Apa itu postur keamanan?

Menurut Laporan Biaya Pelanggaran Data IBM, biaya rata-rata pelanggaran data secara global adalah USD 4,88 juta. Postur keamanan yang kuat secara keseluruhan membantu mempertahankan diri dari serangan ini dengan meningkatkan kesiapan organisasi untuk mendeteksi, merespons, dan pulih dari ancaman.

Untuk mencapai postur keamanan yang kuat, organisasi menerapkan kontrol keamanan yang saling terkait dan bertarget untuk melindungi berbagai aspek ekosistem TI mereka, termasuk keamanan data, cloud, dan identitas.

Makin efektif kontrol organisasi dalam mendeteksi ancaman, menutup kerentanan, menghentikan serangan, dan memitigasi kerusakan, makin kuat postur keamanan.

Postur keamanan organisasi mewakili kekuatan keamanan sibernya secara keseluruhan. Dalam kategori menyeluruh ini, organisasi menggunakan alat dan teknik yang berbeda untuk melindungi berbagai bagian dari ekosistem TI mereka. Beberapa jenis atau subbidang postur keamanan yang paling menonjol meliputi:

• Postur keamanan data
• Postur keamanan cloud
• Postur keamanan identitas

Postur keamanan data berfokus pada perlindungan data sensitif dengan mencegah akses tidak sah atau dengan mendeteksi dan memblokir perilaku mencurigakan. Perilaku mencurigakan ini dapat berasal dari pengguna yang sah atau tidak sah, antarmuka pemrograman aplikasi (API), perangkat Internet of Things (IoT) , malware, serangan phishing , ransomware , atau sumber lainnya.

Ketika organisasi mengadopsi teknologi baru seperti pengembangan cloud-native, kecerdasan buatan (AI), dan machine learning (ML), risiko dan kerentanan keamanan data—termasuk risiko pihak ketiga-dapat berlipat ganda. Terus menambahkan teknologi baru ke sistem digital dapat mempersulit manajemen keamanan data dan dapat menempatkan organisasi pada risiko pelanggaran data dan pelanggaran kepatuhan peraturan.

Alat manajemen postur keamanan data (DSPM) mengidentifikasi data sensitif di berbagai lingkungan dan layanan cloud, yang menilai kerentanannya terhadap ancaman keamanan dan membantu kepatuhan terhadap peraturan. DSPM memberikan wawasan dan otomatisasi yang membantu tim keamanan dengan cepat mengatasi masalah keamanan data dan kepatuhan serta mencegah terulangnya masalah tersebut.

Alih-alih mengamankan perangkat, sistem, dan aplikasi yang menampung atau memindahkan atau memproses data, DSPM sering kali berfokus pada perlindungan data secara langsung. DSPM melengkapi solusi lain dalam tumpukan teknologi keamanan organisasi, termasuk solusi keamanan informasi (InfoSec).

Ketika organisasi mengadopsi konfigurasi multicloud (layanan dari beberapa penyedia layanan cloud) dan hybrid cloud (dengan menggabungkan cloud publik dan infrastruktur cloud pribadi), permukaan serangan mereka berkembang. Postur keamanan cloud berfokus pada penyusutan permukaan serangan dengan melindungi lingkungan cloud.

Tanpa langkah-langkah keamanan yang tepat, infrastruktur cloud dapat sangat rentan terhadap insiden keamanan. Menurut Laporan Biaya Pelanggaran Data, 30% dari semua pelanggaran melibatkan data yang didistribusikan di berbagai lingkungan, seperti cloud pribadi, cloud publik, dan on premises.

Aplikasi cloud berpotensi mencakup ratusan atau ribuan layanan mikro, fungsi tanpa server, kontainer, dan klaster Kubernetes. Dengan setiap koneksi baru, akan sangat mudah untuk memprogram, mendistribusikan, dan mempertahankan kesalahan konfigurasi yang membuat data dan aplikasi rentan terhadap ancaman siber.

Alat manajemen postur keamanan cloud (CSPM) dapat mengotomatiskan dan merampingkan identifikasi dan remediasi kesalahan konfigurasi dan risiko keamanan siber di seluruh lingkungan dan layanan hybrid cloud dan multicloud—termasuk infrastruktur sebagai layanan (IaaS), platform sebagai layanan (PaaS), dan perangkat lunak sebagai layanan (SaaS).

Postur keamanan identitas berfokus pada mendeteksi dan memperbaiki kesalahan konfigurasi identitas dan kesenjangan visibilitas. Fungsi ini sangat penting untuk postur keamanan organisasi secara keseluruhan, terutama karena identitas telah menjadi perimeter baru dan pilar utama keamanan siber.

Banyak tindakan keamanan tradisional berfokus pada menegakkan kontrol akses di perimeter jaringan. Namun, perimeter jaringan menjadi kurang relevan dengan keamanan jaringan dengan adopsi komputasi awan, perangkat lunak sebagai layanan (SaaS) dan tempat kerja hybrid. Dalam lingkungan baru ini, visibilitas dan kontrol penuh atas aktivitas identitas manusia dan mesin merupakan kunci untuk memitigasi ancaman siber.

IBM X-Force Threat Intelligence Index menunjukkan bahwa serangan berbasis identitas, ketika aktor ancaman membajak identitas yang valid untuk membobol jaringan, merupakan salah satu dari dua vektor serangan yang paling umum. Ini terlepas dari investasi signifikan dalam solusi keamanan infrastruktur, keamanan identitas, dan manajemen kerentanan.

Hari ini, penjahat siber tidak hanya melakukan peretasan. Banyak yang masuk dengan mengeksploitasi kesalahan konfigurasi dan kesenjangan visibilitas. Kesalahan konfigurasi identitas terjadi ketika infrastruktur identitas, sistem, dan kontrol akses tidak dikonfigurasi dengan benar. Kesenjangan visibilitas adalah risiko yang mungkin diabaikan oleh kontrol identitas organisasi yang ada, sehingga meninggalkan kerentanan yang tidak terdeteksi yang mungkin dieksploitasi oleh pelaku ancaman.

Alat bantu manajemen identitas dan akses serta solusi Identity Orchestration yang komprehensif dapat membantu organisasi melindungi akun dan menggagalkan penyalahgunaan hak istimewa yang sah. 

Postur keamanan yang kuat muncul dari program keamanan yang kuat. Program keamanan yang komprehensif biasanya mencakup berbagai komponen ini.

• Inventaris aset
• Pemerintahan
• Kontrol Keamanan
• Rencana respons insiden
• Pelatihan
• Peningkatan berkelanjutan

Untuk melindungi sistem dan data TI, sebuah organisasi membutuhkan inventaris lengkap asetnya: apa saja, di mana saja, bagaimana kerentanannya, dan bagaimana risikonya bisa dimitigasi. Inventaris ini membantu menentukan permukaan serangan yang akan dipertahankan dan kontrol yang dibutuhkan permukaan ini.

Tata kelola mengacu pada kerangka kerja dan proses yang membantu organisasi memastikan penggunaan sistem TI yang tepat dan mematuhi undang-undang dan peraturan yang relevan.

Proses tata kelola sering kali berfokus pada pengendalian akses ke dan penggunaan aset perusahaan, seperti informasi identifikasi pribadi (PII), data keuangan, sistem kepemilikan atau rahasia dagang. Tingkat akses sering kali ditentukan berdasarkan sensitivitas relatif dari data dan kebutuhan individu untuk mengetahui. Pengguna biasanya hanya memiliki akses ke aset yang mereka butuhkan, pada tingkat izin yang tepat, untuk melakukan pekerjaan mereka.

Organisasi di lokasi atau industri tertentu mungkin juga perlu mematuhi kerangka kerja peraturan tertentu, seperti Peraturan Perlindungan Data Umum (GDPR), Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) atau California Consumer Privacy Act (CCPA). Pelanggaran persyaratan peraturan ini mungkin akan menyebabkan denda pemerintah yang mahal dan reaksi publik.

Otomatisasi tata kelola, risiko, dan kepatuhan (GRC) dapat membantu memperkuat dan mempercepat tugas tata kelola yang sedang berlangsung. Organisasi juga dapat mengadopsi kerangka kerja tata kelola dan manajemen risiko yang spesifik, seperti Kerangka Kerja Keamanan Siber Institut Standar dan Teknologi Nasional (NIST CSF).

Arsitektur keamanan yang komprehensif menggabungkan berbagai alat keamanan yang saling melengkapi untuk melindungi dari segala macam serangan, termasuk phishing dan rekayasa sosial, ransomware, serangan denial-of-service terdistribusi (DDoS), ancaman orang dalam, dan lainnya. Kontrol umum meliputi:

• Solusi keamanan titik akhir
• Firewall
• Sistem deteksi dan pencegahan intrusi  (IDPS)
• Informasi keamanan dan manajemen acara (SIEM)
• Orkestrasi keamanan, otomatisasi, dan respons (SOAR)
• Pencegahan kehilangan data (DLP) 
• Kontrol Manajemen identitas dan akses (IAM)
• Platformintelijen ancaman

Banyak solusi keamanan kelas Enterprise menyediakan otomatisasi tingkat tinggi dan terus memindai data dan aset sensitif di mana pun berada. Pemantauan otomatis dan berkelanjutan membantu organisasi melacak sumber daya dan menemukan serta menanggapi ancaman secara real-time.

Sebuah rencana respons insiden (IRP) mendefinisikan langkah-langkah yang diambil organisasi untuk melawan serangan yang sedang berlangsung. Rencana ini menguraikan peran dan tanggung jawab anggota tim keamanan, alat yang harus mereka gunakan, dan tugas-tugas yang harus mereka selesaikan untuk membasmi ancaman.

Saat menjalankan IRP, tim keamanan sering kali mengandalkan solusi keamanan yang menjalankan penilaian risiko, menyediakan pelaporan real-time, dan memiliki dasbor yang membantu mereka memprioritaskan potensi risiko berdasarkan tingkat keparahannya. Solusi ini juga dapat memberikan petunjuk remediasi langkah demi langkah atau pedoman respons insiden yang sudah jadi yang menyederhanakan resolusi ancaman.

Beberapa solusi dapat secara otomatis memodifikasi pengaturan sistem atau menerapkan kontrol dan tambalan baru untuk menambah kekuatan keamanan siber dan melindungi dengan lebih baik dari serangan yang sedang berlangsung.

Karyawan, pemangku kepentingan, dan pengguna lain seringkali menjadi mata rantai lemah dalam keamanan. Pelatihan kesadaran keamanan secara teratur dapat membantu memperkuat kemampuan organisasi untuk menangkis ancaman dengan membiasakan semua pengguna dengan persyaratan tata kelola dan praktik terbaik keamanan.

Lingkungan ancaman selalu berubah. Untuk tetap berada di atas risiko terbaru dan menjaga ketahanan dunia maya, organisasi secara teratur meninjau metrik keamanan, menilai kinerja keamanan, melakukan pengujian penetrasi, dan menjalankan penilaian postur keamanan yang lengkap.

Langkah-langkah ini membantu organisasi mengidentifikasi risiko dan mengembangkan cara untuk menggagalkan serangan baru. Hal ini memungkinkan proses peningkatan berkelanjutan, di mana organisasi memperbarui program keamanan mereka untuk merespons ancaman yang berkembang dengan lebih baik.

Variasi serangan yang terus berkembang dan permukaan serangan perusahaan yang terus berkembang dapat membuat sulit untuk menyusun strategi keamanan yang memadai dan membahayakan postur keamanan organisasi.

Secara khusus, organisasi mungkin perlu mempertimbangkan bagaimana kekhawatiran berikut dapat memengaruhi postur keamanan.

• Kecerdasan Buatan (AI)
• Tantangan manajemen identitas dan akses
• TI bayangan

AI dapat digunakan untuk memulai serangan siber dan data yang digunakan untuk melatih AI dapat menjadi target pelanggaran keamanan yang menarik.

Misalnya, model bahasa besar (LLM) dapat membantu penyerang membuat serangan phishing yang lebih personal dan canggih. Sebagai teknologi yang baru, model AI juga memberikan peluang baru bagi para pelaku ancaman untuk melakukan serangan siber, seperti serangan rantai pasokan dan serangan yang merugikan.

Jawabannya mungkin lebih banyak AI, ketimbang lebih sedikit. Menurut Laporan Biaya Pelanggaran Data, organisasi yang menerapkan AI keamanan dan otomatisasi di seluruh pusat operasi keamanan mereka dapat meningkatkan keamanan sistem dan menghemat biaya.

Ketika langkah-langkah ini diterapkan secara luas di seluruh alur kerja keamanan seperti manajemen permukaan serangan (ASM), red teaming dan manajemen postur, organisasi rata-rata menghemat USD 1,9 juta lebih sedikit dalam biaya pelanggaran dibandingkan dengan organisasi yang tidak menggunakan AI. 

Identitas adalah pilar utama keamanan siber saat ini. Namun, kerumitan dalam mengelola identitas dan izin akses berbagai pengguna dalam tenaga kerja terdistribusi di lingkungan hybrid dan multicloud dapat menjadi sumber risiko keamanan yang signifikan.

• Kesalahan konfigurasi: Jika tidak dikonfigurasi dengan benar, kontrol IAM dapat dilewati oleh admin yang pandai atau pelaku ancaman, sehingga secara signifikan mengurangi perlindungan yang mereka berikan.
  
  
• Akun layanan yang terlupakan: Akun layanan dirancang untuk membantu melakukan tindakan seperti menjalankan aplikasi, mengotomatiskan layanan, dan melakukan panggilan API yang diotorisasi. Dengan demikian, akun-akun ini biasanya memiliki hak istimewa sistem yang lebih tinggi. Jika akun layanan yang tidak aktif tidak dihentikan dengan benar, penyerang dapat menggunakannya untuk mendapatkan akses yang tidak sah.
  
  
• Pemberian hak yang tidak sesuai: Pemberian hak yang berlebihan, yang juga dikenal sebagai "pemberian izin yang berlebihan", memberikan hak akses data atau izin yang lebih besar kepada pengguna daripada yang mereka perlukan untuk melakukan pekerjaan mereka. Hak istimewa yang ditinggikan ini dapat dengan mudah disalahgunakan. Sebaliknya, dalam upaya melindungi data sensitif, organisasi mungkin memberikan izin yang terlalu ketat kepada pengguna, yang bisa menghalangi mereka untuk melakukan pekerjaan mereka secara efektif.
  
  
• Keamanan kata sandi: Organisasi yang mengizinkan kata sandi yang lemah atau umum memudahkan peretas untuk membobol akun melalui tebakan sederhana atau serangan brute force.

TI bayangan mengacu pada aset TI—seperti aplikasi, perangkat, dan data—yang digunakan pada jaringan perusahaan tanpa persetujuan, pengetahuan, atau pengawasan departemen TI. Karena aset TI ini tidak terkelola, aset tersebut cenderung mengandung kerentanan yang tidak teratasi yang dapat mengeksploitasi oleh peretas.

TI bayangan hadir dalam berbagai bentuk, termasuk:

• Akses bayangan: Akses bayangan terjadi saat pengguna mempertahankan akses yang tidak terkelola menggunakan akun lokal ke aplikasi atau layanan demi kenyamanan atau mempercepat pemecahan masalah.

• Aset bayangan: Aset bayangan adalah aplikasi, perangkat, atau layanan yang tidak diketahui oleh tim dan sistem TI. Hal ini membuat penerapan langkah-langkah keamanan seperti kontrol akses, autentikasi pengguna, dan pemeriksaan kepatuhan menjadi lebih menantang.
  
  
• Data bayangan: Data bayangan mencakup kumpulan data dan penyimpanan data yang tidak dikelola oleh tim TI dan keamanan. Ketika organisasi memperluas akses data ke lebih banyak pengguna yang kurang memahami keamanan dan tata kelola data yang tepat, risiko data bayangan meningkat. Munculnya sistem cloud juga memudahkan pengguna untuk memindahkan data sensitif ke penyimpanan data pribadi yang tidak sah.