Dalam hampir tiga dekade berkecimpung di dunia keamanan siber, para ahli sering melihat organisasi masih mengajukan pertanyaan yang salah ketika mencoba memperbaiki pertahanan mereka. Seringkali, kita terjebak pada permukaan masalah — seperti konfigurasi firewall atau antivirus — tetapi lupa menggali akar penyebab yang benar‑benar membuat sistem rentan. Itu yang coba diubah oleh Sophos Active Adversary Report, sebuah laporan tahunan yang berdasarkan ratusan kasus nyata pelanggaran dan respon insiden dari berbagai negara dan industri.
Laporan ini bukan sekedar statistik; ia berupaya menjabarkan bagaimana adversaries (penyerang aktif) berperilaku, bagaimana mereka masuk ke jaringan organisasi, serta apa yang bisa dipelajari oleh para pemimpin keamanan dan TI untuk memperkuat sistem mereka.
Apa Itu “Active Adversary Report”?
Active adversary merujuk pada tipe penyerang yang berpikir, bergerak, dan menyesuaikan strategi mereka secara real‑time, serta mampu mengeksploitasi celah untuk mendapatkan kendali sistem sebelum terdeteksi. Untuk itu, Sophos mengumpulkan dan menganalisis ratusan kasus dari tim Incident Response (IR) dan Managed Detection and Response (MDR) mereka di seluruh dunia, kemudian mengabstraksi pola‑pola utama dari insiden‑insiden tersebut.
Melalui teknik anonymity dan agregasi data, laporan ini menyajikan insight berharga tanpa mengekspos identitas korban. Hasilnya adalah gambaran yang realistis tentang perilaku penyerang dan dinamika serangan modern yang perlu diketahui oleh setiap organisasi.
Temuan Utama: Akses Awal Sering Tidak Melibatkan Hacking Ekstrem
Salah satu temuan paling mencengangkan dari laporan ini adalah bahwa banyak insiden tidak dimulai dari “peretasan” teknis yang rumit, tetapi justru dari akses yang sah yang disalahgunakan. Data terungkap bahwa:
👉 Sekitar 56% kasus penyerang masuk ke lingkungan organisasi dengan menggunakan akun yang valid, misalnya melalui perangkat VPN, RDP, atau layanan remote lain — bukan mengeksploitasi kerentanan perangkat secara langsung.
Ini menunjukkan sesuatu yang sederhana tetapi penting: teknologi yang kuat sekalipun tidak akan cukup jika identitas dan kredensial tidak terlindungi dengan benar.
Penyebab Umum Insiden: Bukan Selalu Kerentanan Aplikasi
Sering kali organisasi berpikir masalah utama mereka adalah bug atau celah di perangkat lunak yang mereka gunakan. Dalam laporan ini, hanya sekitar 16% insiden terkait kerentanan yang dieksploitasi secara langsung. Yang menarik adalah:
-
Lebih dari 52% kerentanan yang benar‑benar dieksploitasi berada di perangkat keamanan atau perangkat yang terhubung dengan internet, seperti firewall dan VPN.
-
33% lainnya terkait aplikasi yang berhadapan langsung dengan internet, seperti layanan web.
Temuan ini menegaskan bahwa meskipun patching itu penting, fokus organisasi tidak boleh hanya pada perangkat lunak internal, tetapi juga pada infrastruktur akses eksternal dan identitas yang sering menjadi pintu masuk penyerang.
Waktu Paling Cepat Penyerang Bergerak
Data dalam laporan sebelumnya (2024) menunjukkan penyerang modern tidak membuang waktu lama setelah mendapatkan akses awal:
⏱ Dalam banyak kasus, waktu antara akses awal hingga upaya pengambilalihan sistem — seperti Active Directory — adalah sekitar 11 jam setelah breach pertama.
Selain itu, serangan sering terjadi saat organisasi di luar jam kerja, misalnya di malam hari atau akhir pekan, ketika tim keamanan tidak sepenuhnya aktif memantau. Ini menunjukkan bahwa organisasi perlu mempertimbangkan deteksi dan respon 24/7 sebagai bagian dari strategi keamanan mereka.
MFA Belum Dimanfaatkan Secara Luas
Laporan lain yang terintegrasi dengan temuan Active Adversary Report menunjukkan bahwa multifactor authentication (MFA) — mekanisme yang secara signifikan dapat mengurangi kemungkinan akun dicuri — masih tidak diaktifkan di sebagian besar organisasi yang menjadi korban.
Ini berarti bahwa meskipun MFA telah lama direkomendasikan sebagai praktik keamanan dasar, banyak organisasi belum mengimplementasikannya secara konsisten atau efektif, padahal akses sah yang disalahgunakan adalah salah satu penyebab utama breach.
Pola Penyerangan yang Serupa di Seluruh Dunia
Walaupun organisasi berbeda industri dan ukuran, laporan menunjukkan bahwa pola kesalahan mereka sering kali sama — dan ini adalah kabar baik karena belajar dari kegagalan orang lain bisa membantu mencegah kejadian yang sama terjadi lagi.
Ketika organisasi memilih untuk menutup kegagalan mereka dengan perjanjian non‑disclosure, pengetahuan tentang kesalahan ini hilang dan lainnya justru mengulang kesalahan yang sama. Sophos berusaha mengatasi hal ini dengan menghadirkan data yang dianonimkan sehingga pelajaran inti tetap bisa dipelajari tanpa mengorbankan reputasi pihak tertentu.
Apa Pelajaran Pentingnya untuk Organisasi Anda?
Berdasarkan temuan Active Adversary Report, ada beberapa hal yang seharusnya menjadi prioritas utama setiap organisasi:
🔐 1. Lindungi Identitas & Kredensial
Karena akses sering terjadi lewat akun yang valid, penggunaan MFA yang tahan phishing, pengelolaan password yang kuat, dan pengawasan akses sangat penting.
🕵️ 2. Selalu Patching, terutama pada perangkat yang terhubung ke internet
Meski kerentanan hanya sebagian kecil dari root cause, kerentanan di perangkat edge seperti firewall sering menjadi pintu masuk.
🛡️ 3. Monitoring 24/7 & Respon Cepat
Penyerang dapat bergerak sangat cepat — kadang hanya dalam hitungan jam — jadi deteksi dan respons insiden 24/7 bukan sekadar “nyaman”, tetapi kritis bagi mengurangi dampak breach.
📊 4. Belajar dari Data Global & Peer Group
Membandingkan satu organisasi hanya dengan peer sejenis sering kali tidak cukup. Penting untuk memahami tren serangan secara global agar strategi pertahanan lebih efektif.
Kesimpulan
Sophos Active Adversary Report bukan sekadar kumpulan statistik — ini adalah cermin bagi komunitas keamanan untuk melihat bagaimana penyerang sebenarnya beroperasi dan apa yang perlu ditingkatkan di lingkungan mereka. Dari akses awal yang sering menggunakan kredensial yang valid hingga dominasi serangan terhadap identitas, laporan ini menekankan bahwa keamanan modern tidak dapat bergantung pada teknologi saja, tetapi harus menggabungkan identitas yang kuat, pemantauan real‑time, serta pembelajaran dari kesalahan nyata.
Dengan memahami pola dan temuan ini, organisasi tidak hanya dapat memperbaiki posture keamanan mereka, tetapi juga membangun strategi yang lebih tangguh, adaptif, dan responsif terhadap ancaman yang terus berkembang.
Lindungi bisnis Anda dari ancaman siber dengan solusi terpercaya dari Sophos Indonesia.
Jika Anda ingin memastikan keamanan data, jaringan, dan sistem perusahaan tetap maksimal, tim Sophos Indonesia siap menghadirkan proteksi multi-layer berbasis AI yang dirancang sesuai kebutuhan spesifik bisnis Anda.
Bersama mitra resmi kami, PT. iLogo Infralogy Indonesia, Anda akan mendapatkan konsultasi lengkap dan pendampingan implementasi, sehingga keamanan siber perusahaan berjalan optimal tanpa mengganggu operasional bisnis.
Jangan tunggu sampai serangan terjadi—hubungi kami sekarang dan pastikan bisnis Anda selalu terlindungi, aman, dan siap menghadapi tantangan digital masa depan.
