49% Korban Ransomware Kehilangan Data Sebelum Mendeteksi Serangan

Ransomware selalu menjadi masalah yang menyakitkan, tetapi laporan baru mengungkap betapa buruknya deteksi yang gagal: hampir setengah dari seluruh korban ransomware telah dicuri datanya bahkan sebelum mereka menyadari ada penyerang di dalam jaringan mereka. Angka ini melonjak tajam dari 31% pada tahun sebelumnya, menandakan bahwa peretas tidak hanya semakin berani, tetapi juga jauh lebih sabar dan tersembunyi.

Rata-rata waktu tinggal sebelum terdeteksi kini berada di kisaran 2,5 minggu. Itu adalah 17 hari atau lebih di mana penyerang dapat diam-diam memetakan sistem Anda, mengidentifikasi file paling berharga, dan memindahkannya keluar, semua sebelum satu peringatan pun muncul.

Ancaman Sebenarnya Adalah Eksfiltrasi, Bukan Hanya Enkripsi

Kebanyakan orang membayangkan ransomware sebagai peristiwa dramatis: file terkunci, catatan tebusan muncul, operasi terhenti. Gambaran itu semakin usang. Kelompok ransomware modern telah beralih ke strategi dua tahap. Pertama, mereka mencuri data. Kemudian, jika dan ketika mereka menerapkan enkripsi, mereka menggenggam dua ancaman terpisah terhadap korban: bayar untuk memulihkan akses, dan bayar lagi untuk mencegah data yang dicuri dipublikasikan.

Pendekatan ini, yang sering disebut pemerasan ganda, sepenuhnya mengubah kalkulasi. Bahkan organisasi dengan sistem cadangan yang solid yang dapat memulihkan file terenkripsi dengan cepat tetap menghadapi paparan catatan pelanggan sensitif, dokumen keuangan, atau kekayaan intelektual. Pada titik itu, enkripsi hampir menjadi sekunder.

Pencurian data tetap menjadi fitur konsisten dari aktivitas pemerasan di lebih dari setengah kasus dari tahun ke tahun, menegaskan bahwa ini bukan tren sesaat. Ini kini adalah buku pedoman standar.

Mengapa Deteksi Semakin Tertinggal

Kesenjangan yang semakin besar antara intrusi dan deteksi menunjuk pada beberapa masalah yang saling terkait.

Pertama, penyerang semakin sering menggunakan alat sah yang sudah ada di dalam lingkungan target. Perangkat lunak keamanan dirancang untuk mendeteksi tanda tangan malware asing, tetapi ketika penyerang menggunakan utilitas sistem bawaan untuk memindahkan file, tindakan tersebut sering kali tidak dapat dibedakan dari perilaku administrator normal.

Kedua, banyak organisasi masih sangat bergantung pada pertahanan perimeter. Firewall dan terowongan terenkripsi melindungi data dalam perjalanan, tetapi begitu penyerang memiliki kredensial yang valid atau telah membangun pijakan di dalam jaringan, alat perimeter memberikan sedikit visibilitas ke dalam apa yang terjadi secara lateral.

Ketiga, kelelahan peringatan adalah masalah nyata dan terdokumentasi dengan baik di pusat operasi keamanan. Ketika sistem deteksi menghasilkan ribuan peringatan berkualitas rendah setiap hari, sinyal intrusi asli terkubur. Penyerang mengetahui ini dan mengatur waktu aktivitas mereka untuk menyatu dalam periode bising.

Ini juga mengapa mengandalkan satu alat, termasuk VPN, menciptakan rasa aman yang palsu. VPN mengenkripsi lalu lintas antara perangkat Anda dan internet, yang melindungi data dalam perjalanan dan menyembunyikan alamat IP Anda. Namun itu tidak melakukan apa pun untuk mendeteksi atau memblokir malware yang sudah berjalan di mesin yang telah dikompromikan, dan itu tidak menawarkan visibilitas apa pun ke dalam perilaku penyerang setelah kredensial dicuri. Pelanggaran data youX di Australia, di mana penyerang mengakses data identitas sensitif di sebuah perusahaan fintech, menggambarkan bagaimana intrusi canggih dapat melewati perlindungan tingkat permukaan dan menyebabkan konsekuensi nyata yang berjenjang.

Apa Artinya Bagi Anda

Apakah Anda seorang profesional individu atau bagian dari tim TI organisasi, rata-rata waktu tinggal 2,5 minggu harus mengubah cara Anda berpikir tentang keamanan.

Pertanyaannya bukan lagi hanya โ€œbagaimana menjaga penyerang keluar?โ€ Ini juga โ€œseberapa cepat saya akan tahu jika seseorang sudah berada di dalam, dan apa yang akan mereka temukan?โ€

Untuk individu dan bisnis kecil, ini berarti:

  • Asumsikan kredensial dapat dikompromikan. Gunakan autentikasi multi-faktor di mana pun, terutama pada email, penyimpanan cloud, dan alat akses jarak jauh apa pun. Kredensial yang dicuri adalah titik masuk paling umum.
  • Batasi apa yang dapat diakses. Tidak setiap sistem atau berbagi file perlu dapat dijangkau dari setiap perangkat. Membatasi akses mengurangi apa yang dapat dijangkau penyerang setelah memperoleh entri awal.
  • Pantau anomali, bukan hanya ancaman yang dikenal. Alat deteksi endpoint yang menandai perilaku tidak biasa, seperti akun pengguna tiba-tiba mengakses file yang tidak pernah disentuhnya, lebih berharga daripada sekadar antivirus berbasis tanda tangan.
  • Miliki rencana respons insiden. Mengetahui dengan tepat langkah-langkah apa yang harus diambil dalam satu jam pertama dari pelanggaran yang terkonfirmasi secara signifikan membatasi kerusakan. Banyak organisasi menemukan bahwa mereka tidak memiliki proses terdokumentasi sampai mereka sangat membutuhkannya.
  • Segmentasikan cadangan Anda. Cadangan yang disimpan di jaringan yang sama dengan sistem utama dapat dienkripsi atau dihapus oleh penyerang selama masa tinggal mereka. Cadangan offline atau tidak dapat diubah adalah lapisan perlindungan terpisah.

VPN tetap merupakan alat yang benar-benar berguna, terutama untuk mengamankan lalu lintas di jaringan yang tidak tepercaya dan melindungi privasi dari pengawasan pasif. Tetapi peran mereka adalah satu lapisan di antara banyak yang lain, bukan pertahanan lengkap.

Membangun Strategi Pertahanan Berlapis

Postur keamanan paling efektif memperlakukan deteksi sebagai prioritas yang setara dengan pencegahan. Pencegahan tidak pernah sempurna, dan data mengkonfirmasi bahwa penyerang semakin baik dalam melewatinya. Organisasi dan individu yang hanya berinvestasi dalam menjaga penyerang keluar, sementara tidak melakukan apa pun untuk mendeteksi mereka begitu berada di dalam, secara efektif buta selama jendela waktu yang paling penting.

Pertahanan berlapis berarti menggabungkan alat perimeter, pemantauan endpoint, analisis lalu lintas jaringan, kontrol akses ketat, dan edukasi pengguna. Tidak ada produk tunggal yang menutup semua celah, itulah sebabnya industri keamanan berbicara tentang pertahanan mendalam daripada satu peluru perak.

Kenaikan tajam dalam pencurian data pra-deteksi adalah sinyal jelas bahwa lingkungan ancaman telah matang. Penyerang beroperasi dengan disiplin dan kesabaran lebih dari sebelumnya. Respons yang tepat adalah menyamai disiplin itu dengan pertahanan berlapis yang sama-sama disengaja, alih-alih pembelian alat reaktif setelah insiden terjadi.

Mulailah dengan mengaudit data sensitif apa yang Anda pegang, di mana ia berada, dan siapa yang dapat mengaksesnya. Visibilitas itu sendiri sudah menempatkan Anda di depan sebagian besar target.