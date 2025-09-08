Tag
Keamanan Komputasi dan server Infrastruktur TI

Lanskap Ancaman Teknologi: Insight dari IBM X-Force

Spesialis teknologi operasional yang bekerja di pusat manufaktur industri

Artikel ini dikembangkan dengan kontribusi dari Jeff Kuo dan Kelsey Oliver.

Aktor ancaman paling canggih di dunia bergerak lebih cepat, beroperasi lebih tenang, dan menargetkan detak jantung masyarakat modern: teknologi operasional (OT) dan infrastruktur penting. Faktanya sangat mencolok: banyak ransomware, ancaman persisten lanjutan (APT), dan kelompok kejahatan dunia maya melampaui pencurian data, bertujuan untuk gangguan fisik dan bahkan sabotase. Konvergensi TI dan OT, yang didorong oleh permintaan bisnis—telah menciptakan permukaan serangan yang luas dan berisiko tinggi. Kerentanan yang digunakan sebagai senjata (CVE) dieksploitasi dengan kecepatan sangat tinggi, seringkali dalam beberapa hari atau jam setelah pengungkapan. 

Blog ini menggabungkan intelijen garis depan dari IBM X-Force dan data pelanggaran terkait OT baru yang ditemukan selama survei Biaya Pelanggaran Data 2025.

Temuan utama

  • Di antara organisasi yang dipelajari sebagai bagian dari Laporan Biaya Pelanggaran Data tahun ini, 15% mengalami insiden keamanan siber yang memengaruhi lingkungan OT mereka. Dari kelompok ini, hampir seperempat melaporkan bahwa insiden tersebut merusak sistem atau peralatan OT mereka. Insiden ini menelan biaya rata-rata USD 4,56 juta—sedikit lebih tinggi dari rata-rata global (USD 4,44 juta).
  • Data dari Database Kerentanan X-Force menemukan bahwa dari 670 kerentanan yang diungkapkan pada H1 2025 yang dapat berdampak pada OT, hampir setengahnya (49%) memiliki Rating Tingkat Keparahan CVSS “Penting” atau “Tinggi”. Seperlima (21%) kerentanan penting memiliki kode eksploitasi yang tersedia untuk umum.

Biaya akibat pelanggaran OT

Untuk Laporan Biaya Pelanggaran Data IBM 2025, mitra penelitian kami di Ponemon Institute mempelajari lebih dari 6.485 pelanggaran. Dari organisasi tersebut, 15% mengindikasikan bahwa insiden tersebut mempengaruhi lingkungan OT mereka dan dari kelompok itu, hampir seperempat (23%) melaporkan bahwa insiden tersebut mengakibatkan kerusakan pada sistem atau peralatan OT mereka.

Dua diagram lingkaran menggambarkan hasil survei tentang insiden keamanan di lingkungan OT. Bagan pertama menunjukkan 15% organisasi mengalami insiden, sementara 85% tidak. Grafik kedua menyoroti bahwa 23% insiden menyebabkan kerusakan pada sistem atau peralatan OT, sementara 77% tidak. Visual menggunakan segmen ungu dan biru dengan label numerik yang jelas.

Tidak mengherankan jika organisasi mengalami dampak pada lingkungan OT mereka sebagai hasil dari pelanggaran. Ada banyak contoh dalam beberapa tahun terakhir dari aktor ancaman yang menyebabkan gangguan OT di berbagai industri:

  • Destabilisasi jaringan listrik yang terus-menerus dan kegagalan gardu induk terkoordinasi:
    Penyerang berhasil memanfaatkan malware khusus ICS, manipulasi protokol (misalnya, protokol IEC 104 dan DNP3), dan eksploitasi akses jarak jauh untuk menyebabkan gangguan jaringan multi-situs dan pemadaman, seringkali membutuhkan pemulihan jaringan manual dan berdampak pada jutaan pelanggan utilitas.
  • Pembobolan berkelanjutan dari pengolahan air, produksi energi, dan operasi manufaktur:
    Aktor ancaman mengganggu proses OT inti dengan memanipulasi lingkungan SCADA dan Programmable Logic Controller (PLC), mengganggu dosis bahan kimia, regulasi aliran, dan kontrol keselamatan otomatis, yang mengakibatkan perlambatan produksi, insiden lingkungan, atau kondisi berbahaya bagi personel pabrik.
  • Gangguan yang meluas di seluruh rantai pasokan global dan logistik penting:
    Ransomware dan kampanye malware yang merusak telah melumpuhkan gudang otomatis, pusat distribusi, dan sistem manajemen transportasi, menunda pengiriman, menghentikan manufaktur tepat waktu, dan mengekspos organisasi pada hilir ekonomi dan reputasi.

Kecanggihan teknis dan kegigihan musuh modern menciptakan potensi gangguan multi-vektor secara simultan, dengan efek bertingkat pada keselamatan fisik, kepatuhan terhadap peraturan (misalnya, NERC CIP, NIST CSF, IEC 62443), dan mengikis kepercayaan publik pada infrastruktur yang penting.

Lingkungan kerentanan OT

Musuh saat ini lebih beragam, terspesialisasi, dan agresif dari sebelumnya, memadukan sumber daya negara-bangsa, inovasi kejahatan dunia maya, dan oportunisme hacktivis. Buku pedoman mereka terus berkembang, dengan kelompok dan aliansi baru bergabung dengan pemain lama untuk mengancam infrastruktur penting di seluruh dunia.

Aktor ancaman yang berusaha menyebabkan gangguan operasional menargetkan spektrum kerentanan yang sempit, terutama mempengaruhi perangkat yang menghadap perimeter seperti konsentrator VPN, gateway desktop jarak jauh, dan konverter protokol OT. CVE ini, setelah digunakan sebagai senjata, memberi penyerang eksekusi kode jarak jauh yang tidak diautentikasi, kontrol perangkat tingkat root, dan sering kali memungkinkan bypass langsung dari otentikasi lama dan mekanisme kontrol akses. Dampak operasional diperkuat karena banyak dari kerentanan ini tetap tidak ditambal di lingkungan penting karena persyaratan waktu aktif perangkat, penundaan patch vendor, atau kesenjangan visibilitas aset.

Selain itu, konvergensi TI dan OT, proliferasi alat manajemen jarak jauh, dan integrasi dengan vendor pihak ketiga telah menciptakan jalur lateral baru bagi penyerang. Mitra rantai pasokan yang terganggu atau integrator pihak ketiga dileverasi sebagai titik masuk tepercaya; layanan akses jarak jauh vendor yang terekspos dan firewall yang salah konfigurasi makin mengikis segmentasi statis. Musuh mengeksploitasi jembatan IT/OT tepercaya, perangkat lapangan yang tidak aman, dan bahkan laptop pemeliharaan untuk mendapatkan akses langsung ke jaringan kontrol proses dan sistem keamanan. Permukaan serangan yang berkembang ini membuat model keamanan perimeter lama tidak mencukupi, menekankan perlunya pemantauan jaringan dinamis, penemuan aset berkelanjutan, dan arsitektur yang menginformasikan ancaman.

Data dari Database Kerentanan X-Force menunjukkan ada 670 kerentanan yang diungkapkan pada H1 2025 yang dapat berdampak pada lingkungan OT dan di antaranya, 11% memiliki CVSS Severity Rating “penting” (skor CVSS antara 9.0-10.0). Selain itu, seperlima (21%) kerentanan penting memiliki kode mengeksploitasi yang tersedia untuk umum.

Dua diagram lingkaran menggambarkan data tentang kerentanan di lingkungan OT. Bagan pertama mengategorikan kerentanan berdasarkan peringkat CVSS, menunjukkan persentase untuk tingkat rendah, sedang, tinggi, dan penting. Bagan kedua menyoroti persentase kerentanan penting dengan kode yang dapat dieksploitasi yang tersedia untuk umum, yang menunjukkan 21%. Visual menggunakan nuansa biru dan ungu untuk menunjukkan perbedaan.

Ada contoh penting tahun ini dari eksploitasi kerentanan OT kritis:

  • Pada bulan Mei 2025, aktor ancaman mengeksploitasi kerentanan eksekusi kode jarak jauh penting di daemon SSH Erlang/OTP (CVE-2025-32433), yang memungkinkan pengguna yang tidak terautentikasi untuk menjalankan perintah sewenang-wenang. Sekitar 70% upaya serangan ditujukan pada firewall dan lingkungan OT
  • NCSC Belanda mengonfirmasi bahwa penyerang telah mengeksploitasi CVE-2025-6543, sebuah kelemahan parah pada produk Citrix NetScaler ADC dan Gateway, sebagai zero-day sejak awal Mei 2025, sebelum pengungkapan ke publik. Hal ini memungkinkan penyerang untuk menerapkan web shells, membangun akses persisten, dan berpotensi mengganggu VPN dan gateway akses jarak jauh di sektor penting.
  • Pada Mei 2025, produsen baja Nucor menghentikan produksi di beberapa fasilitas setelah pelanggaran keamanan siber. Intrusi tersebut melibatkan akses tidak sah ke sistem TI internal, mendorong penutupan sebagai tindakan pencegahan. Meskipun diklasifikasikan sebagai IT-sentris, gangguan tersebut secara langsung berdampak pada operasi dan menggarisbawahi kopling ketat antara domain TI dan OT.

Contoh-contoh ini menggambarkan pentingnya tetap mendapat informasi tentang kerentanan mana yang mungkin ada pada radar aktor ancaman. X-Force menilai berbagai forum online, pasar, saluran telegram, ruang obrolan, dan diskusi untuk mengungkapkan CV yang paling banyak disebutkan di H1 2025 yang dapat berdampak pada lingkungan OT/ICS.  Insight ini dapat membantu organisasi dengan strategi manajemen patch mereka.

Bagan batang yang memvisualisasikan 10 CVE yang paling banyak disebutkan yang dapat memengaruhi lingkungan OT/ICS di H1 2025. Bagan ini menyoroti pengidentifikasi CVE seperti CVE-2025-0228 dan CVE-2025-3124, dengan jumlah penyebutan mulai dari 75 hingga 1830. Bilah horizontal mewakili jumlah penyebutan untuk setiap CVE, menekankan signifikansi relatifnya.

Dari 10 CVE teratas yang disebutkan diungkapkan pada H1 2025 yang dapat berdampak pada OT, 90% telah dieksploitasi secara aktif dan 70% telah dieksploitasi secara aktif oleh APT. Sebagai contoh, CVE yang disebutkan di atas, CVE-2025-0282, dilaporkan telah dieksploitasi oleh UNC5221, "aktor spionase yang dicurigai dari Cina". Kerentanan ini memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan pijakan awal ke jaringan internal di balik alat Connect Secure VPN yang rentan. Penyerang kemudian dapat pindah secara lateral ke jaringan dan berpotensi berdampak pada sistem kontrol industri. Kerentanan kedua yang paling banyak disebutkan, CVE-2025-31324, dilaporkan telah dieksploitasi secara aktif oleh Chaya_004, "aktor ancaman Tiongkok". Kerentanan yang mempengaruhi SAP NetWeaver Visual Composer ini memungkinkan penyerang mengeksekusi kode dari jarak jauh. Banyak organisasi industri memanfaatkan SAP untuk perencanaan sumber daya perusahaan (ERP) dan manajemen rantai pasokan (SCM), yang dapat berinteraksi langsung dengan atau tidak langsung mempengaruhi sistem OT.

Di luar jangkauan deteksi: Pertahanan generasi berikutnya melawan musuh modern

2025 merupakan tahun yang menentukan untuk OT dan keamanan infrastruktur penting. Konvergensi musuh negara-bangsa yang termotivasi, ekosistem ransomware yang berkembang pesat, dan eksploitasi terus-menerus dari serangkaian kerentanan berdampak tinggi yang sempit telah mengungkap kelemahan mendasar dalam lingkungan OT lama. Penyerang sekarang secara rutin melewati pertahanan perimeter tradisional, memanfaatkan pembobolan rantai pasokan, kredensial yang dicuri, dan gerakan lateral yang mendalam untuk mencapai hasil yang melumpuhkan bisnis, dan bahkan hasil yang penting keselamatan.

Lingkungan ancaman ini mengharuskan organisasi untuk secara mendasar memikirkan kembali cara risiko OT dikelola. Keamanan siber harus bergerak melampaui kepatuhan dan kontrol formalitas menuju model pertahanan yang didorong oleh intelijen dan spesifik sektor. Kelangsungan hidup bukan lagi hanya tentang mencegah akses awal; itu menuntut deteksi cepat, penahanan yang efektif, dan pemulihan ketahanan, semua didukung oleh keterlibatan eksekutif yang berkelanjutan dan tata kelola tingkat dewan.

Ketahanan operasional pada tahun 2026 dan seterusnya akan ditentukan oleh kemampuan organisasi untuk memprioritaskan kerentanan yang tepat, mensimulasikan skenario serangan dunia nyata, menegakkan kontrol berlapis, dan mendorong kepemilikan keamanan siber dari ruang kontrol ke ruang rapat. Taruhannya bersifat eksistensial: kontinuitas layanan, kepatuhan terhadap peraturan, keselamatan fisik, dan kepercayaan publik semuanya bergantung pada strategi pertahanan cyber OT yang proaktif dan adaptif. Kami mendorong organisasi untuk melihat ulasan berikut:

1. Prioritaskan manajemen patch secara berlebihan

  • Perbarui sistem Anda seolah-olah bisnis Anda bergantung padanya, karena memang demikian. Prioritaskan kerentanan yang sedang dieksploitasi secara aktif. Gunakan Katalog Kerentanan yang Diketahui Tereksploitasi (KEV) dari CISA, MITRE, umpan intelijen ancaman, dan nasihat vendor sebagai daftar 'yang harus dilakukan' Anda.
  • Jika patch tertunda, terapkan segmentasi jaringan, aplikasi allowlisting, dan tingkatkan pemantauan untuk anomali OT/ICS.

2. Petakan ancaman terhadap sektor Anda

  • Pertimbangkan untuk mendapatkan penilaian ancaman strategis organisasi Anda untuk memahami ancaman yang paling mungkin berdampak pada lingkungan Anda berdasarkan industri dan tempat Anda beroperasi secara geografis.
  • Gunakan MITRE ATT & CK Matrix untuk ICS dan peringatan ISAC sektor (yaitu, E-ISAC, MFG-ISAC, Water-ISAC) untuk memetakan TT P yang relevan dengan bisnis Anda.

3. Buat tim merah seperti yang mereka lakukan

4. Pertahanan berlapis, bukan "keamanan kotak centang"

  • Pisahkan TI dan OT, gunakan firewall, DMZ, gateway searah.
  • Terapkan MFA, putar kredensial, dan larang login bersama di workstation rekayasa.
  • Investasikan dalam deteksi anomali dan DPI inspeksi paket mendalam pasif untuk OT dan buat pedoman respon insiden yang jelas.

5. Dukungan Tingkat Dewan dan Pengujian Dunia Nyata

  • Perlakukan keamanan OT sebagai keharusan tingkat C: Risiko OT bukan hanya masalah IT—ini adalah bisnis inti dan masalah keselamatan. Keterlibatan tingkat dewan direksi dan sponsor eksekutif di bidang ini tidak dapat dinegosiasikan pada tahun 2025. Uji operasi manajemen krisis siber Anda dalam pengalaman yang sangat imersif berdasarkan skenario musuh yang nyata.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy