aman untuk memastikan log tersebut tersedia untuk ditinjau selama audit. Enkripsi data adalah pilar lain dari keamanan cloud. Organisasi harus mengenkripsi data sensitif baik dalam perjalanan maupun saat disimpan, memastikan bahwa kunci enkripsi dikelola dengan aman dan diputar secara berkala. Ini meminimalkan risiko kebocoran data dan menunjukkan kepatuhan terhadap standar keamanan. Berbicara tentang standar, sangat penting untuk memastikan keselarasan dengan standar regulasi bagi organisasi yang beroperasi di bawah persyaratan hukum dan industri tertentu. Pemahaman tentang kerangka kerja seperti SOC 2, GDPR, atau HIPAA sangat diperlukan dan menggunakan daftar periksa kepatuhan dapat membantu memastikan semua persyaratan yang relevan terpenuhi. Pelatihan karyawan juga membantu untuk mempertahankan lingkungan cloud yang aman. Pendidikan reguler tentang praktik terbaik keamanan cloud, bersama dengan lokakarya dan simulasi, mempersiapkan staf untuk potensi insiden keamanan dan memperkuat peran mereka dalam upaya kepatuhan. Terakhir, organisasi harus…

Read More

Cyberark Indonesia adalah bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Cyberark. Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • cyberark@ilogoindonesia.id