Bekerja di bidang keamanan siber, Anda pasti sudah familiar dengan ungkapan klasik ini: “Bukan soal jika, tetapi kapan serangan akan terjadi.” Namun, mungkin lebih tepatnya kita perlu berpikir bahwa meskipun pelatihan, pengalaman, dan pemahaman terhadap teknik rekayasa sosial sangat membantu, siapa pun bisa terjebak dalam jebakan yang dirancang dengan cermat. Bahkan para peneliti keamanan sekalipun memiliki celah yang bisa dimanfaatkan, tergantung pada situasi, waktu, dan kondisi tertentu.
Perusahaan keamanan siber pun tak luput dari ancaman ini. Pada Maret 2025, seorang karyawan senior Sophos menjadi korban serangan phishing. Ia tanpa sadar memasukkan kredensialnya ke dalam halaman login palsu, yang menyebabkan bypass autentikasi multi-faktor (MFA), dan mencoba diakses oleh aktor ancaman yang gagal masuk ke dalam jaringan kami.
Kami telah mempublikasikan analisis penyebab utama (RCA) tentang insiden ini di Trust Center kami, yang menjelaskan rincian kejadian tersebut. Namun, insiden ini membuka beberapa topik yang menarik untuk dibahas lebih lanjut.
Poin Utama dari Insiden Ini
-
MFA Bypass Semakin Umum
Seiring semakin meluasnya penggunaan MFA, para penyerang pun beradaptasi. Beberapa kerangka phishing dan layanan kini telah mencakup kemampuan MFA bypass (ini menjadi alasan lain mengapa penggunaan passkeys perlu lebih luas lagi). Hal ini menunjukkan bahwa meskipun MFA memperkuat keamanan, ancaman untuk melewatinya tetap ada. -
Proses Pertahanan End-to-End
Kami tidak hanya berbicara soal bagaimana kami berhasil menggagalkan serangan ini – itu sudah menjadi pekerjaan sehari-hari kami. Yang ingin kami tekankan adalah betapa insiden ini memperlihatkan proses pertahanan end-to-end yang melibatkan berbagai kontrol keamanan dan upaya kolaborasi di internal kami. Ini adalah contoh yang baik tentang bagaimana menghadapi ancaman siber secara komprehensif. -
Tiga Aspek Penting dalam Respons Kami
Dalam menanggapi serangan ini, ada tiga hal yang sangat penting: Kontrol, Kerja Sama, dan Budaya.
1. Kontrol: Pertahanan Berlapis
Kontrol keamanan yang kami terapkan di Sophos bersifat berlapis (defense-in-depth), dengan tujuan agar sistem kami tetap kokoh meskipun ada kesalahan manusia atau bypass pada lapisan awal. Filosofi ini menjelaskan bahwa ketika satu kontrol berhasil dilalui atau gagal, kontrol lainnya akan segera aktif untuk memberikan perlindungan lebih lanjut.
Dalam kasus ini, serangan dimulai dengan email phishing, tetapi kami memiliki beberapa kontrol lainnya yang diaktifkan, seperti MFA, Kebijakan Akses Kondisional (CAP), manajemen perangkat, dan pembatasan akun. Meskipun ada beberapa lapisan yang berhasil dilewati oleh penyerang, kontrol berikutnya tetap bekerja dengan baik.
Namun, kami tidak hanya puas dengan keberhasilan ini. Setelah kejadian tersebut, kami melakukan analisis mendalam terhadap setiap aspek dari serangan tersebut, untuk memastikan bahwa kami terus mengidentifikasi area yang perlu diperbaiki dan memperkuat kontrol kami agar lebih siap menghadapi serangan berikutnya.
2. Kerja Sama: Tim yang Bersinergi
Salah satu hal yang membuat kami dapat merespons insiden ini dengan cepat adalah kerja sama internal yang kuat. Tim yang terlibat dalam respons insiden ini meliputi Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR), serta tim IT internal kami. Masing-masing tim bekerja dengan keahlian dan fokus mereka, tetapi mereka tetap saling berbagi informasi dan wawasan.
Ke depan, kami berencana untuk lebih memperkuat kemampuan pengumpulan informasi intelijen dan memperketat umpan balik antara tim, tidak hanya di dalam organisasi tetapi juga dengan komunitas keamanan yang lebih luas. Proses ini akan membantu kami dalam mengoperasionalkan intelijen dan menggunakannya untuk melindungi sistem kami dengan lebih proaktif.
3. Budaya: Membina Lingkungan yang Mendukung
Salah satu hal yang membedakan respons kami dari yang lain adalah budaya internal di Sophos. Kami tidak menganggap kesalahan pengguna sebagai sesuatu yang perlu dihukum, tetapi kami mendorong semua karyawan untuk melaporkan jika mereka merasa telah terjebak dalam serangan phishing. Budaya ini membantu meminimalkan rasa takut atau malu yang bisa dirasakan oleh seseorang jika mereka mengalami insiden keamanan.
Pada insiden ini, karyawan yang terlibat merasa nyaman untuk segera memberi tahu tim bahwa mereka telah jatuh ke dalam perangkap phishing. Di banyak organisasi lain, pengguna mungkin enggan melapor karena takut akan pembalasan atau rasa malu. Di Sophos, kami meyakini bahwa manusia bukanlah titik terlemah dalam sistem keamanan, tetapi juga baris pertahanan pertama yang sangat penting.
Dengan mendorong karyawan untuk aktif melapor, kami bisa segera memvalidasi peringatan otomatis atau bahkan melaporkan ancaman secara langsung kepada tim keamanan jika kontrol teknis gagal.
Kesimpulan: Memperkuat Keamanan Melalui Proses yang Terintegrasi
Meski penyerang sempat berhasil melewati beberapa lapisan kontrol, kombinasi kontrol keamanan, kerja sama tim, dan budaya perusahaan yang mendukung membuat mereka tidak berhasil mencapai tujuan mereka. Proses ini menunjukkan bagaimana kami dapat terus memperkuat ketahanan kami dengan belajar dari insiden ini.
Dengan melakukan evaluasi pasca-insiden dan berbagi pelajaran yang kami dapatkan, kami berharap dapat terus memperbaiki postur keamanan kami untuk menghadapi serangan berikutnya. Semoga ini juga dapat memberikan wawasan dan pembelajaran bagi Anda dalam menghadapi ancaman yang serupa.
🔒 Keamanan siber yang tangguh bukan hanya soal teknologi, tapi juga soal kepercayaan dan kinerja terbukti. Sophos menghadirkannya.
Khawatir data dan sistem Anda kena serangan siber? Sophos punya solusi yang bisa membuat pertahanan digital Anda jadi lebih kuat.
📲 Hubungi Tim Sophos Indonesia sekarang juga,
atau
🤝 Bicarakan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.
Kami siap membantu Anda membuat dan menjalankan sistem keamanan yang cepat, kuat, dan efektif supaya bisnis Anda aman dari serangan dunia maya.
