Jika saya mensurvei para pakar keamanan siber dalam perjalanan mereka ke kantor pada 12 Mei 2017, kebanyakan dari mereka akan mengatakan bahwa mereka menyadari akan adanya peristiwa besar di bidang keamanan siber.
Namun, pada hari itu tidak ada yang mengira bahwa mereka akan memasuki badai yang sempurna, berupa ransomware WannaCry—serangan siber paling merusak hingga saat ini—ketika mereka dalam perjalanan dengan mobil, kereta, atau feri menuju kantor mereka masing-masing pada pagi musim semi itu.
Perangkat, sistem, dan jaringan kita kini semakin saling berhubungan, yang berarti virus dapat jauh lebih mudah berpindah antar sistem daripada sebelumnya. Tetapi tanpa peristiwa besar dalam ingatan baru-baru ini, kebanyakan dari kita (bahkan jurnalis keamanan siber seperti saya) menjadi agak lengah. Ketika Anda menggabungkan faktor-faktor ini dengan jumlah perangkat dan sistem aktif, kondisinya pun matang untuk terjadinya insiden besar.
Serangan ransomware ini adalah peristiwa keamanan siber terbesar yang pernah dilihat dunia, sebagian karena dampaknya lebih luas daripada wabah itu sendiri. Ini menciptakan gempa susulan besar di perusahaan, politik, komunitas peretas, dan budaya keamanan siber.
Bahkan setelah tombol penghenti ditemukan, virus terus merusak setiap sistem dan semua data yang disentuhnya, menyerang sistem komputer dari 300 organisasi di 150 negara.
Bahkan setelah tombol penghenti ditemukan, virus terus merusak setiap sistem dan semua data yang disentuhnya, menyerang sistem komputer dari 300 organisasi di 150 negara.
Rusia mengalami jumlah upaya infeksi tertinggi dibandingkan negara mana pun di seluruh dunia, menurut BBC. Sebagian besar server yang sangat penting tidak terpengaruh, karena mereka menjalankan perangkat lunak era Soviet yang dikenal sebagai Elbrus. Namun, kekebalan teknis tidak menghentikan virus menyebar ke komputer di seluruh negeri. Serangan itu melumpuhkan berbagai titik akhir di kementerian dalam negeri, kereta api, bank, dan operator seluler besar Megafon.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Meliput WannaCry secara live membuat saya penasaran dan penuh pertanyaan, bahkan bertahun-tahun kemudian. Setiap kali serangan itu menjadi topik pembicaraan selama tiga tahun terakhir, saya mendengar tema yang sama diulang: Serangan WannaCry sangat dahsyat dan mengubah cara kita mendekati keamanan siber dan melihat risiko bagi bisnis.
Bagi saya, sentimen itu terlalu luas untuk peristiwa sebesar ini. Saya punya pertanyaan spesifik. Seperti apa rasanya menjadi seorang tenaga profesional keamanan pada 12 Mei 2017? Apa dampak totalnya terhadap bisnis dan pemerintah di seluruh dunia? Bagaimana pelajaran yang kita petik hari itu membentuk lanskap bisnis, teknologi, dan keamanan siber kami saat ini?
Saya juga bertanya-tanya bagaimana fakta bahwa seluruh dunia menyaksikan peristiwa ini, melalui media sosial dan situs berita digital, mengubah respons dan dampak keseluruhan. Para pemimpin bisnis dan anggota masyarakat menyaksikan liputan berita, dan tidak ada yang tahu persis apa yang terjadi. Hampir semua orang sepakat hal itu tampak mengancam. Saya juga ingin tahu apakah ini menambah kepanikan publik atau justru membantu menyelesaikan masalah lebih cepat.
“Ini masih besar. Hal ini dijadikan contoh sebagai sesuatu yang tidak dipersiapkan oleh organisasi. Ini benar-benar menjadi peringatan besar untuk banyak perusahaan”, kata Tracey Nash, manajer IBM X-Force Incident Command Program. Nash menghitung 12 Mei 2017, sebagai momen ketika berbagai organisasi menyadari bahwa mereka perlu mempertimbangkan sisi bisnis dari risiko keamanan siber.
Untuk mengetahui apa yang sebenarnya terjadi, dan yang lebih penting lagi, mengapa WannaCry meninggalkan dampak besar, saya berbicara dengan para pemain kunci yang menanggapi serangan itu. Satu orang yang saya ajak bicara berjam-jam adalah Wendi Whitmore, wakil presiden IBM X-Force Threat Intelligence. Saya juga berbicara dengan Christopher Scott, direktur Security Innovation and Remediation (Kantor CISO) di IBM, untuk mendengar pendapatnya tentang peristiwa hari itu dan pemulihan setelah serangan WannaCry.
Kisah ini menceritakan perjalanan untuk mencari tahu apa yang sebenarnya terjadi pada hari-hari kacau itu tiga tahun lalu dan bagaimana dampak dan legasi WannaCry hidup hari ini.
Banyak orang, bahkan tenaga profesional keamanan siber terkemuka di industri, pertama kali mengetahui serangan itu dari tweet. Seorang dokter Sistem Kesehatan Nasional Inggris (NHS) termasuk yang pertama menyampaikan berita tentang serangan besar-besaran ini di Twitter. Ini diikuti oleh kolega yang tak terhitung jumlahnya yang menunjukkan foto-foto layar komputer mereka yang terkunci, semuanya dengan pesan yang sama: “Ooops, file Anda telah dienkripsi!”
Pada saat itu, karyawan NHS tidak tahu serangan itu pada akhirnya akan mengakibatkan 70.000 perangkat yang terinfeksi dan total penutupan sepertiga dari semua rumah sakit NHS. Dampak WannaCry pada NHS dan rumah sakit lain di seluruh dunia adalah bukti bahwa kejahatan siber dapat mendatangkan malapetaka di era Internet of Medical Things (IoMT). Untungnya, peneliti keamanan klinis telah menetapkan secara pasti bahwa kekacauan cryptoworm tersebut tidak mengakibatkan kematian pasien.
Bahkan mereka yang tidak berada di depan komputer dengan sangat cepat mengetahui sesuatu yang besar sedang terjadi:
Permintaan bitcoin muncul di papan digital yang mengumumkan kedatangan dan keberangkatan kereta di Jerman.
Kata-kata yang sama persis juga muncul di puluhan layar bioskop di Korea Selatan.
Di Jakarta, Indonesia, pasien rumah sakit menunggu selama beberapa jam sementara dokter beralih dari sistem komputer ke catatan kertas.
Whitmore, yang pada saat itu bekerja sebagai mitra global dan pemimpin tanggap insiden untuk X-Force Threat Intelligence, mengatakan segera setelah serangan dimulai, timnya mulai menggaruk kepala dan mengucapkan dengan keras, “Ini aneh”.
Khususnya, tim Whitmore tahu bahwa mereka menghadapi sesuatu yang berbeda ketika menemukan bahwa benar-benar tidak mungkin untuk melepaskan file yang terinfeksi. Ransomware tidak memberikan cara bagi peretas untuk mengetahui siapa yang membayar uang tebusan.
Salah satu prioritas pertamanya adalah mendapatkan salinan malware. Dia tahu Anda tidak bisa menghentikan sesuatu sampai memahami persis bagaimana cara kerjanya. Tetapi mendapatkan salinan malware dan memecahnya merupakan hal yang sulit, terutama di bawah tekanan saat mengetahui bahwa dunia dengan cepat berhenti berfungsi.
WannaCry adalah serangan kejahatan siber yang paling cepat menyebar yang pernah ada. Komputer yang terhubung ke internet yang tidak ditambal dapat menjadi korban dalam beberapa menit dan dengan cepat mulai menyebarkan worm melalui jaringan. Banyak berita menggambarkan tim TI bergegas mencoba mengatasi kerusakan saat rekan mereka mem-boot PC kerja mereka.
Saat saya menanyakan Laurance Dine, Global Lead di X-Force Threat Intelligence (yang pada saat itu bekerja untuk penyedia layanan terkelola global), dia mengatakan hal yang paling diingatnya hari itu adalah telepon yang tak berhenti berdering. Setiap orang di ujung telepon adalah pelanggan panik yang membutuhkan bantuan. Dia menyimpulkan hari itu sebagai “kegilaan besar”.
Dengan cepat, seluruh timnya, termasuk pakar keamanan lain yang tidak berada di tim tanggap insiden, mendapati diri mereka ditempatkan di garis depan.
“Itu berdampak pada semua hal dan rasanya semua orang terlibat. Rata-rata warga tahu apa yang terjadi dengan ransomware”, kata Dine. “Mereka mengerti berita yang tersebar dan apa yang sedang terjadi, dan mereka tidak bisa pergi ke rumah sakit, dan kehidupan orang-orang terpengaruh oleh itu”.
Seiring berjalannya hari, pekerja tanggap insiden secara kolektif membatalkan semua rencana mereka dan bersiap untuk akhir pekan yang panjang penuh kerja keras. Semua orang menyaksikan bisnis global tertegun setelah worm WannaCry.
Apa yang tidak kita ketahui pada saat itu adalah bahwa cryptoworm yang menghancurkan setiap sistem yang disentuhnya sebenarnya berasal dari kerentanan berusia dua bulan yang dikenal sebagai EternalBlue. Setelah ‘Wanna Decryptor‘ berhasil menginfeksi satu mesin pada satu jaringan, WannaCry mulai menyebar ke komputer lain di jaringan yang sama sambil memindai internet untuk mesin lain yang tidak ditambal. Kerentanan yang dieksploitasi oleh EternalBlue membuat mesin Windows yang tidak ditambal terbuka untuk infeksi dan menyebarkan virus WannaCry.
Cryptoworm biasanya dapat dideteksi dengan cepat di jaringan perusahaan. Tapi WannaCry tetap berada di bawah radar, sampai tidak lagi. Deteksi adalah sesuatu yang banyak aktor ancaman canggih coba hindari dengan cara apa pun, terutama selama serangan yang sangat ditargetkan, tetapi WannaCry bukanlah serangan yang ditargetkan. Itu adalah serangan global yang direncanakan dengan cermat yang dirancang untuk mendapatkan perhatian sebanyak mungkin, itulah yang tepatnya terjadi.
Dalam banyak kasus, Scott menjelaskan, penyebaran juga diaktifkan oleh apa yang dia sebut “jaringan M & M”. Dalam kasus seperti ini, struktur jaringannya keras di luar dan lunak di dalam. Ini adalah interior yang ramah bagi aktor ancaman dan cryptoworm. Dia mencatat begitu cryptoworm melewati cangkang keras di tepi jaringan, WannaCry menemukan banyak kebebasan untuk pindah di sekitar lingkungan.
Selama tujuh jam berikutnya, “cacing berlendir besar” mendatangkan malapetaka global sampai peneliti keamanan siber Marcus Hutchins dan Jamie Hankins menemukan tombol penghenti. Dua tombol penghenti tambahan ditemukan, akhirnya membuat varian ransomware sebagian besar tidak aktif.
Tetapi proses remediasi yang panjang baru saja dimulai untuk 300 organisasi di seluruh dunia, dan tidak ada dari kami yang menyadari tingkat kerusakan dan proses untuk memperbaikinya. Kami masih berada di wilayah yang belum dipetakan, termasuk tim Scott, yang bergegas untuk menerapkan perbaikan.
“Saya perlu membawa lingkungan itu kembali ke kemampuan operasional”, kata Scott. “Tapi bagaimana kita menjalani pengujian untuk memastikan perbaikan berhasil? Bagaimana cara menguji penerimaan pengguna? Dan, lalu, bagaimana cara memindahkannya ke produksi?”
Dalam banyak kasus, tim Scott harus melewati proses pengujian tradisional dan mengambil risiko bahwa melakukannya dengan terburu-buru akan “merusak beberapa hal lainnya”. WannaCry tidak memberikan orang pilihan, dan itulah salah satu alasan utama terjadinya kerusakan besar-besaran setelahnya.
Sebagian besar profesional keamanan siber tahu bahwa WannaCry tidak terlalu sukses secara finansial, dan data laba bersihnya menunjukkan bahwa WannaCry memperoleh jauh lebih rendah dari yang diharapkan. Catatan blockchain mengungkapkan bahwa antara Mei 2017 dan Desember 2019, WannaCry menghasilkan total sekitar 386.000 USD, meskipun totalnya berfluktuasi dengan nilai bitcoin. Itu adalah 1,08 USD atau kurang per komputer yang terinfeksi.
Dibandingkan dengan virus email sebelumnya, khusus dalam hal dolar, itu bisa dibilang murah. Symantec memperkirakan kerugian finansial $4 miliar di 2018 karena WannaCry, angka yang kemungkinan lebih tinggi hari ini. Virus Conficker menyebabkan kerugian lebih dari 9,1 miliar USD pada tahun 2007 dan menginfeksi jutaan komputer di seluruh dunia. Pada tahun 2004, MyDoom menyebabkan kerusakan sekitar 38 miliar USD dan mempengaruhi sekitar 25% email yang dikirim sepanjang tahun.
Cryptoworm ini dimaksudkan untuk menimbulkan banyak kebisingan alih-alih mendapat untung dari satu target. Aktor ancaman di balik WannaCry secara khusus memanfaatkan perangkat lunak akuntansi pajak Ukraina, perangkat lunak yang diwajibkan pemerintah untuk setiap organisasi yang melakukan bisnis di Ukraina, menurut Dine. Dengan mendorong pembaruan perangkat lunak, para aktor ancaman berhasil melumpuhkan sebagian besar infrastruktur nasional Ukraina pada prosesnya.
Sebagian besar kejahatan dunia siber termotivasi secara finansial. Sangat jarang menemukan ransomware yang dirancang untuk mendatangkan kekacauan massal dengan sedikit perhatian untuk tebusan yang sebenarnya.
Ketika ditanya apa yang menurutnya adalah bagian terpenting dari WannaCry, Whitmore mengatakan semuanya penting.
“Itu tentu saja adalah peringatan yang sangat besar”, kata Whitmore. “Jadi, untuk setiap organisasi yang melihat konglomerat global ini... yang memiliki program keamanan dan protokol yang baik yang terkena dampak [oleh virus], itu meningkatkan kesadaran.”
“Itu tentu saja adalah peringatan yang sangat besar”, kata Whitmore.
Ketika ditanya apa yang menurutnya adalah bagian paling signifikan dari WannaCry, Whitmore mengatakan semuanya penting.
“Itu tentu saja adalah peringatan yang sangat besar”, kata Whitmore. “Jadi, untuk setiap organisasi yang melihat konglomerat global ini... yang memiliki program keamanan dan protokol yang baik yang terkena dampak [oleh virus], itu meningkatkan kesadaran.”
“Itu tentu saja adalah peringatan yang sangat besar”, kata Whitmore.
Kampanye yang lebih bertarget lebih umum terjadi setelah WannaCry, katanya. Meskipun serangan tidak selalu terhadap satu klien, sekarang aktor ancaman mungkin mengirim banyak email phishing dan mendapatkan akses ke 10 klien. Dari sana, dia melihat aktor ancaman menghabiskan 6 hingga 12 bulan melakukan pengintaian hati-hati pada target potensial sambil menghindari deteksi di dalam jaringan.
Akhirnya, kata Whitmore, mereka memicu ransomware di mana mereka tahu atau mencurigai bahwa mereka akan memiliki peluang lebih baik mendapatkan bayaran.
WannaCry mungkin bertanggung jawab setidaknya sebagian atas vektor ancaman saat ini dan meningkatnya popularitas serangan ransomware komersial. Ransomware terdiri dari 39% dari semua insiden malware dengan kehilangan data pada tahun 2017, menurut Laporan Investigasi Pelanggaran Data (DBIR) 2018. Sejak itu, serangan telah berubah menjadi jauh lebih canggih dan mahal bagi para korban. Ransomware komersial juga biasanya sangat mampu menghindari metode deteksi.
Banyak organisasi yang terkena dampak memiliki cadangan data yang berlimpah, tetapi mereka tidak selalu dapat dipulihkan. Dalam banyak kasus, cadangan terhubung ke jaringan dan rentan dikunci oleh WannaCry. Dalam kasus lain, organisasi memiliki cadangan di luar lokasi dan belum mengujinya agar mudah dipulihkan.
Insiden crypto-ransomware Mei 2017 adalah titik balik bagi lingkungan ancaman. WannaCry memiliki dampak positif pada budaya keamanan siber perusahaan, tetapi juga meroket ransomware ke dalam kesadaran para aktor ancaman global. Banyak aktor ancaman ransomware komersial sekarang melakukan riset yang cermat ke dalam nilai data korban jika hilang atau dijual ke pesaing.
Contoh kasus: Whitmore baru saja melihat serangan ransomware terhadap sebuah organisasi dalam enam minggu terakhir. “Para penyerang meminta uang tebusan sebesar 25 juta USD. Ini bukan perusahaan besar sama sekali”, kata Whitmore.
Sebelum WannaCry, sebagian besar pemimpin perusahaan tampaknya memiliki sikap “itu tidak akan terjadi pada kita”, terutama di luar area layanan kesehatan. Sekarang, ketika saya membahas ransomware, orang-orang mulai mendengarkan. Pemimpin perusahaan sering kali menjadi orang pertama yang menyebutkan ransomware kepada saya dan pakar keamanan siber lainnya. Dari sudut pandang saya, salah satu dampak paling signifikan dari trauma dan kerusakan WannaCry adalah bagaimana kepemimpinan perusahaan menyadari ransomware adalah ancaman yang berarti.
Kejadian ini juga memiliki dampak besar pada peran keamanan siber dalam bisnis dan peran CISO di dewan. Para pimpinan kini menyadari bahwa Anda bisa mengalami serangan siber besar dan justru dalam posisi yang lebih baik dari segi reputasi.
Satu merek logistik yang berbasis di UE menunjukkan bagaimana mereka hanya mengalami sedikit kerusakan reputasi akibat WannaCry. CEO mengambil peran publik dan berbicara langsung kepada publik dan klien pada hari-hari setelah serangan. Kombinasi cryptoworm dan CEO yang percaya diri dan komunikatif adalah langkah pertama yang penting menuju budaya keamanan siber perusahaan dengan tanggung jawab bersama.
Tak terhitung berapa banyak peniru dan serangan susulan yang muncul setelah serangan WannaCry yang pertama. ESET mengungkapkan pada Mei 2020 bahwa WannaCry menyumbang 40,5% dari semua deteksi ransomware pada Kuartal 1 2020. Beberapa negara masih terpengaruh secara tidak proporsional oleh gempa susulan WannaCry karena ISP utama memblokir domain tombol penghenti. Beberapa infeksi yang berkepanjangan ini disebabkan oleh praktik kebersihan siber yang buruk. Infeksi lain bertahan pada titik akhir nontradisional yang sulit dideteksi oleh banyak perusahaan, apalagi dikelola.
Sulit untuk mengatakan apakah perusahaan akan secara signifikan lebih siap untuk serangan cryptoworm global pada tahun 2020 daripada pada tahun 2017. Namun, sebagian besar pakar yang saya ajak bicara setuju bahwa elemen manusia dari keamanan siber telah berkembang secara dramatis, yang seharusnya memberi harapan para profesional tanggap insiden.
Namun, menurut ESET, data dari mesin pencari Shodan mengungkapkan bahwa hampir 1 juta perangkat masih rentan dan belum ditambal terhadap kerentanan EternalBlue per Mei 2019. Angka itu hampir tidak berubah sejak akhir Mei 2017, yang sangat mengkhawatirkan.
Sebuah survei baru-baru ini menunjukkan 27% organisasi global telah mengaitkan insiden pelanggaran data dengan kerentanan yang belum ditambal. Yang lebih memprihatinkan adalah sebagian besar tidak tahu persis titik akhir mana di jaringan mereka yang menimbulkan risiko. Sementara itu, 39% organisasi mengakui melakukan pemindaian kerentanan kurang dari sebulan sekali. Menurut CA Veracode, lebih dari 70% kerentanan tetap belum ditambal setelah 30 hari.
Biaya pemulihan dari serangan yang sangat merusak adalah 239 juta USD, atau 61 kali lebih mahal daripada insiden rata-rata yang melibatkan kehilangan data.
Scott telah melihat perubahan positif besar dalam cara organisasi mendekati lingkungan dan titik kontrol untuk menghindari kondisi ‘hard candy shell’ (keras di luar lunak di dalam) yang memungkinkan worm menyebar begitu cepat. Klien sekarang berpikir tentang kontainerisasi dan layanan mikro alih-alih menyediakan penyerang dengan jenis target jaringan lunak dan lengket yang umum pada tahun 2017 dan sebelumnya. Ini mungkin sebagian terkait dengan WannaCry, tetapi juga kemungkinan karena fakta bahwa perimeter jaringan perusahaan telah bergeser.
Dalam jaringan saat ini, tidak jarang menemukan banyak server yang mungkin tidak memiliki akses ke workstation. Sebagai gantinya, pengguna dapat mengakses data cloud melalui agen. Cloud aman menambahkan sedikit kerumitan pada kebijakan keamanan dan memperumit beberapa alur kerja, tetapi juga meningkatkan postur keamanan dalam banyak hal. Isolasi berbasis cloud berarti organisasi tidak lagi beroperasi pada satu jaringan besar.
Peralihan dari jaringan hard candy di masa lalu juga telah memengaruhi hak istimewa pengguna. Scott melihat ini sebagai hal positif utama dalam bertahan melawan ancaman persisten lanjutan (APT) dan akun istimewa. Yang paling penting, banyak organisasi beralih ke model akses berbasis kepercayaan dan berbasis kebutuhan alih-alih menunjuk pengguna super dan merancang ulang hak istimewa.
Namun, tiga tahun setelah worm WannaCry, biaya untuk bangkit kembali dari ransomware dan APT yang sangat ditargetkan berada pada titik tertinggi sepanjang masa. Ini sangat membingungkan. Tahun lalu, biaya pemulihan rata-rata untuk pelanggaran data adalah 3,92 juta USD, menurut Laporan Biaya Pelanggaran Data 2019. Biaya pemulihan dari serangan yang sangat merusak adalah 239 juta USD, atau 61 kali lebih mahal daripada insiden rata-rata yang melibatkan kehilangan data.
Aktor ancaman semakin berani dan lebih memperhitungkan untuk menuntut dengan tepat jumlah uang yang mereka pikir senilai dengan data korban. Ransomware komersial pada tahun 2020 tidak dimaksudkan untuk menyebar secara viral di seluruh jaringan atau menargetkan ratusan ribu titik akhir yang belum ditambal. Sebaliknya, aktor ancaman menargetkan perusahaan yang cenderung membayar uang tebusan dalam jutaan.
Aktor ancaman memusatkan perhatian pada korban untuk memastikan mereka menyerang semua sistem yang tepat untuk menciptakan lingkungan teror, bahkan seringkali sampai ke server cadangan untuk mencoba memaksa korban untuk membayar uang tebusan.
Peningkatan kolaborasi telah menjadi salah satu dampak paling positif dalam tiga tahun terakhir. WannaCry mungkin telah menjadi semacam pemicu dalam meningkatnya kolaborasi antara industri, sektor publik dan pembuat kebijakan internasional.
Saya berbicara dengan Mike Barcomb, direktur program di X-Force Incident Command, untuk mendapatkan pandangannya tentang perubahan ini.
“Telah menjadi fokus berbagai perusahaan untuk membangun program [tanggap insiden] ini, tetapi juga untuk bekerja sama dengan rekan-rekan dan bisnis lain di industri ini”, kata Barcomb. “Mereka menciptakan energi di mana mereka dapat saling berbagi praktik terbaik dan informasi ancaman tentang aktor ancaman, hal-hal yang telah mereka temui dan alami.
“Mereka menciptakan energi di mana mereka dapat saling berbagi praktik terbaik dan informasi ancaman tentang aktor ancaman, hal-hal yang telah mereka temui dan alami.”
“Sangat menggembirakan melihat perusahaan bekerja sama untuk membangun pertahanan terhadap ancaman.”
Elemen kesiapan manusia sama pentingnya dengan kesiapan teknologi dalam memastikan kebersihan siber yang tepat, kata Kurt Rohrbacher, pimpinan IBM X-Force Threat Intelligence Amerika Utara. Satu-satunya cara terbaik organisasi dapat bersiap untuk setiap insiden global adalah dengan memikirkan apa yang terjadi jika kontrol gagal, dan mempertimbangkan bobot setiap keputusan.
“Orang sering tidak menyadari bahwa [bagaimana] beberapa jam pertama saat suatu insiden terjadi sering kali menentukan apakah Anda akan berurusan dengan ini selama sehari, seminggu, sebulan, atau dalam beberapa kasus, satu tahun”, kata Rohrbacher. “Mengidentifikasi langkah-langkah yang akan Anda ambil sejak awal insiden akan menentukan respons Anda secara keseluruhan.”
“Mengidentifikasi langkah-langkah yang akan Anda ambil sejak awal insiden akan menentukan respons Anda secara keseluruhan.”
Pernyataan ini benar-benar saya pahami karena kita sering meremehkan dampak stres dan kepanikan terhadap kemampuan pengambilan keputusan kita. Keputusan yang tampaknya kecil ini dapat membuat perbedaan antara jutaan dolar dan pemulihan bertahun-tahun atau berbulan-bulan.
Scott mengatakan kepada saya bahwa itu memberinya harapan saat dia mulai melihat pergeseran di indikator kinerja utama (KPI), yang merupakan bidang yang sangat dia sukai. Dia sering bertanya kepada timnya, “Bagaimana kita melacak dan benar-benar memberi insentif kepada orang-orang untuk melakukan pekerjaan dengan benar?”
Dalam kasus analis SOC, metrik yang berfokus pada kecepatan resolusi dan kerangka waktu dapat menjadi kontraproduktif. Analis SOC dapat teralihkan jika mereka beroperasi di lingkungan yang terlalu fokus pada efisiensi. Mereka mungkin menutup tiket masalah sebelum menyelesaikan penyelidikan dan melewatkan gambaran yang lebih besar, seperti titik infiltrasi serangan.
Kebiasaan kebersihan dan tambalan siber industri mungkin tidak meningkat secara terukur sejak Mei 2017, tetapi sebagian besar pakar sepakat bahwa kita akan lebih siap hari ini daripada sebelumnya, bahkan di luar organisasi yang telah menghadapi serangan ransomware. Ini tentang pergeseran elemen manusia dari keamanan siber.
Rohrbacher tertawa kecil ketika saya bertanya bagaimana perusahaan dan profesional keamanan siber mempersiapkan diri untuk hal yang tak terduga. Dia mengangkat bahu dan berkata, “Yah, tidak ada yang seperti kejadian yang nyata.”
Dia mengatakan kepada saya insiden nyata, seperti WannaCry, meningkatkan kesadaran dan kesiapan. Di luar itu, hampir semua pakar respons insiden yang saya ajak bicara setuju bahwa simulasi sangatlah penting, sama seperti latihan triwulanan dan tes alat komunikasi reguler sangat penting untuk membangun memori otot.
Dia menunjuk simulasi phishing dan aktivitas jangkauan siber sebagai dua cara organisasi dapat mempersiapkan hal yang tak terduga. Rohrbacher mengatakan jika latihan atau simulasi benar-benar mengajak orang terlibat dalam situasi tersebut dan mendorong mereka untuk menikmati prosesnya, mereka lebih cenderung mendapatkan pelajaran probadi tentang cara merespons dengan lebih baik.
Saya terus dikejutkan oleh kesamaan antara pandemi COVID-19 saat ini dan serangan WannaCry. Jam-jam awal serangan terasa sangat mirip dengan Maret 2020 ketika semua orang pindah ke mode krisis mencoba memproses situasi yang belum pernah ada sebelumnya. Sekarang, ketika pandemi terus berlangsung, rasanya mirip dengan saat kita masih menemukan infeksi WannaCry hingga hari ini. Pandemi kemungkinan mempengaruhi sebagian besar dari kita pada tingkat yang lebih pribadi. Tetapi kedua krisis mempengaruhi kehidupan kita sehari-hari dengan cara yang tidak dapat dibayangkan atau diprediksi oleh siapa pun.
Pelajaran utama dari kedua peristiwa itu bermuara pada kesiapan. Baik WannaCry maupun pandemi membuat semua orang terkejut. Ini menimbulkan pertanyaan kuno tentang bagaimana mempersiapkan diri untuk sesuatu yang sama sekali belum pernah terjadi sebelumnya.
Yang terlintas di benak kebanyakan orang ketika memikirkan tentang kesiapan adalah rencana strategis, simulasi, pendidikan, dan penggunaan alat, seperti cadangan untuk pemulihan. Namun, langkah-langkah ini hanya efektif sampai batas tertentu ketika serangan baru terjadi dan tidak ada rencana jelas untuk menghadapi apa yang sebenarnya terjadi. Saya pikir itu benar-benar bermuara pada mengambil pandangan dan pendekatan baru.
“Ketika Anda berada di tengah-tengah krisis, semuanya kecuali memori otot akan keluar jendela.”
Sesuatu yang dikatakan Rohrbacher terus terlintas dalam pikiran: “Ketika Anda berada di tengah-tengah krisis, semuanya kecuali memori otot keluar jendela.”
Tentu saja, kita harus dapat menerapkan teknologi, dan membuat rencana dan cadangan opsi pemulihan. Tetapi kita juga harus fokus pada menciptakan kepercayaan diri dan memori otot untuk setiap pekerja respons insiden.
Kepercayaan diri bukanlah sesuatu yang terbentuk dalam satu sesi latihan atau sekadar kotak yang bisa tinggal dicentang. Ini adalah perubahan mendasar dalam budaya dan proses. Kesiapan bermuara pada memberdayakan individu untuk merasa cukup percaya diri untuk memegang kendali. Anda ingin tim Anda menarik napas dalam-dalam dan berkata, “OK, saya mampu menanganinya”, bahkan ketika hal yang tak terduga terjadi.
Jasmine Henry berkontribusi dalam pelaporan cerita ini.