Ancaman orang dalam adalah ancaman keamanan siber yang berasal dari pengguna resmi (karyawan, kontraktor, mitra bisnis) yang secara sengaja atau tanpa sengaja menyalahgunakan akses yang sah, atau akun mereka dibajak oleh penjahat siber.
Meskipun ancaman eksternal lebih umum dan seringkali menjadi berita utama serangan siber, ancaman orang dalam (baik sengaja jahat maupun akibat kelalaian) bisa lebih mahal dan berbahaya. Menurut Laporan Biaya Pelanggaran Data IBM , pelanggaran data yang diprakarsai oleh orang dalam yang jahat adalah yang paling mahal, dengan rata-rata USD 4,99 juta. Laporan terbaru dari Verizon mengungkap bahwa meskipun rata-rata ancaman eksternal membahayakan sekitar 200 juta arsip, insiden yang melibatkan pelaku ancaman dari dalam telah mengakibatkan tereksposnya 1 miliar arsip atau lebih.1
Orang dalam yang jahat biasanya adalah karyawan aktif yang kecewa, atau mantan karyawan yang kecewa yang kredensial aksesnya belum dihapus, yang secara sengaja menyalahgunakan akses mereka untuk balas dendam, mendapatkan keuntungan finansial, atau keduanya. Beberapa orang dalam yang jahat 'bekerja' untuk pihak luar yang jahat, seperti peretas, pesaing, atau aktor negara-bangsa untuk mengganggu operasi bisnis (menanam malware atau merusak file atau aplikasi) atau membocorkan informasi pelanggan, kekayaan intelektual, rahasia dagang, atau data sensitif lainnya.
Beberapa serangan terbaru ulah orang dalam yang jahat:
Di awal pandemi COVID-19, seorang mantan karyawan yang kecewa dari sebuah perusahaan pengemasan medis memakai akun admin lama untuk membuat akun pengguna baru palsu. Ia kemudian mengubah ribuan file sehingga pengiriman alat pelindung diri ke rumah sakit dan penyedia layanan kesehatan menjadi tertunda atau terhenti (tautan berada di luar ibm.com).
Pada tahun 2022, seorang karyawan X ditangkap karena mengirimkan informasi pribadi pengguna X kepada pejabat Kerajaan Arab Saudi dan keluarga Kerajaan Saudi dengan imbalan suap (tautan berada di luar ibm.com). Menurut Departemen Kehakiman AS, karyawan itu "... bertindak diam-diam sebagai agen pemerintah asing yang menargetkan pihak-pihak yang berbeda pendapat."
Orang dalam yang lalai tidak punya niat jahat, tetapi menciptakan ancaman keamanan akibat ketidaktahuan atau kecerobohan. Misalnya terjebak phishing, melewatkan kontrol keamanan agar cepat, kehilangan laptop yang bisa digunakan penjahat siber untuk mengakses jaringan organisasi, atau salah mengirim email (seperti file yang berisi informasi sensitif) ke individu di luar organisasi.
Di antara perusahaan-perusahaan yang disurvei dalam Laporan Global Biaya Ancaman Orang Dalam Ponemon 2022, sebagian besar ancaman orang dalam, yaitu 56%, diakibatkan oleh orang dalam yang ceroboh atau lalai.2
Orang dalam yang disusupi adalah pengguna sah yang kredensialnya telah dicuri oleh pelaku ancaman luar. Ancaman yang diluncurkan melalui orang dalam yang disusupi merupakan ancaman orang dalam yang paling mahal, dengan rata-rata biaya pemulihan sebesar USD 804.997 menurut laporan Ponemon.3
Seringkali, orang dalam yang disusupi adalah akibat perilaku kelalaian orang dalam. Contohnya, pada tahun 2021, seorang penipu menggunakan taktik rekayasa sosial (khususnya telepon voice phishing atau vishing) untuk mendapat kredensial akses ke sistem dukungan pelanggan di platform trading Robinhood. Lebih dari 5 juta alamat email pelanggan dan 2 juta nama pelanggan dicuri dalam serangan tersebut (tautan berada di luar ibm.com).
Karena ancaman orang dalam dilakukan sebagian atau seluruhnya oleh pengguna yang memiliki kredensial penuh (dan terkadang oleh pengguna yang memiliki hak istimewa) maka akan sangat sulit memisahkan indikator atau perilaku ancaman orang dalam yang jahat atau ceroboh dari tindakan dan perilaku pengguna biasa. Menurut sebuah penelitian, tim keamanan butuh rata-rata 85 hari untuk mendeteksi dan mengatasi ancaman orang dalam 4. Namun,beberapa ancaman orang dalam tidak terdeteksi selama bertahun-tahun (tautan berada di luar ibm.com).
Untuk mendeteksi, menahan, dan mencegah ancaman orang dalam dengan lebih baik, tim keamanan mengandalkan gabungan praktik dan teknologi.
Tindakan yang membantu menekan risiko ancaman kelalaian orang dalam di antaranya: pelatihan berkesinambungan kepada pengguna berwenang tentang kebijakan keamanan (misalnya, kebersihan kata sandi, penanganan data sensitif yang tepat, melaporkan perangkat yang hilang) dan kesadaran keamanan (cara mengenali penipuan phishing, cara tepat merutekan permintaan akses sistem atau data sensitif). Pelatihan juga dapat mengurangi dampak ancaman secara keseluruhan. Sebagai contoh, menurut Laporan Biaya Pelanggaran Data, biaya rata-rata pelanggaran data di perusahaan yang mengadakan pelatihan karyawan adalah USD 285.629 lebih rendah daripada perusahaan yang tidak mengadakan pelatihan.
Manajemen identitas dan akses (IAM) berfokus pada pengelolaan identitas pengguna, autentikasi, dan izin akses, sehingga memastikan pengguna dan perangkat yang benar dapat mengakses alasan yang tepat di waktu yang tepat. Manajemen akses istimewa, sub-disiplin IAM, berfokus pada kontrol yang lebih baik atas hak akses yang diberikan kepada pengguna, aplikasi, akun administratif, dan perangkat.
Fungsi utama IAM demi mencegah serangan orang dalam adalah manajemen siklus pakai identitas. Contoh tindakan manajemen siklus pakai identitas yang dapat mengurangi risiko ancaman orang dalam adalah membatasi izin milik karyawan yang kecewa atau segera menonaktifkan akun pengguna begitu mereka keluar dari perusahaan.
Analisis perilaku pengguna (UBA) menerapkan analisis data lanjutan dan kecerdasan buatan (AI) untuk membuat model perilaku pengguna dasar dan mendeteksi ketidaknormalan yang dapat mengindikasikan ancaman siber yang muncul atau yang sedang terjadi, termasuk potensi ancaman orang dalam. Teknologi yang terkait erat, analisis perilaku pengguna dan entitas atau UEBA, memperluas kemampuan ini untuk mendeteksi perilaku abnormal pada sensor IoT dan perangkat titik akhir lainnya).
UBA sering digunakan bersama dengan manajemen informasi dan peristiwa keamanan (SIEM), yang mengumpulkan, menghubungkan. dan menganalisis data terkait keamanan dari seluruh perusahaan.
Keamanan ofensif (atau OffSec) menggunakan taktik konflik (taktik yang sama dengan taktik para pelaku kejahatan dalam serangan di dunia nyata) untuk memperkuat keamanan jaringan dan bukannya mengorbankannya. Keamanan ofensif biasanya dilakukan oleh peretas etis, yaitu profesional keamanan siber yang menggunakan keterampilan peretasan untuk mendeteksi dan memperbaiki tidak hanya kelemahan sistem TI, tetapi juga risiko keamanan dan kerentanan terkait cara pengguna merespons serangan.
Langkah-langkah keamanan ofensif yang dapat membantu memperkuat program ancaman orang dalam termasuk simulasi phishing dan tim merah, di mana tim peretas etis memulai serangan siber yang disimulasikan dan berorientasi pada tujuan pada organisasi.
Lindungi organisasi Anda dari ancaman berbahaya atau ancaman tanpa disengaja dari orang dalam yang memiliki akses ke jaringan Anda. Ancaman orang dalam bisa sulit dideteksi. Sebagian besar kasus tidak terdeteksi selama berbulan-bulan atau bertahun-tahun.
Lindungi aset penting dan kelola siklus hidup ancaman secara menyeluruh dengan pendekatan manajemen ancaman terpadu yang cerdas. Manajemen ini membantu mendeteksi ancaman tingkat lanjut, merespons dengan cepat dan akurat, serta memulihkan diri dari gangguan.
Manajemen informasi dan peristiwa keamanan (SIEM) adalah perangkat lunak yang membantu organisasi mengenali dan mengatasi potensi ancaman dan kerentanan keamanan sebelum dapat mengganggu operasi bisnis.
Pahami lanskap keamanan siber Anda dan prioritaskan inisiatif bersama dengan arsitek dan konsultan keamanan senior IBM dalam sesi berpikir desain selama 3 jam, baik secara virtual maupun tatap muka, gratis.
Manajemen ancaman adalah proses yang digunakan oleh para profesional keamanan siber untuk mencegah serangan siber, mendeteksi ancaman siber, dan merespons insiden keamanan.
Catatan kaki
1 Verizon 2023 Data Breach Investigations Report (tautan berada di luar ibm.com)
2, 3, 4 2022 Ponemon Cost of Insider Threats Global Report (untuk Proofpoint; tautan berada di luar ibm.com).