Apa itu simulasi pelanggaran dan serangan?

Simulasi pelanggaran dan serangan (BAS) adalah pendekatan berbasis perangkat lunak yang otomatis dan berkelanjutan untuk keamanan ofensif. Mirip dengan bentuk validasi keamanan lainnya seperti red teaming dan pengujian penetrasi, BAS melengkapi alat keamanan yang lebih tradisional dengan menyimulasikan serangan siber untuk menguji kontrol keamanan dan memberikan insight yang dapat ditindaklanjuti.

Seperti latihan red team, simulasi pelanggaran dan serangan menggunakan taktik, teknik, dan prosedur (TTP) serangan dunia nyata yang digunakan oleh peretas untuk secara proaktif mengidentifikasi dan mengurangi kerentanan keamanan sebelum mereka dapat dieksploitasi oleh aktor ancaman yang sebenarnya. Namun, tidak seperti red teaming dan pengujian penetrasi, alat BAS sepenuhnya otomatis dan dapat memberikan hasil yang lebih komprehensif dengan sumber daya yang lebih sedikit di antara pengujian keamanan yang lebih nyata. Penyedia seperti SafeBreach, XM Cyber, dan Cymulate, menawarkan solusi berbasis cloud yang memungkinkan integrasi alat BAS dengan mudah tanpa menerapkan perangkat keras baru.

Sebagai alat validasi kontrol keamanan, solusi BAS membantu organisasi mendapatkan pemahaman yang lebih baik tentang kesenjangan keamanan mereka, serta memberikan panduan yang berharga untuk remediasi yang diprioritaskan.

Simulasi pelanggaran dan serangan membantu tim keamanan untuk:

• Mengurangi potensi risiko siber: Memberikan peringatan dini untuk kemungkinan ancaman internal atau eksternal, sehingga memberdayakan tim keamanan untuk memprioritaskan upaya remediasi sebelum mengalami eksfiltrasi data penting, kehilangan akses, atau hasil merugikan serupa.
• Meminimalkan kemungkinan serangan siber yang berhasil: Dalam lingkungan ancaman yang terus berubah, otomatisasi meningkatkan ketahanan melalui pengujian berkelanjutan.

Solusi BAS mereplikasi berbagai jenis jalur serangan, vektor serangan, dan skenario serangan. Berdasarkan TTP dunia nyata yang digunakan oleh para aktor ancaman sebagaimana diuraikan dalam intelijen ancaman yang ditemukan dalam kerangka kerja MITRE ATT&CK dan Cyber Killchain, solusi BAS dapat melakukan simulasi:

• Serangan jaringan dan infiltrasi
• Gerakan lateral
• Phishing
• Serangan titik akhir dan gateway
• Serangan malware
• Serangan Ransomware

Terlepas dari jenis serangannya, platform BAS menyimulasikan, menilai, dan memvalidasi teknik serangan terbaru yang digunakan oleh ancaman persisten tingkat lanjut (APT) dan entitas berbahaya lainnya di sepanjang jalur serangan. Setelah serangan selesai, platform BAS kemudian akan memberikan laporan terperinci termasuk daftar langkah remediasi yang diprioritaskan jika ada kerentanan penting ditemukan.

Proses BAS dimulai dengan pemilihan skenario serangan tertentu dari dasbor yang dapat disesuaikan. Selain menjalankan banyak jenis pola serangan yang diketahui berasal dari ancaman yang muncul atau situasi yang ditentukan khusus, platform tersebut juga dapat melakukan simulasi serangan berdasarkan strategi kelompok APT yang dikenal, yang metodenya dapat bervariasi tergantung pada industri tertentu organisasi.

Setelah skenario serangan mulai dijalankan, alat BAS menerapkan agen virtual dalam jaringan organisasi. Agen-agen ini berusaha untuk melanggar sistem yang dilindungi dan selanjutnya mengakses aset penting atau data sensitif. Tidak seperti pengujian penetrasi tradisional atau red teaming, program BAS dapat menggunakan kredensial dan pengetahuan sistem internal yang mungkin tidak dimiliki penyerang. Dengan cara ini, perangkat lunak BAS dapat menyimulasikan serangan pihak luar dan serangan orang dalam pada proses yang mirip dengan purple teaming.

Setelah menyelesaikan simulasi, platform BAS menghasilkan laporan kerentanan komprehensif yang memvalidasi efikasi berbagai kontrol keamanan dari firewall hingga keamanan titik akhir, termasuk:

1. Kontrol keamanan jaringan
2. Deteksi dan respons titik akhir (EDR)
3. Kontrol keamanan email
4. Langkah-langkah kontrol akses
5. Kebijakan manajemen kerentanan
6. Kontrol keamanan data
7. Kontrol respons insiden

Meskipun tidak dimaksudkan untuk menggantikan protokol keamanan siber lainnya, solusi BAS dapat secara signifikan meningkatkan postur keamanan organisasi. Menurut laporan penelitian Gartner, BAS dapat membantu tim keamanan mengungkap kerentanan hingga 30-50% lebih banyak dibandingkan dengan alat penilaian kerentanan tradisional. Manfaat utama dari simulasi pelanggaran dan serangan adalah:

1. Otomatisasi: Seiring dengan ancaman serangan siber yang terus meningkat dari tahun ke tahun, tim keamanan terus dituntut untuk beroperasi dengan tingkat efisiensi yang lebih tinggi. Solusi BAS memiliki kemampuan untuk menjalankan pengujian berkelanjutan 24 jam sehari, 7 hari seminggu, 365 hari setahun, tanpa memerlukan staf tambahan baik on premises maupun di luar lokasi. BAS juga dapat digunakan untuk menjalankan pengujian sesuai permintaan, serta memberikan masukan secara real time.
2. Akurasi: Untuk tim keamanan mana pun, terutama yang memiliki sumber daya terbatas, pelaporan yang akurat sangat penting untuk alokasi sumber daya yang efisien—waktu yang dihabiskan untuk menyelidiki insiden keamanan yang tidak penting atau salah diidentifikasi adalah waktu yang terbuang sia-sia. Menurut sebuah studi oleh Ponemon Institute, organisasi yang menggunakan alat deteksi ancaman canggih seperti BAS mengalami pengurangan 37% dalam peringatan positif palsu.
3. Insight yang dapat ditindaklanjuti: Sebagai alat validasi kontrol keamanan, solusi BAS dapat menghasilkan insight berharga yang menyoroti kerentanan spesifik dan kesalahan konfigurasi, serta rekomendasi mitigasi kontekstual yang disesuaikan dengan infrastruktur organisasi yang ada. Selain itu, prioritas berbasis data membantu tim SOC mengatasi kerentanan paling penting mereka terlebih dahulu.
4. Deteksi dan respons yang ditingkatkan: Dibangun berdasarkan basis pengetahuan APT seperti MITRE ATT&CK dan Cyber Killchain, dan juga terintegrasi dengan baik dengan teknologi keamanan lainnya (misalnya SIEM, SOAR), alat BAS dapat berkontribusi terhadap tingkat deteksi dan respons yang ditingkatkan secara signifikan untuk insiden keamanan siber. Sebuah studi oleh Enterprise Strategy Group (ESG) menemukan bahwa 68% organisasi yang menggunakan BAS dan SOAR bersama-sama mengalami waktu respons insiden yang lebih cepat. Gartner memperkirakan bahwa pada tahun 2025, organisasi yang menggunakan SOAR dan BAS bersama-sama akan mengalami pengurangan 50% dalam waktu yang diperlukan untuk mendeteksi dan merespons insiden.

Meskipun terintegrasi dengan baik dengan berbagai jenis alat keamanan, data industri menunjukkan peningkatan tren mengintegrasikan simulasi pelanggaran serta serangan dan alat manajemen permukaan serangan (ASM) dalam waktu dekat. Sebagai Direktur Riset Keamanan dan Kepercayaan International Data Corporation, Michelle Abraham mengatakan, "Manajemen permukaan serangan serta simulasi pelanggaran dan serangan memungkinkan para penyedia solusi keamanan untuk lebih proaktif dalam mengelola risiko."

Sementara alat manajemen kerentanan dan pemindaian kerentanan menilai organisasi dari dalam, manajemen permukaan serangan adalah penemuan, analisis, remediasi, dan pemantauan berkelanjutan terhadap kerentanan keamanan siber dan potensi vektor serangan yang membentuk permukaan serangan organisasi. Mirip dengan alat simulasi serangan lainnya, ASM menggunakan perspektif penyerang dari luar dan menilai keberadaan organisasi dari sisi yang dilihat publik.

Tren yang makin cepat menuju peningkatan komputasi cloud, perangkat IoT, dan TI bayangan (yaitu penggunaan perangkat yang tidak aman tanpa izin), semuanya meningkatkan potensi eksposur siber organisasi. Solusi ASM memindai vektor serangan ini untuk mencari potensi kerentanan, sementara solusi BAS menggabungkan data tersebut untuk melakukan simulasi serangan dan pengujian keamanan dengan lebih baik untuk menentukan efektivitas kontrol keamanan yang ada.

Hasil keseluruhan adalah pemahaman yang jauh lebih jelas tentang pertahanan organisasi, dari kesadaran karyawan internal hingga masalah keamanan cloud yang canggih. Karena pemahaman berarti lebih dari separuh jalan mencapai kesuksesan, insight ini sangat penting bagi organisasi yang ingin memperkuat keamanan mereka.