Dalam lanskap ancaman siber yang terus berubah, strategi pertahanan yang hanya berfokus pada patch dan teknologi perimeter tidak lagi cukup. Laporan terbaru dari Sophos — 2026 Sophos Active Adversary Report — menunjukkan bahwa mayoritas insiden siber yang ditangani tim keamanan berasal dari serangan terkait identitas, bukan dari eksploitasi kerentanan tradisional.
Laporan ini didasarkan pada analisis 661 kasus yang ditangani oleh tim Incident Response (IR) dan Managed Detection and Response (MDR) Sophos antara 1 November 2024 dan 31 Oktober 2025, mencakup organisasi di 70 negara dan 34 industri.
Temuan Utama: Identitas Adalah Titik Lemah Terbesar
Salah satu temuan paling mencolok adalah serangan terkait identitas mendominasi sebagian besar kasus. Sekitar 67 % insiden yang diteliti berakar pada kelemahan identitas, seperti:
- kredensial yang dicuri atau disusupi
- serangan brute‑force
- phishing yang berhasil mencuri informasi login
- token autentikasi yang dikompromikan
Ini menunjukkan perubahan pola serangan yang signifikan. Alih‑alih mengandalkan eksploitasi kerentanan teknis di aplikasi atau perangkat keras, penyerang kini lebih sering masuk dengan cara “membajak” identitas yang sah karena pertahanan identitas yang rapuh.
Tidak hanya itu, serangan brute‑force — upaya menebak kredensial melalui percobaan berulang — hampir menyamai metode eksploitasi kerentanan tradisional sebagai jalan masuk awal.
Waktu Serangan Semakin Cepat
Laporan juga menunjukkan bahwa penyerang bergerak sangat cepat setelah memperoleh akses awal. Dalam banyak kasus, waktu yang dibutuhkan sampai mereka mencapai layanan penting seperti Active Directory hanya sekitar 3,4 jam setelah masuk.
Hal ini berarti organisasi harus bisa mendeteksi dan merespons ancaman dalam hitungan jam, bukan hari atau minggu. Bahkan rata‑rata dwell time (periode di mana penyerang tetap berada dalam sistem sebelum terdeteksi) turun menjadi sekitar tiga hari, sebuah tanda bahwa sebagian organisasi sudah meningkatkan kemampuan deteksi mereka.
Serangan Terjadi Saat “Waktu Diam” Organisasi
Anomali lain yang diungkap oleh laporan ini adalah bahwa sebagian besar serangan ransomware dan data exfiltration terjadi di luar jam kerja normal:
- sekitar 88 % ransomware diluncurkan saat organisasi tidak aktif
- sekitar 79 % upaya pencurian data (exfiltration) terjadi di luar jam kerja
Ini menunjukkan strategi penyerang yang sengaja memanfaatkan waktu ketika pemantauan manusia lebih rendah atau staf keamanan tidak sepenuhnya aktif.
Kekurangan MFA Menguatkan Risiko Identitas
MFA (Multi‑Factor Authentication) sering disebut sebagai lapisan penting untuk mengamankan akses pengguna. Namun laporan ini menemukan bahwa sekitar 59 % kasus tidak menggunakan MFA yang tangguh, membuka celah besar untuk serangan berbasis kredensial.
Tanpa MFA yang kuat — terutama yang tahan terhadap phishing — kredensial yang dicuri atau disalahgunakan akan tetap memberikan penyerang cara mudah masuk ke jaringan organisasi.
Beberapa Ancaman Lain yang Masih Relevan
Selain identitas, laporan ini juga mencatat beberapa aspek lain:
🔹 Jumlah kelompok ancaman (threat groups) yang aktif mencapai rekor tertinggi, menunjukkan lingkungan ancaman yang semakin kompleks dan sulit diatribusi.
🔹 Meskipun kerentanan yang dieksploitasi langsung tetap terjadi, penyerang lebih sering fokus pada akses akun sah daripada mengeksploitasi bug perangkat lunak.
🔹 Kasus data exfiltration (pencurian data) mencapai level tertinggi sejak laporan Active Adversary pertama kali diluncurkan, menunjukkan semakin banyak penyerang yang berniat mendapatkan data berguna sebelum atau tanpa melakukan ransomware.
AI Belum Mengubah Perilaku Penyerang secara Fundamental
Banyak prediksi menyatakan kecerdasan buatan akan menjadi “game changer” dalam teknik serangan siber. Namun laporan ini menemukan bahwa penggunaan AI generatif dalam serangan nyata pada 2025 belum mencapai tingkat yang mengubah fundamental taktik penyerang.
Walaupun GenAI digunakan untuk memperhalus pesan phishing atau membuat konten sosial engineering lebih meyakinkan, banyak serangan masih menggunakan teknik dasar tetapi efektif seperti phishing, penebakan kata sandi, dan penyalahgunaan kredensial yang sah.
Apa Artinya Ini untuk Organisasi Anda?
Temuan laporan ini membawa beberapa pelajaran penting yang harus direspons oleh pemimpin keamanan dan organisasi:
1. Perkuat Perlindungan Identitas
Identitas adalah target utama. Menggunakan MFA yang tahan phishing, sistem IAM (Identity and Access Management) yang ketat, serta penguncian akun akan mengurangi risiko awal akses yang sukses.
2. Perluas Pengawasan & Retensi Log
Kurangnya telemetry atau data log yang disimpan terlalu singkat dapat menghambat deteksi serangan. Organisasi harus memastikan penyimpanan log lebih lama dan pemantauan yang efektif agar dapat melakukan analisis insiden dengan baik.
3. Siapkan Monitoring 24/7
Karena banyak serangan terjadi saat jam kerja rendah, memiliki pemantauan aktif sepanjang waktu — melalui MDR atau SOC — akan sangat menentukan kemampuan merespons cepat.
4. Kurangi Eksposur Sistem Identitas & Akses
Mengurangi jumlah layanan identitas yang internet‑facing atau tidak perlu, serta menerapkan prinsip least privilege, akan memperkecil peluang penyerang mendapatkan foothold dari luar.
Kesimpulan: Fokus Pada Identitas Adalah Kunci Keamanan 2026
2026 Sophos Active Adversary Report menyoroti pergeseran besar dalam lanskap ancaman: identitas kini menjadi pintu masuk utama bagi penyerang. Sementara eksploitasi kerentanan masih terjadi, serangan berbasis kredensial yang disalahgunakan jauh lebih umum dan efektif.
Organisasi yang ingin tetap tangguh di 2026 dan seterusnya harus fokus memperkuat strategi identitas mereka, meningkatkan kemampuan deteksi dan respon waktu nyata, serta memastikan bahwa seluruh strategi keamanan diperkuat dengan praktik terbaik dalam IAM, MFA, dan pemantauan log.
Lindungi bisnis Anda dari ancaman siber dengan solusi terpercaya dari Sophos Indonesia.
Jika Anda ingin memastikan keamanan data, jaringan, dan sistem perusahaan tetap maksimal, tim Sophos Indonesia siap menghadirkan proteksi multi-layer berbasis AI yang dirancang sesuai kebutuhan spesifik bisnis Anda.
Bersama mitra resmi kami, PT. iLogo Infralogy Indonesia, Anda akan mendapatkan konsultasi lengkap dan pendampingan implementasi, sehingga keamanan siber perusahaan berjalan optimal tanpa mengganggu operasional bisnis.
🔒 Jangan tunggu sampai serangan terjadi—hubungi kami sekarang dan pastikan bisnis Anda selalu terlindungi, aman, dan siap menghadapi tantangan digital masa depan.
