Masa Depan Butuh Keamanan Siber, Kuncinya Pendidikan!

Cyberthreat.id – Umumnya, untuk melindungi perangkat dari serangan siber, sebagian besar organisasi memakai perangkat lunak pengamanan antivirus atau firewall.

Namun, ada pula layanan pertahanan yang bersifat jasa yang disediakan oleh perusahaan keamanan siber, ini biasa disebut sebagai Security as a Services (Saas).

Si penyedia keamanan tidak hanya memberi aplikasi keamanan, tapi juga bekerja agar bisnis klien tetap berjalan secara aman; menjaga sistem elektorniknya dengan penyetelan dan penambalan nonstop.

Di Indonesia, salah satu penyedia tersebut ialah Naga Cyber Defense (NCD), perusahaan keamanan siber berbasis di Yogyakarta. Meski berbasis perangkat lunak McAfee, NCD membuat aplikasi keamanannya menjadi lebih lokal.

Mereka mengumpulkan virus atau malware baru yang melewati kliennya dan dianalisis dibuatkan tanda unik (signature) sendiri, lalu dimasukkan ke database perangkat lunak yang telah dilokalisasinya.

“Naga Cyber Defense dibuat berdasarkan alat McAfee karena alat tersebut memungkinkan sebagian besar penyesuaian ke Indonesia dari perangkat apa pun yang dapat saya temukan di pasaran,” ujar Chief Executive Officer (CEO), Naga Cyber Defense, Roro Widiastuti Kuswahjuningsihm.

"Jadi zero-days (kerentanan yang belum ditambal) kami lebih luas daripada yang [dimiliki]  antivirus biasa, karena kan kami bisa mendeteksi yang terbaru,” ia menambahkan.

Sementara itu, Dias--panggilan akrabnya-- juga menekankan pentingnya kesadaran pada keamanan siber. Cybersecurity awareness itu sangat penting sekarang. Sebisa mungkin dari pemerintah yang mulai kasih literasi, tutur dia.

Berikut petikan wawancara wartawan Cyberthreat.id Tenri Gobel, dengan CEO Roro Widiastuti Kuswahjuningsih  dan Chief Operating Officer (COO), Frank Rand Boatwright III, Kamis (4 Februari 2021):

Apa beda Security as a Services (SaaS) dengan Software as a Services (SaaS)?

COO Frank Rand:

SaaS merupakan sebuah layanan penyediaan keamanan, tidak hanya sebuah alat seperti Photoshop. Jika seseorang menyerang Anda, kami menghubungi Anda untuk memberitahu apa yang kami lakukan untuk melindungi Anda, dan apa yang perlu dilakukan teknisi Anda untuk melindungi Anda. Kami memberikan rekomendasi berdasarkan situasi dan kebutuhan bisnis Anda.

Jadi, kami tidak hanya memberi aplikasi keamanan. Kami bekerja agar bisnis Anda tetap berjalan secara aman dengan perlindungan. Kami menjaga produk yang kami berikan dengan penyetelan dan penambalan nonstop selama 24 jam penuh.

Kematangan keamanan untuk bisnis lebih dari sekadar ISO 27001. ISO 27001 adalah langkah awal dalam mencapai model keamanan yang aman, tetapi bukan satu-satunya langkah. “Aturan internasional untuk kematangan keamanan” membawa ini ke tingkat yang berbeda di atas ISO 27001. Hal ini menempatkan bisnis Indonesia pada posisi yang buruk di pasar internasional.

Karena bisnis asing memiliki persyaratan untuk memerangi hal-hal seperti kejahatan terorganisasi yang tidak dicakup secara langsung oleh ISO 27001. Itulah mengapa kami memiliki ISO 27002-27005 yang membutuhkan lebih banyak tindakan dari tim keamanan siber.

ISO 27001 adalah buku panduan prosedural yang harus didukung oleh orang dan teknologi untuk kepatuhan. ISO dibutuhkan, tetapi tidak semudah kelihatannya.

Cara penanganan siber seperti apa?

Widiastuti (Dias):

Karena Threat Analyst bekerja 24 jam penuh, jadi kami dapat mengetahui jika ada serangan terkini. Contoh, Anda sebagai user, kami bisa mengenali kebiasaan alur kerja Anda menggunakan PC/Laptop mulai pukul 08.00 hingga 22.00. Jika tiba-tiba komputer Anda melakukan trafik tidak normal, kami akan bertanya, apakah ini dilakukan oleh pelanggan atau sesuatu yang tidak biasa?

Jika ini malware zero-day, kami dapat segera menghentikan dan memperbaikinya. Lalu, kami membuat laporan ke database pusat, di mana data akan dikirim untuk menentukan perlindungan yang akan diterapkan pada semua pelanggan.

Kami selalu update library/perpustakaan virus. Kalau antivirus di pasaran, data perpustakaannya tidak update secepat malware itu dibuat.

Frank Rand:

(Rand menjelaskan perusahaannya melakukan Host Intrusion and Endpoint Detection and Response (EDR) pada endpoint. Artinya mereka melihat banyak serangan yang berbasis memory, banyak aplikasi yang berjalan yang bisa jadi adalah malware. Dari sini, mereka dapat mengidentifikasi Indicator of Attack (IoA) atau, lebih buruk lagi, Indicator of Compromise (IoC) dari serangan yang mereka deteksi. Mereka kemudian membuat pemicu atau tanda tangan (signature) unik yang dimasukkan ke dalam perangkat lunak pendeteksi (semacam antivirus, tetapi disesuaikan menjadi lokal). Dengan tanda tangan unik ini, klien akan terlindungi dari serangan ini di masa depan.

Menurutnya, jika perangkat lunak anti-virus yang digunakan berasal dari perangkat luar negeri, pembaruan “signature” terkait penyerang butuh waktu sehingga pihaknya memilih dilokalisasi. Terlebih menggunakan perangkat luar negeri serangan yang terjadi tidak sama dengan yang di Indonesia.)

“Jika Anda menggunakan Microsoft Defender harus kembali ke AS, kemudian kembali ke Anda sehingga butuh waktu beberapa saat. Latensi dari jaringan ke Hosting Threat Protection Library harus di bawah  20 milidetik (ms) kasus terburuk dan di bawah 5 ms perlindungan kasus terbaik. Komputer hari ini lebih cepat daripada dahulu dan dari sudut pandang keamanan hal itu memperburuk. Penyerang tidak menunggu penjaga pintu menyetujui id mereka sebelum menyerang,” tutur dia.

“Font yang dilokalkan dan file bahasa, berbeda untuk bahasa Indonesia vs bahasa Inggris atau bahasa Jepang. Ya, serangan berbasis font adalah yang memberi masalah Microsoft dan Google untuk sebagian tahun 2020 dan akan terus berlanjut untuk waktu yang lama.”

“Serangan baru biasanya terjadi di waktu siang hari waktu Indonesia dan di Eropa dan AS terjadi di malam hari. Tetapi, di Indonesia yang kami lihat juga banyak serangan yang diluncurkan di malam hari atau siang hari. Saat kita menangani serangan, kita harus melihat semua sistem operasi yang berbeda untuk kemungkinan perbedaan vektor serangan untuk masing-masing.”

“Pola serangan yang selalu berubah adalah alasan nomor satu untuk memiliki manusia dalam siklus perlindungan. Jadi, tim kami bekerja dengan taktik baru setiap enam minggu karena siklus serangan ini.”

Berapa lama membuat signature sendiri?

Frank Rand: Peluang kami di bawah 5 menit, rekor dunia penyerang keluar-masuk dari jaringan korban setelah 19 menit. Kami harus menemukan mereka dalam 5 menit, lalu 5 menit berikutnya membunuh serangan, dan 10 menit terakhir untuk membersihkan dan menambahkan perlindungan untuk mencegah kejadian yang sama di masa depan.

Mengapa NCD pakai alat McAfee?

Dias: Kami sekarang ini pakai proteksi dari McAfee, kami kustomisasi lagi sesuai dengan kebutuhan lokal di Indonesia. Jadi, bisa saja satu perusahaan pakai security system dari luar, tapi mereka tidak bisa mengenali lingkup serangan lokal Indonesia. Jadi, kami menyesuaikan agar sesuai dengan hukum Indonesia saat ini dan masa depan.

Frank Rand:

McAfee dirancang secara khusus memungkinkan adanya perubahan [membuatnya menjadi lokal]. Jika ada yang lebih baik buatan Indonesia [sejenis McAfee] kami mungkin akan menggantinya ke perangkat lunak itu.

Keamanan siber lebih tentang manusia daripada teknologi. Pengguna adalah tautan terlemah (weakest link), bagaimana pengguna akan bereaksi, bagaimana pengguna berinteraksi sosial, berbeda berdasarkan budaya. Untuk memahami reaksi dan ketakutan orang Indonesia membutuhkan orang Indonesia atau seseorang yang telah bertahun-tahun mempelajari budaya dan bahasa suatu daerah.

Keuntungan melokalisasi dapat mengetahui seluk beluk perangkatnya apakah kemungkinan memiliki malware atau coding yang buruk.

Klien NCD siapa saja?

Dias: Saat ini pelanggan kita dari perusahaan, dengan beberapa individual yang banyak berada di Internet, hanya memang soal cybersecurity awareness masih sangat kurang. Selama masih ada yang gratisan kenapa saya harus bayar, cuma mereka enggak sadar di dunia ini tidak ada yang gratis. 

Mungkin karena tidak ada kejadian makanya belum sadar…

Dias: Sangat banyak orang tidak sadar apa efeknya ke depan dan mereka kalau belum kena, belum percaya.

Biasanya harus disadarkan setelah terkena serangan…

Dias: Ada contoh sebuah universitas, saya tidak mau sebut namanya, mereka sudah kena ransomware beberapa kali. Cuma, mereka merasa, "Oke saya bisa menangani sendiri”.

Di Indonesia?

Dias: Banyak.

Indonesia jarang banget publikasi korban malware atau ransomware…

Dias: Banyak. Karena kan pengaruh dengan kredibilitas bisnisnya, mereka lebih ngumpet-ngumpet dibanding mereka publikasi.

Serangan yang menargetkan klien NCD, seperti apa?

Frank Rand: Kami melihat dan melindungi keseluruhan aplikasi dari PC, server, sampai ke ponsel. Individu adalah mata rantai terlemah. Orang-orang terlebih dahulu diretas sebelum sistem. Email phishing, browser (watering hole), dan software bajakan adalah tiga vektor serangan terbesar yang kami lihat. Dibajak karena penjahat tahu orang suka gratisan, jadi mereka menempatkan malware di installer, kuncinya, atau diunduh nanti dengan software yang sudah ter-update.

Ngomong-ngomong, serangan yang masif di Indonesia jenisnya apa?

Frank Rand: Sebenarnya banyak kalau untuk serangan sih. Living of the land itu serangan. Jadi nempel di memori atau aplikasi yang sudah ada, tetapi dia melakukan sesuatu yang berbeda gitu. Dia bukan bentuk aplikasi, dia nempel jadi tidak kelihatan.

Rand menjelaskan living off the land adalah serangan memanfaatkan mesin skrip seperti PowerShell atau skrip lainnya yang tertanam dalam komputer sehingga akan menunjukkan hal yang baik-baik saja padahal penjahat sedang memantau aktivitas korban hingga membaca data Anda dari aksi penyalahgunaan ini.

Kalau jenis malware dan ransomware?

Frank Rand:

Kami melihat penyerangan utama ke sistem-sistem seperti Emotet dan serangan komersial lain seperti Ransomware/Malware as a Service terlalu sering menyerang. Ada banyak uang dalam serangan Malware as a Service dan bahkan lebih banyak uang dalam pencurian intellectual property. Kedua, pencurian informasi besar-besaran untuk pemerasan dan pencurian identitas.

Kami melihat ada aplikasi seluler yang menyedot semua data dari perangkat sehingga dapat dijual kembali atau digunakan untuk melawan pengguna. Kami melihat skimmer kartu kredit sebagai bagian dari serangan fileless yang mencoba duduk di browser pelanggan untuk mengambil data kartu baik sebagai pengalihan melalui platform penagihan mereka atau hanya untuk mencuri data.

Crypto miners selalu untuk beberapa fileless attacks setiap hari seperti serangan untuk mencuri kata sandi dan data konfigurasi sistem untuk tindak lanjut serangan.

Serangan terburuk yang pernah kami lihat didasarkan pada jenis watering hole attack. Watering hole attack adalah serangan yang menggunakan platform yang sering dikunjungi orang untuk menyerang mereka. Jenis yang umum adalah video, terutama film gratis. IndoKoreanDrama ditampilkan kepada pengguna sebagai pemutar video. Pada kenyataannya itu benar-benar membajak alat keamanan dan OS komputer seseorang hingga mengganti kunci dan kontrol keamanan Microsoft dengan milik mereka sendiri.

Watering hole attacks  dan perlindungan phishing adalah cara termudah penyerang melakukan serangan yang direkayasa secara sosial sejauh ini selama dua tahun lebih kami menjalankan bisnis ini.

Di Indonesia, selain malware ada jenis lainkah?

Frank Rand:

Remote administration trojan (RAT), disimpan di ponsel atau komputer kamu yang digunakan peretas untuk menonton kamu. Itu sangat banyak terjadi di Indonesia.

Lalu, soal adanya email pemerasan karena adanya alamat email yang bocor, penjahat memanfaatkan alamat email itu mengirimkan email dan mengatakan bahwa dirinya melihat apa yang Anda lakukan tadi malam padahal tidak terjadi seperti yang diklaimnya. Penjahat  menggunakan alamat email yang didapatkannya dari data breach dengan password dan melakukan hal semacam itu.

Business email compromise (BEC) di Indonesia sangat besar terjadi. BEC diprediksi meningkat di 2021. Pengguna Indonesia memiliki terlalu banyak informasi, penjahat dapat menemukan KTP, mencari dokumen bisnis, mendapatkan salinan data yang memungkinkan peretas melakukan serangan BEC dengan meretas email. 

Itu banyak terjadi di sini karena mereka menerima email di ponselnya tetapi tidak menyadari bahwa itu email phishing dan tidak memiliki perlindungan apa pun untuk memverifikasi email itu. Itulah mengapa perlu perlindungan untuk perangkat.

BEC yang terungkap polisi di Indonesia menargetkan orang luar negeri, bukan orang Indonesia…

Franks Rand: Padahal ada juga yang mengincar orang Indonesia. Sekali lagi, rasa malu menghentikan mereka untuk memberitahu orang lain tentang apa yang terjadi pada mereka. Jika lebih banyak orang memberitahu orang lain tentang pengalaman buruk mereka, sedikit orang yang akan jatuh ke perangkap yang sama. Kami memiliki pelanggan yang terkena BEC di Indonesia. 

Dias: Kayaknya juga bukan perusahaan saja, pemerintahan juga sama saja. Sebenarnya banyak, ada salah satu rumah sakit terbesar mereka aware soal ransomware, tapi mereka sampai punya budget  US$1 juta di cadangan dana untuk suatu ketika kalau mereka kena ransomware.

Mereka mau bayar?

Dias: Iya karena itu.. kami pikir memang ransomware sekarang ini jadi ancaman yang tidak bisa hindari. Pasti akan kena suatu saat, ransomware kayak bom waktu. Ransomware itu kan di-trigger dari email dan sebenarnya itu bisa dihindari.

Frank Rand :Masalah lainnya adalah Anda mungkin tidak mendapatkan kembali data Anda. Anda mendapatkan ransomware lagi dalam beberapa hari atau jam. Mereka mungkin mengambil salinan data Anda dan menerbitkannya ke dark web. Enkripsi data melalui ransomware adalah bertaruh 50:50 dari yang Anda dapat bayar dan keluar dengan bersih.

Memblokir ransomware hanya membutuhkan beberapa alat yang tepat. Keluar dari daftar peretas setelah diretas sekali hampir tidak mungkin; kami menyebutnya Advanced Persistent Threats karena suatu alasan.

Dias menjelaskan pemerintah harus mendorong Cyber Security Awareness supaya lebih mudah. Indonesia menduduki peringkat ke-4 pengguna gawai terbesar di dunia, karena besarnya populasi dan tingkat adopsi teknologi. Sayangnya, Indonesia masih peringkat ke-7 terburuk di dunia untuk cybersecurity pada 2020.

“Yang nomor 1 dan 2 terbaik dari Asia, Singapura dan Malaysia. Kenapa mereka terbaik? Kalau Malaysia itu punya (telepon darurat) 999 untuk cybercrime. Kalau Singapura itu pendidikan cybersecurity itu dari level TK Jadi balik lagi kan peran pemerintah sebenarnya sangat penting untuk  mendorong awareness-nya,” ujar dia.

Bayar tebusan ransomware tidak direkomendasikan ya...

Frank Rand: Di negara lain, pembayaran ransomware dianggap membantu dan mendukung kejahatan.

Dias: Iya, "its a crime if you paid the ransomware" kalau di luar negeri. Sekarang kalau dibilang kurikulum TI kita sendiri masih sangat terbelakang, gitu. Mungkin dari bantuan jurnalistik bagaimana caranya mengetuk pemerintah untuk memulai.

Pemerintah sebenarnya ada BSSN...

Frank Rand:

Saya baca berita kamu yang serangan di Indonesia pada 2020 ada 495 juta dan yang jadi insiden ada 9.000. Saya percaya 9.000 insiden itu diberitahu oleh warga, bukan oleh 9.000 bisnis. Karena bisnis di Indonesia secara umum tidak memberitahu siapa pun ketika dia diserang. Bisnis biasanya tidak ingin mendapat masalah dengan pemegang saham mereka, atau membuat marah bos mereka sehingga mereka tidak melaporkan serangan.

BSSN berada di posisi yang buruk. Mereka mendorong pesan yang benar tetapi dibatasi oleh sumber daya dan uang. Mereka membutuhkan anggaran yang lebih besar untuk menciptakan lebih banyak pelatihan cyber security awareness berbasis komunitas, dengan mengajak content creator muda dan influencer untuk membantu menyebarkan pesan tersebut. Ini adalah pekerjaan yang tidak dapat mereka (BSSN) lakukan sendiri.

Apa saran dan harapan Anda terkait keamanan siber di Indonesia?

Frank Rand:

Model pertumbuhan Industri 4.0 yang menjadi tujuan Indonesia didasarkan pada siber. Untuk masuk ke dunia baru ini dan tetap aman, kita harus melakukan keamanan siber lebih baik daripada orang jahat. Akan lebih baik jika kita bisa mencapai 5 besar praktisi keamanan siber dibanding tempat terburuk ke-7 yang kita miliki untuk tahun 2020.

Kami ingin melihat pertukaran data bersih terkait peristiwa keamanan dari pemerintah dan bisnis secara dua arah. Hal ini dilakukan di seluruh dunia saat ini tanpa merilis data bisnis atau informasi rahasia melalui alat otomatis.

Masa depan membutuhkan keamanan siber, akses ke basis pengetahuan dunia hanya tersedia melalui internet. Kita perlu melindungi masa depan kita.

Kita perlu membangun lebih banyak infrastruktur internet Indonesia agar tidak terus bergantung pada bisnis luar untuk menumbuhkan negara kita. Kita memiliki bakat di Indonesia untuk melakukan ini, masyarakat hanya membutuhkan dukungan dari sistem pendidikan, industri, dan pemerintah untuk mewujudkannya.[]

Redaktur: Andi Nugroho