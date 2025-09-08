Artikel ini dikembangkan dengan kontribusi dari Jeff Kuo dan Kelsey Oliver.
Aktor ancaman paling canggih di dunia bergerak lebih cepat, beroperasi lebih tenang, dan menargetkan detak jantung masyarakat modern: teknologi operasional (OT) dan infrastruktur penting. Faktanya sangat mencolok: banyak ransomware, ancaman persisten lanjutan (APT), dan kelompok kejahatan dunia maya melampaui pencurian data, bertujuan untuk gangguan fisik dan bahkan sabotase. Konvergensi TI dan OT, yang didorong oleh permintaan bisnis—telah menciptakan permukaan serangan yang luas dan berisiko tinggi. Kerentanan yang digunakan sebagai senjata (CVE) dieksploitasi dengan kecepatan sangat tinggi, seringkali dalam beberapa hari atau jam setelah pengungkapan.
Blog ini menggabungkan intelijen garis depan dari IBM X-Force dan data pelanggaran terkait OT baru yang ditemukan selama survei Biaya Pelanggaran Data 2025.
Untuk Laporan Biaya Pelanggaran Data IBM 2025, mitra penelitian kami di Ponemon Institute mempelajari lebih dari 6.485 pelanggaran. Dari organisasi tersebut, 15% mengindikasikan bahwa insiden tersebut mempengaruhi lingkungan OT mereka dan dari kelompok itu, hampir seperempat (23%) melaporkan bahwa insiden tersebut mengakibatkan kerusakan pada sistem atau peralatan OT mereka.
Tidak mengherankan jika organisasi mengalami dampak pada lingkungan OT mereka sebagai hasil dari pelanggaran. Ada banyak contoh dalam beberapa tahun terakhir dari aktor ancaman yang menyebabkan gangguan OT di berbagai industri:
Kecanggihan teknis dan kegigihan musuh modern menciptakan potensi gangguan multi-vektor secara simultan, dengan efek bertingkat pada keselamatan fisik, kepatuhan terhadap peraturan (misalnya, NERC CIP, NIST CSF, IEC 62443), dan mengikis kepercayaan publik pada infrastruktur yang penting.
Musuh saat ini lebih beragam, terspesialisasi, dan agresif dari sebelumnya, memadukan sumber daya negara-bangsa, inovasi kejahatan dunia maya, dan oportunisme hacktivis. Buku pedoman mereka terus berkembang, dengan kelompok dan aliansi baru bergabung dengan pemain lama untuk mengancam infrastruktur penting di seluruh dunia.
Aktor ancaman yang berusaha menyebabkan gangguan operasional menargetkan spektrum kerentanan yang sempit, terutama mempengaruhi perangkat yang menghadap perimeter seperti konsentrator VPN, gateway desktop jarak jauh, dan konverter protokol OT. CVE ini, setelah digunakan sebagai senjata, memberi penyerang eksekusi kode jarak jauh yang tidak diautentikasi, kontrol perangkat tingkat root, dan sering kali memungkinkan bypass langsung dari otentikasi lama dan mekanisme kontrol akses. Dampak operasional diperkuat karena banyak dari kerentanan ini tetap tidak ditambal di lingkungan penting karena persyaratan waktu aktif perangkat, penundaan patch vendor, atau kesenjangan visibilitas aset.
Selain itu, konvergensi TI dan OT, proliferasi alat manajemen jarak jauh, dan integrasi dengan vendor pihak ketiga telah menciptakan jalur lateral baru bagi penyerang. Mitra rantai pasokan yang terganggu atau integrator pihak ketiga dileverasi sebagai titik masuk tepercaya; layanan akses jarak jauh vendor yang terekspos dan firewall yang salah konfigurasi makin mengikis segmentasi statis. Musuh mengeksploitasi jembatan IT/OT tepercaya, perangkat lapangan yang tidak aman, dan bahkan laptop pemeliharaan untuk mendapatkan akses langsung ke jaringan kontrol proses dan sistem keamanan. Permukaan serangan yang berkembang ini membuat model keamanan perimeter lama tidak mencukupi, menekankan perlunya pemantauan jaringan dinamis, penemuan aset berkelanjutan, dan arsitektur yang menginformasikan ancaman.
Data dari Database Kerentanan X-Force menunjukkan ada 670 kerentanan yang diungkapkan pada H1 2025 yang dapat berdampak pada lingkungan OT dan di antaranya, 11% memiliki CVSS Severity Rating “penting” (skor CVSS antara 9.0-10.0). Selain itu, seperlima (21%) kerentanan penting memiliki kode mengeksploitasi yang tersedia untuk umum.
Ada contoh penting tahun ini dari eksploitasi kerentanan OT kritis:
Contoh-contoh ini menggambarkan pentingnya tetap mendapat informasi tentang kerentanan mana yang mungkin ada pada radar aktor ancaman. X-Force menilai berbagai forum online, pasar, saluran telegram, ruang obrolan, dan diskusi untuk mengungkapkan CV yang paling banyak disebutkan di H1 2025 yang dapat berdampak pada lingkungan OT/ICS. Insight ini dapat membantu organisasi dengan strategi manajemen patch mereka.
Dari 10 CVE teratas yang disebutkan diungkapkan pada H1 2025 yang dapat berdampak pada OT, 90% telah dieksploitasi secara aktif dan 70% telah dieksploitasi secara aktif oleh APT. Sebagai contoh, CVE yang disebutkan di atas, CVE-2025-0282, dilaporkan telah dieksploitasi oleh UNC5221, "aktor spionase yang dicurigai dari Cina". Kerentanan ini memungkinkan penyerang yang tidak diautentikasi untuk mendapatkan pijakan awal ke jaringan internal di balik alat Connect Secure VPN yang rentan. Penyerang kemudian dapat pindah secara lateral ke jaringan dan berpotensi berdampak pada sistem kontrol industri. Kerentanan kedua yang paling banyak disebutkan, CVE-2025-31324, dilaporkan telah dieksploitasi secara aktif oleh Chaya_004, "aktor ancaman Tiongkok". Kerentanan yang mempengaruhi SAP NetWeaver Visual Composer ini memungkinkan penyerang mengeksekusi kode dari jarak jauh. Banyak organisasi industri memanfaatkan SAP untuk perencanaan sumber daya perusahaan (ERP) dan manajemen rantai pasokan (SCM), yang dapat berinteraksi langsung dengan atau tidak langsung mempengaruhi sistem OT.
2025 merupakan tahun yang menentukan untuk OT dan keamanan infrastruktur penting. Konvergensi musuh negara-bangsa yang termotivasi, ekosistem ransomware yang berkembang pesat, dan eksploitasi terus-menerus dari serangkaian kerentanan berdampak tinggi yang sempit telah mengungkap kelemahan mendasar dalam lingkungan OT lama. Penyerang sekarang secara rutin melewati pertahanan perimeter tradisional, memanfaatkan pembobolan rantai pasokan, kredensial yang dicuri, dan gerakan lateral yang mendalam untuk mencapai hasil yang melumpuhkan bisnis, dan bahkan hasil yang penting keselamatan.
Lingkungan ancaman ini mengharuskan organisasi untuk secara mendasar memikirkan kembali cara risiko OT dikelola. Keamanan siber harus bergerak melampaui kepatuhan dan kontrol formalitas menuju model pertahanan yang didorong oleh intelijen dan spesifik sektor. Kelangsungan hidup bukan lagi hanya tentang mencegah akses awal; itu menuntut deteksi cepat, penahanan yang efektif, dan pemulihan ketahanan, semua didukung oleh keterlibatan eksekutif yang berkelanjutan dan tata kelola tingkat dewan.
Ketahanan operasional pada tahun 2026 dan seterusnya akan ditentukan oleh kemampuan organisasi untuk memprioritaskan kerentanan yang tepat, mensimulasikan skenario serangan dunia nyata, menegakkan kontrol berlapis, dan mendorong kepemilikan keamanan siber dari ruang kontrol ke ruang rapat. Taruhannya bersifat eksistensial: kontinuitas layanan, kepatuhan terhadap peraturan, keselamatan fisik, dan kepercayaan publik semuanya bergantung pada strategi pertahanan cyber OT yang proaktif dan adaptif. Kami mendorong organisasi untuk melihat ulasan berikut:
1. Prioritaskan manajemen patch secara berlebihan
2. Petakan ancaman terhadap sektor Anda
3. Buat tim merah seperti yang mereka lakukan
4. Pertahanan berlapis, bukan "keamanan kotak centang"
5. Dukungan Tingkat Dewan dan Pengujian Dunia Nyata
