Sophos: 71% Perusahaan Mengalami Pelanggaran Identitas pada 2025

Sophos: 71% Perusahaan Mengalami Pelanggaran Identitas pada 2025

Sebuah laporan besar baru dari Sophos menyajikan angka yang mencolok tentang masalah yang telah lama diperingatkan oleh para profesional keamanan: 71% organisasi di seluruh dunia mengalami setidaknya satu pelanggaran keamanan terkait identitas dalam setahun terakhir. Temuan ini muncul pada saat serangan berbasis identitas bukan lagi ancaman khusus, tetapi menjadi metode dominan yang digunakan penyerang untuk mendapatkan pijakan di dalam lingkungan perusahaan. Bagi bisnis dan individu, data ini adalah sinyal jelas bahwa kebersihan identitas tidak bisa lagi dianggap sebagai perhatian sekunder.

Apa yang Diungkap Data Sophos tentang Frekuensi dan Cakupan Pelanggaran Identitas

Skala temuan Sophos sulit untuk diabaikan. Hampir tiga dari empat organisasi, di berbagai industri dan wilayah, mengalami kompromi terkait identitas dalam satu tahun. Ini bukan cerita tentang segelintir target terkenal; ini mencerminkan kerentanan sistemik yang luas dalam cara organisasi mengelola siapa, dan apa, yang memiliki akses ke sistem mereka.

Pelanggaran terkait identitas berbeda dari intrusi jaringan tradisional secara penting. Alih-alih menerobos firewall, penyerang mengkompromikan kredensial atau token yang memberi mereka akses yang tampak sah. Begitu masuk, mereka dapat bergerak secara lateral, meningkatkan hak istimewa, dan mengeksfiltrasi data sambil tampak, setidaknya pada awalnya, sebagai pengguna yang sah. Ini membuat deteksi lebih lambat dan remediasi lebih kompleks.

Konsekuensi nyata dari kegagalan identitas telah memenuhi berita utama pada tahun 2025. Pelanggaran Alert 360 yang mengekspos 2,5 juta data dan pelanggaran Zara yang berdampak pada hampir 200.000 pelanggan melalui vendor pihak ketiga sama-sama menggambarkan bagaimana kredensial akses yang dikompromikan, baik melalui serangan langsung atau paparan rantai pasok, dapat berkembang menjadi kehilangan data besar-besaran.

Bagaimana Identitas Non-Manusia dan Kunci API Menjadi Target Utama

Salah satu temuan yang berwawasan ke depan dalam laporan Sophos adalah perhatian yang diberikan pada identitas non-manusia. Kategori ini mencakup kunci API, akun layanan, skrip otomatisasi, dan semakin meningkatnya agen AI yang diberikan akses ke sistem untuk melakukan tugas secara otonom.

Seiring organisasi mengadopsi alat bertenaga AI dan mengotomatiskan lebih banyak alur kerja mereka, mereka menciptakan inventaris aktor non-manusia yang terus bertambah yang memegang kredensial dan izin. Masalahnya adalah identitas ini sering salah dikelola: izin terlalu luas, kredensial jarang dirotasi, dan pemantauan untuk perilaku anomali tidak konsisten.

Kunci API yang tertanam dalam repositori kode, atau agen AI yang diberikan akses tulis ke basis data produksi, merupakan target bernilai tinggi bagi penyerang. Tidak seperti akun pengguna manusia, identitas non-manusia sering kali tidak memiliki manajemen siklus hidup yang sama, artinya mereka dapat bertahan lama setelah tidak diperlukan dan tidak terdeteksi saat dikompromikan. Laporan Sophos mengidentifikasi salah kelola ini sebagai salah satu vektor serangan utama yang mendorong angka 71% tersebut.

Mengapa Kesalahan Manusia Tetap Menjadi Mata Rantai Terlemah dalam Keamanan Identitas

Seiring dengan meningkatnya risiko identitas non-manusia, temuan Sophos mengonfirmasi bahwa kesalahan manusia terus melemahkan program keamanan bahkan yang memiliki sumber daya baik. Phishing masih sangat efektif. Penggunaan kembali kredensial di akun pribadi dan profesional menciptakan jalan bagi penyerang untuk beralih dari pelanggaran konsumen ke lingkungan perusahaan. Dan akun yang terlalu banyak hak istimewa, dibuat demi kenyamanan dan tidak pernah dibatasi dengan benar, memberi penyerang akses lebih dari yang seharusnya bisa mereka jangkau.

Unsur manusia juga terlihat dalam seberapa cepat pelanggaran membesar begitu akses awal diperoleh. Satu akun yang dikompromikan yang digunakan oleh seseorang dengan hak administratif luas dapat mengekspos ribuan data dalam hitungan jam. Sektor kesehatan terbukti sangat rentan, seperti yang terlihat dalam insiden seperti pelanggaran NYC Health yang berdampak pada 1,8 juta individu, di mana salah kelola identitas di tingkat mana pun dari sistem yang kompleks dapat menimbulkan konsekuensi yang luar biasa.

Program pelatihan dan kesadaran membantu, tetapi tidak cukup dengan sendirinya. Data Sophos menunjukkan bahwa organisasi memerlukan kontrol struktural yang mengurangi radius ledakan dari kesalahan manusia, bukan hanya kebijakan yang mengandalkan karyawan melakukan hal yang benar setiap saat.

Pertahanan Berlapis: Tempat VPN dan Alat Privasi Berperan dalam Perlindungan Identitas

Tidak ada satu alat pun yang memecahkan masalah keamanan identitas, dan itulah intinya. Konsep pertahanan berlapis, melapisi beberapa kontrol keamanan sehingga kegagalan di satu kontrol tidak secara otomatis berarti kompromi penuh, adalah kerangka kerja yang disarankan oleh temuan Sophos, bahkan secara implisit.

VPN memainkan peran spesifik dan penting dalam tumpukan ini. Dengan mengenkripsi lalu lintas jaringan dan menutupi metadata koneksi, VPN mengurangi risiko kredensial atau token sesi disadap saat transit, terutama di jaringan yang tidak tepercaya. Bagi pekerja jarak jauh yang mengakses sumber daya perusahaan dari hotel, bandara, atau ruang kerja bersama, VPN adalah kontrol dasar namun berarti yang menutup jendela yang seharusnya terbuka.

Di luar VPN, strategi perlindungan identitas berlapis mencakup otentikasi multi-faktor pada semua akun, prinsip hak istimewa paling rendah untuk identitas manusia dan non-manusia, audit rutin terhadap kredensial dan kunci API yang aktif, serta pemantauan pola login anomali. Data Sophos memperkuat bahwa ini bukan tambahan opsional untuk perusahaan besar; organisasi dari semua ukuran menjadi sasaran.

Apa Artinya Bagi Anda

Baik Anda mengelola TI untuk perusahaan atau sekadar individu yang berusaha melindungi akun Anda, laporan Sophos membawa pesan langsung: identitas adalah perimeter sekarang, dan perlu dipertahankan sebagaimana mestinya.

Berikut langkah-langkah konkret yang dapat diambil:

• Audit kredensial Anda. Identifikasi akun apa pun yang menggunakan kata sandi yang digunakan kembali atau lemah dan perbarui dengan alternatif unik dan kompleks yang disimpan di pengelola kata sandi.
• Aktifkan otentikasi multi-faktor di mana-mana. Prioritaskan akun email, keuangan, dan pekerjaan Anda terlebih dahulu.
• Tinjau izin aplikasi dan akses API. Jika Anda mengelola proyek perangkat lunak atau alat bisnis apa pun, audit layanan mana yang memiliki kredensial aktif dan cabut apa pun yang tidak lagi digunakan.
• Gunakan VPN di jaringan yang tidak tepercaya. Mengenkripsi koneksi Anda mencegah penyadapan kredensial saat Anda jauh dari lingkungan yang aman.
• Tetap terinformasi tentang pelanggaran. Layanan yang memberi tahu Anda ketika email Anda muncul dalam kumpulan data pelanggaran yang diketahui memberi Anda peringatan dini untuk merotasi kredensial yang terkena sebelum penyerang dapat mengeksploitasinya.

Angka 71% dari Sophos bukan alasan untuk panik, tetapi alasan untuk bertindak. Pelanggaran keamanan terkait identitas pada tahun 2025 bukanlah risiko hipotetis; itu terjadi pada sebagian besar organisasi saat ini. Membangun pertahanan berlapis, menggabungkan praktik identitas yang kuat dengan perlindungan tingkat jaringan, adalah respons praktis yang dituntut oleh data.