58% CISO Bersedia Membayar Tebusan saat Endpoint Jarak Jauh Mendorong Serangan

58% CISO Bersedia Membayar Tebusan saat Endpoint Jarak Jauh Mendorong Serangan

Laporan baru dari Absolute Security telah memberikan angka yang tepat pada masalah yang telah lama dihadapi oleh para profesional keamanan: perlindungan VPN endpoint jarak jauh dari ransomware bukan lagi pilihan bagi tenaga kerja yang tersebar. Menurut penelitian tersebut, 58% Chief Information Security Officer bersedia mempertimbangkan pembayaran tebusan untuk mengakhiri serangan, dengan downtime operasional yang disebut sebagai pendorong utamanya. Yang mungkin lebih mengejutkan, 57% perusahaan yang disurvei melaporkan bahwa serangan ransomware berasal dari perangkat endpoint jarak jauh atau hybrid. Kedua angka tersebut secara bersama-sama menggambarkan dengan jelas di mana keamanan perusahaan gagal dan berapa biayanya ketika hal itu terjadi.

Bagaimana Endpoint Jarak Jauh dan Hybrid Menjadi Titik Masuk Favorit Ransomware

Peralihan ke pekerjaan terdistribusi menciptakan permukaan serangan yang luas yang belum pernah sepenuhnya dipetakan oleh banyak organisasi, apalagi diamankan. Endpoint jarak jauh, baik laptop karyawan yang terhubung dari jaringan rumah, perangkat kontraktor di Wi-Fi publik, maupun pekerja hybrid yang berpindah antara lingkungan kantor dan jarak jauh, sering kali berada di luar jangkauan langsung tim keamanan perusahaan. Perangkat-perangkat tersebut mungkin menjalankan perangkat lunak yang sudah usang, menggunakan autentikasi yang lemah, atau terhubung ke sistem perusahaan melalui tunnel yang tidak dikonfigurasi dengan benar.

Para penyerang telah menyadari hal ini. Kredensial Remote Desktop Protocol (RDP) dan VPN tetap menjadi vektor akses awal yang paling sering dieksploitasi dalam kampanye ransomware, dan perangkat endpoint sering kali menjadi domino pertama yang jatuh. Setelah satu perangkat jarak jauh berhasil dikompromikan, penyerang menggunakannya sebagai pijakan untuk bergerak secara lateral di seluruh jaringan, meningkatkan hak akses dan menyebarkan payload ransomware sebelum sebagian besar organisasi sempat mendeteksi intrusi tersebut. Temuan Absolute Security yang menunjukkan bahwa 57% serangan berasal dari endpoint jarak jauh atau hybrid, mengonfirmasi bahwa ini bukan risiko pinggiran. Ini adalah pola serangan yang dominan.

Konsekuensi dari pola tersebut jauh melampaui organisasi individual. Serangan ransomware ChipSoft yang mengekspos data pasien Belanda menggambarkan apa yang terjadi ketika penyerang berhasil menembus dari sebuah endpoint ke dalam sistem yang menyimpan catatan sensitif dalam skala besar. Layanan kesehatan, keuangan, dan infrastruktur kritis semuanya menghadapi risiko yang semakin berlipat seiring tenaga kerja mereka menjadi semakin terdistribusi.

Mengapa 58% CISO Bersedia Membayar dan Apa yang Itu Isyaratkan tentang Kesiapsiagaan

Kesediaan untuk membayar tebusan sering kali dibingkai sebagai pertanyaan moral atau hukum, tetapi data Absolute Security membingkainya ulang sebagai pertanyaan operasional. Ketika 58% CISO mengatakan mereka akan mempertimbangkan pembayaran, mereka tidak mendukung aktivitas kriminal. Mereka mengakui bahwa kemampuan pemulihan mereka mungkin tidak cukup untuk menyerap downtime yang terjadi setelah serangan besar tanpa menerima kerugian finansial dan reputasi yang signifikan.

Itu adalah masalah kesiapsiagaan. Organisasi dengan infrastruktur backup dan pemulihan yang kuat dan telah diuji, dikombinasikan dengan rencana respons insiden yang solid, jauh lebih kecil kemungkinannya menghadapi situasi di mana pembayaran terasa seperti satu-satunya pilihan. Fakta bahwa lebih dari separuh pemimpin keamanan yang disurvei akan mempertimbangkannya menunjukkan bahwa banyak perusahaan masih kurang siap, terutama ketika serangan berasal dari endpoint yang berada di luar perimeter keamanan tradisional.

Hal ini juga mencerminkan betapa mahalnya downtime saat ini. Rantai pasokan, layanan yang menghadap pelanggan, dan operasi internal semuanya bergantung pada akses berkelanjutan ke sistem dan data. Ketika ransomware mengunci sistem-sistem tersebut, setiap jam waktu pemulihan memiliki nilai dolar yang terukur. Kalkulasi itulah, bukan fleksibilitas moral, yang mendorong keputusan pembayaran tebusan. Dan sebagaimana kompromi email Direktur FBI memperjelas, tidak ada organisasi atau individu yang secara kategoris kebal dari serangan yang ditargetkan.

Bagaimana Infrastruktur VPN Mengurangi Permukaan Serangan dan Risiko Pergerakan Lateral

VPN yang diimplementasikan dengan baik bukan solusi ajaib, tetapi merupakan lapisan fondasi yang, jika dikonfigurasi dengan benar, secara signifikan mengurangi eksposur yang diciptakan oleh endpoint jarak jauh. Tunnel terenkripsi mencegah intersepsi kredensial di jaringan yang tidak aman. Segmentasi jaringan yang diterapkan melalui kebijakan VPN membatasi seberapa jauh penyerang dapat bergerak setelah masuk. Dan persyaratan autentikasi terpusat berarti perangkat yang dikompromikan lebih kecil kemungkinannya untuk melintasi jaringan secara diam-diam tanpa terdeteksi.

Kata kuncinya adalah "dengan benar." Konfigurasi VPN yang bergantung pada autentikasi faktor tunggal, yang memberikan akses jaringan yang luas daripada izin yang terbatas, atau yang tidak ditambal untuk waktu yang lama, justru dapat menjadi vektor serangan itu sendiri. Prinsip hak akses minimal, yang diterapkan di lapisan VPN, berarti endpoint yang dikompromikan hanya dapat menjangkau sumber daya spesifik yang dibutuhkannya, bukan seluruh jaringan perusahaan. Memadukan akses VPN dengan autentikasi multi-faktor dan pemeriksaan kondisi endpoint sebelum koneksi menciptakan hambatan yang berarti yang memperlambat penyerang dan memberi waktu bagi para pembela untuk merespons.

Khusus untuk tenaga kerja hybrid, penerapan kebijakan VPN yang konsisten di semua jenis perangkat, termasuk perangkat pribadi yang digunakan untuk bekerja, sangat penting. Permukaan serangan yang digambarkan dalam laporan Absolute Security sebagian merupakan kesenjangan penerapan kebijakan, sama seperti kesenjangan teknis.

Apa yang Dapat Dilakukan Tim Terdistribusi Sekarang untuk Memperkuat Endpoint Mereka

Temuan Absolute Security merupakan dorongan untuk bertindak, bukan sekadar refleksi. Organisasi dengan tenaga kerja terdistribusi dapat mengambil langkah konkret untuk mengurangi risiko yang diwakili oleh endpoint jarak jauh.

Audit inventaris endpoint Anda. Anda tidak dapat melindungi apa yang tidak dapat Anda lihat. Inventaris lengkap dan terkini dari setiap perangkat yang terhubung ke sistem perusahaan, termasuk perangkat kontraktor dan pribadi, adalah titik awal untuk setiap strategi keamanan endpoint.

Terapkan MFA pada semua koneksi VPN. Kontrol tunggal ini menghilangkan kategori serangan berbasis kredensial yang signifikan. Kata sandi yang dicuri saja seharusnya tidak cukup untuk mendapatkan akses jarak jauh.

Segmentasikan akses jaringan berdasarkan peran. Daripada memberikan akses jaringan yang luas kepada pengguna jarak jauh, konfigurasikan kebijakan VPN sehingga setiap pengguna atau kelas perangkat hanya dapat menjangkau sistem yang relevan dengan fungsi mereka. Ini membatasi pergerakan lateral jika sebuah perangkat dikompromikan.

Tambal endpoint dan infrastruktur VPN secara konsisten. Banyak intrusi ransomware yang terkenal mengeksploitasi kerentanan yang diketahui dan tambalan sudah tersedia. Manajemen tambalan otomatis menghilangkan keterlambatan manusia yang diandalkan oleh penyerang.

Uji rencana pemulihan Anda. Jika serangan ransomware menghantam sistem paling kritis Anda hari ini, berapa lama pemulihan akan berlangsung? Menjalankan latihan tabletop dan uji restorasi backup secara rutin adalah satu-satunya cara untuk menjawab pertanyaan tersebut dengan jujur dan menutup celah sebelum menjadi masalah.

Laporan Absolute Security adalah tolok ukur yang berguna tentang di mana keamanan perusahaan saat ini berdiri terkait kesiapan ransomware. Angka-angkanya cukup mengkhawatirkan: mayoritas serangan dimulai dari endpoint jarak jauh, dan mayoritas pemimpin keamanan merasa pembayaran mungkin tidak dapat dihindari. Namun, angka-angka tersebut juga menunjukkan secara langsung apa yang perlu diubah. Visibilitas endpoint, kebijakan VPN yang diterapkan, dan kemampuan pemulihan yang telah diuji bukanlah kontrol yang eksotis. Itu adalah garis dasar yang seharusnya dapat diverifikasi oleh setiap organisasi terdistribusi. Mengevaluasi apakah pengaturan Anda saat ini benar-benar memenuhi standar tersebut adalah tempat yang tepat untuk memulai.