Ancaman orang dalam adalah ancaman keamanan siber yang berasal dari pengguna resmi (karyawan, kontraktor, mitra bisnis) yang secara sengaja atau tanpa sengaja menyalahgunakan akses yang sah, atau akun mereka dibajak oleh penjahat siber.
Meskipun ancaman eksternal lebih umum dan seringkali menjadi berita utama serangan siber, ancaman orang dalam (baik sengaja jahat maupun akibat kelalaian) bisa lebih mahal dan berbahaya. Menurut Cost of a Data Breach Report 2023 dari IBM, pelanggaran data yang diotaki orang dalam jahat adalah yang termahal—rata-rata 4,90 juta USD, atau 9,5 persen lebih tinggi daripada biaya 4,45 juta USD rata-rata pelanggaran data.Dan laporan terbaru dari Verizon mengungkap bahwa meskipun rata-rata ancaman eksternal membahayakan sekitar 200 juta catatan, insiden yang melibatkan pelaku ancaman dari dalam telah mengakibatkan tereksposnya 1 miliar catatan atau lebih.1
Lihat cara IBM Security® QRadar® SIEM mengidentifikasi dan menyelidiki perilaku anomali.
Orang dalam yang jahat biasanya adalah karyawan aktif yang kecewa (atau mantan karyawan yang kecewa yang kredensial aksesnya belum dipensiunkan) yang secara sengaja menyalahgunakan akses mereka untuk balas dendam, mendapatkan keuntungan finansial, atau keduanya. Beberapa orang dalam yang jahat 'bekerja' untuk pihak luar yang jahat, seperti peretas, pesaing, atau aktor negara-bangsa. Tujuannya untuk mengganggu operasi bisnis (menanam malware atau merusak file atau aplikasi) atau membocorkan informasi pelanggan, kekayaan intelektual, rahasia dagang, atau data sensitif lainnya.
Beberapa serangan terbaru ulah orang dalam yang jahat:
Di awal pandemi COVID-19, seorang mantan karyawan yang kecewa dari sebuah perusahaan pengemasan medis memakai akun admin lama untuk membuat akun pengguna baru palsu. Ia kemudian mengubah ribuan file sehingga pengiriman alat pelindung diri ke rumah sakit dan penyedia layanan kesehatan akan tertunda atau terhenti (tautan berada di luar ibm.com).
Pada tahun 2022, seorang karyawan Twitter ditangkap karena mengirim informasi pribadi pengguna Twitter kepada pejabat Kerajaan Arab Saudi dan keluarga Kerajaan Saudi dengan imbalan suap (tautan berada di luar ibm.com). Menurut Departemen Kehakiman AS, karyawan itu "... bertindak diam-diam sebagai agen pemerintah asing yang menargetkan pihak-pihak yang berbeda pendapat."
Orang dalam yang lalai tidak punya niat jahat, tetapi menciptakan ancaman keamanan akibat ketidaktahuan atau kecerobohan. Misalnya terjebak phishing, melewatkan kontrol keamanan agar cepat, kehilangan laptop yang bisa digunakan penjahat siber untuk mengakses jaringan organisasi, atau salah mengirim email (seperti file yang berisi informasi sensitif) ke individu di luar organisasi.
Di antara perusahaan yang disurvei dalam 2022 Ponemon Cost of Insider Threats Global Report, sebagian besar ancaman orang dalam (56 persen) diakibatkan oleh kecerobohan atau kelalaian orang dalam.2
Orang dalam yang disusupi adalah pengguna sah yang kredensialnya telah dicuri oleh pelaku ancaman luar. Ancaman yang diluncurkan lewat orang dalam yang disusupi merupakan ancaman orang dalam dengan biaya termahal, Menurut laporan Ponemon biaya pemulihan rata-ratanya sebesar 804.997 USD.3
Seringkali, orang dalam yang disusupi adalah akibat perilaku kelalaian orang dalam.Contohnya, pada tahun 2021, seorang penipu menggunakan taktik rekayasa sosial (khususnya telepon voice phishing atau vishing) untuk mendapat kredensial akses ke sistem dukungan pelanggan di platform trading Robinhood. Lebih dari 5 juta alamat email pelanggan dan 2 juta nama pelanggan dicuri dalam serangan tersebut (tautan berada di luar ibm.com).
Karena ancaman orang dalam dilakukan sebagian atau seluruhnya oleh pengguna yang memiliki kredensial penuh (dan terkadang oleh pengguna yang memiliki hak istimewa) maka akan sangat sulit memisahkan indikator atau perilaku ancaman orang dalam yang ceroboh atau jahat dari tindakan dan perilaku pengguna biasa.Menurut sebuah penelitian, tim keamanan butuh rata-rata 85 hari untuk mendeteksi dan mengatasi ancaman orang dalam4. Namun, beberapa ancaman orang dalam tidak terdeteksi selama bertahun-tahun (tautan berada di luar ibm.com).
Untuk mendeteksi, menahan, dan mencegah ancaman orang dalam dengan lebih baik, tim keamanan mengandalkan gabungan praktik dan teknologi.
Tindakan yang membantu menekan risiko ancaman kelalaian orang dalam di antaranya: pelatihan berkesinambungan kepada pengguna berwenang tentang kebijakan keamanan (misalnya, kebersihan kata sandi, penanganan data sensitif yang tepat, melaporkan perangkat yang hilang) dan kesadaran keamanan (misalnya, cara mengenali penipuan phishing, cara tepat merutekan permintaan akses sistem atau data sensitif).Pelatihan juga dapat menumpulkan dampak ancaman secara keseluruhan. Contohnya, menurut Cost of a Data Breach Report 2023, biaya rata-rata pelanggaran data di perusahaan yang melakukan pelatihan karyawan adalah 232.867 USD lebih rendah (atau 5,2 persen lebih rendah) dari biaya rata-rata pelanggaran secara keseluruhan.
Manajemen identitas dan akses (IAM) berfokus pada pengelolaan identitas pengguna, autentikasi, dan izin akses, sehingga memastikan pengguna dan perangkat yang benar dapat mengakses alasan yang tepat di waktu yang tepat. (Manajemen akses istimewa, sub-disiplin IAM, berfokus pada kontrol yang lebih baik atas hak akses yang diberikan kepada pengguna, aplikasi, akun administratif, dan perangkat).
Fungsi utama IAM demi mencegah serangan orang dalam adalah manajemen siklus pakai identitas. Contoh tindakan manajemen siklus pakai identitas yang dapat mengurangi risiko ancaman orang dalam adalah membatasi izin milik karyawan yang kecewa atau segera menonaktifkan akun pengguna begitu mereka keluar dari perusahaan.
Analisis perilaku pengguna (UBA) menerapkan analisis data lanjutan dan kecerdasan buatan (AI) untuk membuat model perilaku pengguna dasar dan mendeteksi ketidaknormalan yang dapat mengindikasikan ancaman siber yang muncul atau yang sedang terjadi, termasuk potensi ancaman orang dalam.(Teknologi yang terkait erat, analisis perilaku pengguna dan entitas atau UEBA, memperluas kemampuan ini untuk mendeteksi perilaku abnormal pada sensor IoT dan perangkat titik akhir lainnya).
UBA sering digunakan bersama dengan manajemen informasi dan peristiwa keamanan (SIEM), yang mengumpulkan, menghubungkan. dan menganalisis data terkait keamanan dari seluruh perusahaan.
Keamanan ofensif (atau OffSec) menggunakan taktik konflik (taktik yang sama dengan taktik para pelaku kejahatan dalam serangan di dunia nyata) untuk memperkuat keamanan jaringan dan bukannya mengorbankannya. Keamanan ofensif biasanya dilakukan oleh peretas etis, yaitu profesional keamanan siber yang menggunakan keterampilan peretasan untuk mendeteksi dan memperbaiki tidak hanya kelemahan sistem TI, tetapi juga risiko keamanan dan kerentanan terkait cara pengguna merespons serangan.
Langkah-langkah keamanan ofensif yang dapat membantu memperkuat program ancaman orang dalam termasuk simulasi phishing dan tim merah, di mana tim peretas etis meluncurkan serangan siber yang disimulasikan dan berorientasi pada tujuan pada organisasi.
Ancaman dari orang dalam bisa jadi sulit dideteksi, sebagian besar kasus tidak diketahui selama berbulan-bulan atau bertahun-tahun. Lindungi organisasi Anda dari ancaman berbahaya atau ancaman tanpa disengaja dari orang dalam yang memiliki akses ke jaringan Anda.
Memberikan analis keamanan alat yang mereka butuhkan untuk secara signifikan meningkatkan tingkat deteksi serta mempercepat waktu untuk mendeteksi dan menyelidiki ancaman. Data peristiwa yang dinormalisasi QRadar SIEM memungkinkan analis menggunakan kueri sederhana untuk menemukan aktivitas serangan terkait di berbagai sumber data.
Lindungi aset penting dan kelola siklus hidup ancaman secara menyeluruh dengan pendekatan manajemen ancaman terpadu yang cerdas. Manajemen ini membantu mendeteksi ancaman tingkat lanjut, merespons dengan cepat dan akurat, serta memulihkan diri dari gangguan.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Belajarlah dari pengalaman lebih dari 550 organisasi yang menjadi korban pelanggaran data.
SIEM (informasi keamanan dan manajemen peristiwa) adalah piranti lunak yang membantu organisasi mengenali dan mengatasi potensi ancaman dan kerentanan keamanan sebelum dapat mengganggu operasi bisnis.
Kenali ancaman untuk mengalahkannya. Dapatkan insight yang dapat ditindaklanjuti yang membantu memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Pahami lanskap keamanan siber Anda dan prioritaskan inisiatif bersama dengan arsitek dan konsultan keamanan senior IBM dalam sesi berpikir desain selama 3 jam, baik secara virtual maupun tatap muka, gratis.
Manajemen ancaman adalah proses yang digunakan oleh para profesional keamanan siber untuk mencegah serangan siber, mendeteksi ancaman siber, dan merespons insiden keamanan
Baca tren ancaman orang dalam terbaru dan teknik pencegahannya di Security Intelligence, blog kepemimpinan yang dikelola oleh IBM Security.
Catatan kaki
1 Verizon 2023 Data Breach Investigations Report (tautan berada di luar ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (untuk Proofpoint; tautan berada di luar ibm.com).