Serangan siber adalah upaya yang disengaja untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan data, aplikasi, atau aset lainnya melalui akses tidak sah ke jaringan, sistem komputer, atau perangkat digital.
Pelaku ancaman melancarkan serangan siber dengan berbagai macam alasan, mulai dari pencurian kecil-kecilan hingga tindakan perang. Mereka menggunakan berbagai taktik, seperti serangan malware, penipuan rekayasa sosial, dan pencurian kata sandi, untuk mendapatkan akses tidak sah ke sistem target mereka.
Serangan siber dapat mengganggu, merusak, dan bahkan menghancurkan bisnis. Biaya rata-rata pelanggaran data adalah USD 4,35 juta. Biaya ini sudah termasuk biaya untuk menemukan dan menanggapi pelanggaran, waktu henti dan hilangnya pendapatan, serta kerusakan reputasi jangka panjang pada bisnis dan mereknya.
Tetapi beberapa serangan siber bisa jauh lebih mahal daripada yang lain. Serangan Ransomware pernah meminta bayaran uang tebusan sebesar 40 juta USD (tautan berada di luar ibm.com). Penipuan business email compromise (BEC) mencuri sebanyak 47 juta USD dari korban dalam satu serangan (tautan berada di luar ibm.com). Serangan siber yang membahayakan informasi identitas pribadi (PII) pelanggan dapat menyebabkan hilangnya kepercayaan pelanggan, denda peraturan, dan bahkan tindakan hukum. Dengan satu perkiraan, kejahatan dunia maya akan merugikan ekonomi dunia sebesar 10,5 triliun USD per tahun pada tahun 2025 (tautan berada di luar ibm.com).
Motivasi di balik serangan siber bisa bermacam-macam, tetapi ada tiga kategori utama: kriminal, politik, dan pribadi.
Penyerang yang bermotivasi kriminal mencari keuntungan finansial melalui pencurian moneter, pencurian data, atau gangguan bisnis. Penjahat siber dapat meretas rekening bank untuk mencuri uang secara langsung atau menggunakan penipuan rekayasa sosial untuk mengelabui orang agar mengirim uang kepada mereka. Peretas dapat mencuri data dan menggunakannya untuk melakukan pencurian identitas atau menjualnya di web gelap atau menahannya untuk tebusan.
Pemerasan adalah taktik populer lainnya. Peretas dapat menggunakan ransomware, serangan DDoS, atau taktik lain untuk menyandera data atau perangkat hingga perusahaan membayar. Menurut Indeks Intelijen Ancaman X-Force, 27 persen serangan siber bertujuan untuk memeras korbannya.
Penyerang bermotivasi pribadi, seperti karyawan saat ini atau mantan karyawan yang tidak puas, terutama mencari pembalasan atas beberapa hal yang dianggap kecil. Mereka mungkin mengambil uang, mencuri data sensitif, atau mengganggu sistem perusahaan.
Penyerang bermotivasi politik sering dikaitkan dengan cyberwarfare, cyberterrorism, atau hacktivisme. " " Dalam perang siber, pelaku negara-bangsa sering menargetkan lembaga pemerintah musuh mereka atau infrastruktur penting. Misalnya, sejak dimulainya Perang Rusia-Ukraina, kedua negara telah mengalami sejumlah serangan siber terhadap lembaga-lembaga vital (tautan berada di luar ibm.com). Peretas aktivis, yang disebut "hacktivist," mungkin tidak menyebabkan kerusakan luas pada target mereka. Sebaliknya, mereka biasanya mencari perhatian untuk tujuan mereka dengan membuat serangan mereka diketahui publik.
Motivasi serangan siber yang kurang umum termasuk spionase perusahaan, di mana peretas mencuri kekayaan intelektual untuk mendapatkan keuntungan yang tidak adil dari pesaing, dan peretas main hakim sendiri yang mengeksploitasi kerentanan sistem untuk memperingatkan orang lain tentang kerentanan tersebut. Beberapa peretas hanya meretas untuk olahraga, menikmati tantangan intelektual.
Organisasi kriminal, pelaku negara, dan orang pribadi semuanya dapat meluncurkan serangan siber. Salah satu cara untuk mengklasifikasikan pelaku ancaman adalah dengan mengkategorikan mereka sebagai ancaman dari luar atau ancaman dari dalam.
Ancaman orang luar tidak diizinkan untuk menggunakan jaringan atau perangkat tetapi tetap bisa masuk. Pelaku ancaman siber eksternal termasuk kelompok kriminal terorganisir, peretas profesional, pelaku yang disponsori negara, peretas amatir, dan hacktivist.
Ancaman orang dalam adalah pengguna yang memiliki akses resmi dan sah ke aset perusahaan dan menyalahgunakan hak istimewa mereka secara sengaja atau tidak sengaja. Kategori ini mencakup karyawan, mitra bisnis, klien, kontraktor, dan pemasok yang memiliki akses ke sistem.
Meskipun pengguna yang lalai dapat membuat perusahaan mereka berada dalam risiko, serangan siber hanya terjadi jika pengguna dengan sengaja menggunakan hak istimewa mereka untuk melakukan aktivitas jahat. Seorang karyawan yang dengan ceroboh menyimpan informasi sensitif dalam drive yang tidak aman tidak melakukan serangan siber - tetapi karyawan yang tidak puas yang dengan sengaja membuat salinan data rahasia untuk keuntungan pribadi.
Pelaku ancaman biasanya membobol jaringan komputer karena mereka mengincar sesuatu yang spesifik. Target umum meliputi:
- Uang
- Data keuangan bisnis
- Daftar klien
- Data pelanggan, termasuk informasi yang dapat diidentifikasi secara pribadi (PII) atau data pribadi sensitif lainnya
- Alamat email dan kredensial login
- Kekayaan intelektual, seperti rahasia dagang atau desain produk
Dalam beberapa kasus, penyerang siber tidak ingin mencuri apa pun. Sebaliknya, mereka hanya ingin mengganggu sistem informasi atau infrastruktur TI untuk merusak bisnis, lembaga pemerintah, atau target lainnya.
Jika berhasil, serangan siber dapat merugikan perusahaan. Serangan ini ini dapat menyebabkan waktu henti, kehilangan data, dan kehilangan uang. Sebagai contoh:
- Peretas dapat menggunakan malware atau serangan denial-of-service untuk menyebabkan kerusakan sistem atau server. Waktu henti ini dapat menyebabkan gangguan layanan yang besar dan kerugian finansial. Menurut laporan Biaya Pelanggaran Data, rata-rata pelanggaran mengakibatkan kerugian bisnis sebesar USD 1,42 juta.
- Serangan injeksi SQL memungkinkan peretas untuk mengubah, menghapus, atau mencuri data dari sebuah sistem.
- Serangan phishing memungkinkan para peretas mengelabui orang-orang untuk mengirim uang atau informasi sensitif kepada mereka.
- Serangan ransomware dapat melumpuhkan sebuah sistem hingga perusahaan membayar tebusan kepada penyerang. Menurut sebuah laporan (tautan berada di luar ibm.com), rata-rata pembayaran tebusan adalah USD 812.360.
Selain secara langsung merugikan target, serangan siber dapat memiliki sejumlah biaya dan konsekuensi sekunder. Sebagai contoh, laporan Biaya Pelanggaran Data menemukan bahwa bisnis menghabiskan rata-rata USD 2,62 juta untuk mendeteksi, merespons, dan memulihkan pelanggaran.
Serangan siber juga dapat berdampak pada korban di luar target langsung. Pada tahun 2021, geng ransomware DarkSide menyerang Colonial Pipeline, sistem pipa minyak sulingan terbesar di AS. Para penyerang memasuki jaringan perusahaan dengan menggunakan kata sandi yang telah disusupi (tautan berada di luar ibm.com). Mereka menutup jalur pipa yang membawa 45% gas, diesel, dan bahan bakar jet yang dipasok ke Pantai Timur AS, yang menyebabkan kelangkaan bahan bakar yang meluas.
Para penjahat siber menuntut tebusan hampir USD 5 juta dalam bentuk mata uang kripto bitcoin, yang telah dibayarkan oleh Colonial Pipeline (tautan berada di luar ibm.com). Namun, dengan bantuan dari pemerintah AS, perusahaan tersebut akhirnya mendapatkan kembali uang tebusan sebesar USD 2,3 juta.
Penjahat siber menggunakan banyak alat dan teknik canggih untuk melancarkan serangan siber terhadap sistem TI perusahaan, komputer pribadi, dan target lainnya. Beberapa jenis serangan siber yang paling umum meliputi:
Malware adalah perangkat lunak berbahaya yang dapat membuat sistem yang terinfeksi tidak dapat dioperasikan. Malware dapat menghancurkan data, mencuri informasi, atau bahkan menghapus file yang penting untuk kemampuan sistem operasi untuk dijalankan. Malware hadir dalam berbagai bentuk, termasuk:
- Trojan horse menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya. Trojan akses jarak jauh (remote access Trojan/RAT) menciptakan backdoor rahasia pada perangkat korban, sementara Trojan dropper menginstal malware tambahan setelah mendapatkan pijakan.
- Ransomware adalah malware canggih yang menggunakan enkripsi kuat untuk menyandera data atau sistem. Penjahat siber kemudian meminta pembayaran sebagai imbalan untuk melepaskan sistem dan memulihkan fungsionalitas. Menurut X-ForceThreat Intelligence Index dari IBM, ransomware merupakan jenis serangan siber yang paling umum kedua, dengan persentase sebesar 17% dari seluruh serangan.
- Scareware menggunakan pesan palsu untuk menakut-nakuti korban agar mengunduh malware atau memberikan informasi sensitif kepada penipu.
- Spyware adalah jenis malware yang secara diam-diam mengumpulkan informasi sensitif, seperti nama pengguna, kata sandi, dan nomor kartu kredit. Program ini kemudian mengirimkan informasi ini kembali ke peretas.
- Rootkit adalah paket malware yang memungkinkan peretas untuk mendapatkan akses tingkat administrator ke sistem operasi komputer atau aset lainnya.
- Worm adalah kode berbahaya yang mereplikasi diri sendiri yang dapat menyebar secara otomatis di antara aplikasi dan perangkat.
Serangan rekayasa sosial memanipulasi orang untuk melakukan hal-hal yang seharusnya tidak mereka lakukan, seperti membagikan informasi yang seharusnya tidak mereka bagikan, mengunduh perangkat lunak yang seharusnya tidak mereka unduh, atau mengirimkan uang kepada penjahat.
Phishing adalah salah satu serangan rekayasa sosial yang paling luas. Menurut laporan Biaya Pelanggaran Data, phising ini merupakan penyebab pelanggaran paling umum kedua. Penipuan phishing yang paling dasar menggunakan email atau pesan teks palsu untuk mencuri kredensial pengguna, menyusup ke data sensitif, atau menyebarkan malware. Pesan phishing sering kali dirancang agar terlihat seolah-olah berasal dari sumber yang sah. Mereka biasanya mengarahkan korban untuk mengklik hyperlink yang membawa mereka ke situs web berbahaya atau membuka lampiran email yang ternyata adalah malware.
Penjahat siber juga telah mengembangkan metode phishing yang lebih canggih. Spear phishing adalah serangan yang sangat ditargetkan yang bertujuan untuk memanipulasi individu tertentu, sering kali menggunakan detail dari profil media sosial publik korban untuk membuat tipu muslihat lebih meyakinkan. Whale phishing adalah jenis spear phishing yang secara khusus menargetkan pejabat tinggi perusahaan. Dalam penipuan business email compromise (BEC), penjahat siber menyamar sebagai eksekutif, vendor, atau rekan bisnis lainnya untuk mengelabui korban agar mentransfer uang atau membagikan data sensitif.
Serangan denial-of-service (DoS) dan distributed denial-of-service (DDoS) membanjiri sumber daya sistem dengan lalu lintas penipuan. Lalu lintas ini membebani sistem, sehingga tidak dapat merespons permintaan yang sah dan mengurangi kemampuan sistem untuk berkinerja. Serangan denial-of-service mungkin merupakan tujuan itu sendiri atau pengaturan untuk serangan lain.
Perbedaan antara serangan DoS dan serangan DDoS hanyalah bahwa serangan DoS menggunakan satu sumber untuk menghasilkan lalu lintas palsu, sedangkan serangan DDoS menggunakan banyak sumber. Serangan DDoS sering kali dilakukan dengan botnet, sebuah jaringan perangkat yang terhubung ke internet dan terinfeksi malware yang berada di bawah kendali peretas. Botnet dapat mencakup laptop, ponsel pintar, dan perangkat Internet of Things (IoT). Para korban sering kali tidak tahu kapan botnet telah membajak perangkat mereka.
Kompromi akun adalah serangan apa pun di mana peretas membajak akun pengguna yang sah untuk aktivitas jahat. Penjahat siber dapat membobol akun pengguna dengan berbagai cara. Mereka bisa mencuri kredensial melalui serangan phishing atau membeli database kata sandi yang dicuri dari web gelap. Mereka dapat menggunakan alat serangan kata sandi seperti Hashcat dan John the Ripper untuk membobol enkripsi kata sandi atau melakukan serangan brute force, di mana mereka menjalankan skrip otomatis atau bot untuk menghasilkan dan menguji kata sandi potensial hingga berhasil.
Dalam serangan man-in-the-middle (MiTM), juga disebut"serangan menguping," seorang peretas diam-diam mencegat komunikasi antara dua orang atau antara pengguna dan server. Serangan MitM biasanya dilakukan melalui jaringan wifi publik yang tidak aman, di mana pelaku ancaman relatif mudah memata-matai lalu lintas.
Peretas dapat membaca email pengguna atau bahkan secara diam-diam mengubah email sebelum sampai ke penerima. Dalam serangan pembajakan sesi, peretas mengganggu koneksi antara pengguna dan server yang menyimpan aset penting, seperti database perusahaan yang bersifat rahasia. Peretas menukar alamat IP mereka dengan alamat IP pengguna, membuat server mengira bahwa mereka adalah pengguna yang sah yang masuk ke dalam sesi yang sah. Tindakan ini memberikan peretas kebebasan untuk mencuri data atau membuat kekacauan.
Serangan rantai pasokan adalah serangan siber di mana peretas membobol perusahaan dengan menargetkan vendor perangkat lunak, pemasok material, dan penyedia layanan lainnya. Karena vendor sering kali terhubung ke jaringan pelanggan mereka dengan cara tertentu, peretas dapat menggunakan jaringan vendor sebagai vektor serangan untuk mengakses beberapa target sekaligus.
Sebagai contoh, pada tahun 2020, pelaku negara Rusia meretas vendor perangkat lunak SolarWinds dan mendistribusikan malware kepada para pelanggannya dengan kedok pembaruan perangkat lunak (tautan berada di luar ibm.com). Malware ini memungkinkan mata-mata Rusia mengakses data sensitif dari berbagai lembaga pemerintah AS yang menggunakan layanan SolarWinds, termasuk Departemen Keuangan, Kehakiman, dan Luar Negeri.
Serangan cross-site scripting (XSS) memasukkan kode berbahaya ke halaman web atau aplikasi web yang sah. Saat pengguna mengunjungi situs atau aplikasi, kode secara otomatis berjalan di browser web pengguna, biasanya mencuri informasi sensitif atau mengalihkan pengguna ke situs web palsu dan berbahaya. Penyerang sering menggunakan JavaScript untuk serangan XSS.
Serangan injeksi SQL menggunakan Structured Query Language (SQL) untuk mengirimkan perintah berbahaya ke database backend situs web atau aplikasi. Peretas memasukkan perintah melalui bidang yang berhadapan dengan pengguna seperti bilah pencarian dan jendela login. Perintah tersebut kemudian diteruskan ke database, memintanya untuk mengembalikan data pribadi seperti nomor kartu kredit atau detail pelanggan.
Kanalisasi DNS menyembunyikan lalu lintas berbahaya di dalam paket DNS, sehingga memungkinkannya untuk menerobos dinding api dan langkah-langkah keamanan lainnya. Penjahat siber menggunakan kanalisasi DNS untuk membuat saluran komunikasi rahasia, yang dapat mereka gunakan untuk mengekstrak data secara diam-diam atau membuat koneksi antara malware dan server command and control (C&C).
Eksploitasi zero-day memanfaatkan kerentanan zero-day, yang merupakan kerentanan yang tidak diketahui oleh komunitas keamanan atau teridentifikasi tetapi belum ditambal. Kerentanan ini bisa ada selama berhari-hari, berbulan-bulan, atau bertahun-tahun sebelum pengembang mengetahui kekurangannya, menjadikannya target utama bagi para peretas.
Serangan tanpa file menggunakan kerentanan pada program perangkat lunak yang sah untuk menyuntikkan kode berbahaya secara langsung ke dalam memori komputer. Penjahat siber sering menggunakan PowerShell, alat skrip yang ada di dalam sistem operasi Microsoft Windows, untuk menjalankan skrip berbahaya yang mengubah konfigurasi atau mencuri kata sandi.
Serangan spoofing DNS, juga disebut "peracunan DNS," diam-diam mengedit catatan DNS untuk mengganti alamat IP asli situs web dengan yang palsu. Ketika korban mencoba mengunjungi situs yang sebenarnya, mereka tanpa sadar dikirim ke salinan berbahaya yang mencuri data mereka atau menyebarkan malware.
Organisasi dapat mengurangi serangan siber dengan menerapkan sistem dan strategi keamanan siber. Keamanan siber adalah praktik melindungi sistem penting dan informasi sensitif dari serangan digital dengan menggunakan kombinasi teknologi, manusia, dan proses.
Banyak organisasi menerapkan strategi manajemen ancaman untuk mengidentifikasi dan melindungi aset dan sumber daya terpenting mereka. Manajemen ancaman dapat mencakup kebijakan dan solusi keamanan seperti:
- Platform dan kebijakan manajemen identitas dan akses (IAM ),termasuk akses dengan hak istimewa, autentikasi multi-faktor, dan kebijakan kata sandi yang kuat, dapat membantu memastikan hanya orang yang tepat yang dapat mengakses sumber daya yang tepat. Perusahaan mungkin juga mewajibkan karyawan jarak jauh untuk menggunakan virtual private network (VPN) saat mengakses sumber daya sensitif melalui wifi yang tidak aman.
- Platform keamanan data yang komprehensif dan alat pencegahan kehilangan data (DLP ) dapat mengenkripsi data sensitif, memantau akses dan penggunaannya, dan meningkatkan peringatan ketika aktivitas mencurigakan terdeteksi. Organisasi juga bisa membuat cadangan data secara teratur untuk meminimalkan kerusakan jika terjadi pelanggaran.
- Firewall dapat membantu memblokir pelaku ancaman agar tidak memasuki jaringan sejak awal. Firewall juga dapat memblokir lalu lintas berbahaya yang mengalir keluar dari jaringan, seperti malware yang mencoba berkomunikasi dengan server perintah dan kontrol.
- Pelatihan kesadaran keamanan dapat membantu pengguna mengidentifikasi dan menghindari beberapa vektor serangan siber yang paling umum, seperti phishing dan serangan rekayasa sosial lainnya.
- Kebijakan manajemen kerentanan, termasuk jadwal manajemen patch dan pengujian penetrasi rutin, dapat membantu menangkap dan menutup kerentanan sebelum peretas dapat mengeksploitasinya.
- Alat manajemen permukaan serangan (ASM) dapat mengidentifikasi, membuat katalog, dan memulihkan aset yang berpotensi rentan sebelum penyerang siber menemukannya.
- Alat manajemen titik akhir terpadu (UEM ) dapat menerapkan kebijakan dan kontrol keamanan di seluruh titik akhir di jaringan perusahaan, termasuk laptop, desktop, dan perangkat seluler.
Tidak mungkin mencegah upaya serangan siber sepenuhnya, sehingga organisasi juga dapat menggunakan pemantauan keamanan berkelanjutan dan proses deteksi dini untuk mengidentifikasi dan menandai serangan siber yang sedang berlangsung. Contohnya antara lain:
- Sistem informasi keamanan dan manajemen peristiwa (SIEM )memusatkan dan melacak peringatan dari berbagai alat keamanan siber internal, termasuk sistem deteksi intrusi (IDS), sistem deteksi dan respons titik akhir (EDR), dan solusi keamanan lainnya.
- Platform intelijen ancaman memperkaya peringatan keamanan untuk membantu tim keamanan memahami jenis-jenis ancaman keamanan siber yang mungkin mereka hadapi.
- Perangkat lunak antivirus dapat memindai sistem komputer secara teratur untuk mencari program jahat dan secara otomatis membasmi malware yang teridentifikasi.
- Proses perburuan ancaman secara proaktif dapat melacak ancaman siber yang diam-diam mengintai di jaringan, seperti ancaman persisten tingkat lanjut (advanced persistent threats/APT).
Organisasi juga dapat mengambil langkah-langkah untuk memastikan respons yang tepat terhadap serangan siber yang sedang berlangsung dan peristiwa keamanan siber lainnya. Contohnya antara lain:
- Rencana respons insiden dapat membantu mengatasi dan membasmi berbagai jenis serangan siber, memulihkan sistem yang terdampak, dan menganalisis akar penyebab untuk mencegah serangan di masa mendatang. Incident response plan terbukti mengurangi biaya keseluruhan serangan siber. Menurut laporan Biaya Pelanggaran Data, organisasi yang memiliki incident response team dan incident response plan formal memiliki rata-rata biaya pelanggaran 58% lebih rendah.
- Solusi orkestrasi, otomatisasi, dan respons keamanan (SOAR ) memungkinkan tim keamanan untuk mengoordinasikan alat keamanan yang berbeda dalam pedoman semi otomatis atau sepenuhnya otomatis untuk merespons serangan siber secara real-time.
- Solusi deteksi dan respons yang diperluas (XDR ) mengintegrasikan alat dan operasi keamanan di seluruh lapisan keamanan-pengguna, titik akhir, email, aplikasi, jaringan, beban kerja cloud, dan data. XDR dapat membantu mengotomatiskan proses pencegahan, deteksi, investigasi, dan respons serangan siber yang kompleks, termasuk perburuan ancaman secara proaktif.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR - semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim tanggap insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Untuk mencegah dan menanggulangi ancaman ransomware modern, IBM menggunakan wawasan dari 800 TB data aktivitas ancaman, informasi tentang lebih dari 17 juta serangan spam dan phishing, serta data reputasi pada hampir 1 juta alamat IP berbahaya dari jaringan 270 juta titik akhir.
Laporan Cost of a Data Breach berbagi wawasan terbaru tentang lanskap ancaman yang berkembang dan menawarkan rekomendasi tentang cara menghemat waktu dan membatasi kerugian.
IBM Security® X-Force® Threat Intelligence Index menawarkan wawasan yang dapat ditindaklanjuti kepada CISO, tim keamanan, dan pemimpin bisnis untuk membantu Anda memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Kerangka kerja persiapan dan eksekusi serangan siber X-Force memberikan alur logis yang mewakili serangan saat ini dan menggabungkan fase-fase yang biasanya tidak disertakan dalam kerangka kerja lain.