Oleh Neatsun Ziv, CEO di Keamanan Sapi
Di setiap organisasi dengan motif laba, sektor, transaksi, dan vertikal yang menjadi target Anda akan ditentukan oleh keuntungan terkait yang mereka tawarkan – idealnya, dengan upaya atau sumber daya yang paling sedikit digunakan. Dalam hal ini, pelaku kejahatan dunia maya beroperasi tidak berbeda dari bisnis yang sah. Mereka akan memilih target berdasarkan keuntungan maksimum yang tersedia bagi mereka. Hal ini, dalam banyak kasus, mengarahkan mereka langsung ke sektor keuangan. Layanan keuangan adalah bidang bisnis yang telah dipaksa, oleh kebiasaan konsumen dan kemajuan teknologi, untuk bertransformasi secara digital dengan kecepatan yang jauh melampaui industri lain. Hal ini, ditambah dengan fakta yang jelas bahwa ada imbalan finansial yang cukup besar bagi peretas yang menargetkan lembaga keuangan, berarti mereka tetap berada di garis tembak.
Tahun lalu, sektor keuangan merupakan industri kedua yang paling banyak mengalami pelanggaran, dengan 566 insiden terutama di AS, Argentina, Brasil, dan Tiongkok. Insiden ini mengakibatkan lebih dari 254 juta catatan yang disusupi, yang menyoroti kerentanan signifikan dalam produk cloud dan solusi perangkat lunak pihak ketiga yang digunakan dalam perbankan. Contoh penting dari risiko pihak ketiga adalah insiden SolarWinds pada tahun 2020, di mana pembaruan perangkat lunak berbahaya mengekspos banyak organisasi, yang mencerminkan dampak potensial yang luas pada industri keuangan. Selain itu, serangan ransomware pada tahun 2023 pada penyedia layanan TI cloud menyebabkan gangguan signifikan bagi 60 serikat kredit AS, yang menggarisbawahi risiko sistemik dari ketergantungan TI pihak ketiga.
Serangan injeksi kode menimbulkan ancaman kritis lainnya, di mana penyerang memasukkan kode berbahaya selama pengembangan perangkat lunak atau melalui pustaka pihak ketiga yang disusupi, yang berpotensi menyebabkan pelanggaran data besar dan akses tidak sah. Misalnya, pustaka pengembangan yang disusupi telah berfungsi sebagai saluran bagi penyerang untuk membobol sistem perbankan. Ancaman internal juga tetap menjadi perhatian penting, seperti yang ditunjukkan oleh insiden tahun 2019 di mana seorang mantan karyawan layanan cloud mengeksploitasi kesalahan konfigurasi firewall untuk mengakses data sensitif, yang menunjukkan bagaimana akses internal dan kesalahan teknis dapat mengakibatkan kebocoran data yang parah.
Episode-episode ini menyoroti kebutuhan mendesak bagi sektor perbankan untuk meningkatkan transparansi dan memperkuat langkah-langkah keamanan. Bank-bank progresif mengadopsi orkestrasi keamanan otomatis dan sistem respons insiden otomatis, yang secara signifikan mengurangi waktu respons dan mengurangi ruang lingkup kesalahan manusia. Namun, untuk secara efektif mengurangi ancaman-ancaman signifikan yang ditimbulkan oleh ketergantungan dan pelanggaran pihak ketiga ini, lembaga-lembaga keuangan juga harus secara ketat mengatasi kerentanan-kerentanan yang muncul selama proses pengembangan perangkat lunak itu sendiri.
Sektor perbankan sering kali bergulat dengan tantangan untuk mengamankan aplikasi secara menyeluruh, terutama karena ketergantungan pada sistem lama dan kompleksitas dalam mengintegrasikan beragam solusi teknologi. Hal ini terkadang dapat menyebabkan keamanan aplikasi agak terabaikan, meskipun ada investasi besar dalam langkah-langkah keamanan siber yang lebih luas. Kemajuan teknologi yang pesat memerlukan pembaruan berkelanjutan pada praktik keamanan, yang mungkin tidak selalu sejalan dengan pengembangan aplikasi perbankan baru. Selain itu, sektor ini menghadapi kekurangan kritis profesional keamanan siber yang diperlengkapi untuk menangani ancaman yang muncul, yang semakin mempersulit pengelolaan keamanan aplikasi yang efektif.
Untuk mengatasi tantangan dalam keamanan aplikasi (AppSec) yang disorot dalam konteks sektor perbankan, beberapa langkah strategis dan operasional dapat diterapkan:
- Menanamkan Keamanan dalam Siklus Hidup Pengembangan: Mengintegrasikan langkah-langkah keamanan di seluruh siklus hidup pengembangan perangkat lunak (SDLC) melalui pendekatan DevSecOps sangatlah penting. Ini berarti keamanan dipertimbangkan di setiap tahap pengembangan, mulai dari perencanaan hingga penerapan, sehingga keamanan menjadi hal yang hakiki dan bukan sekadar pertimbangan belakangan.
- Pelatihan Keamanan Reguler untuk Pengembang: Memberikan pelatihan keamanan berkelanjutan dan program kesadaran bagi pengembang membantu mengurangi risiko kerentanan yang muncul selama proses pengembangan. Ini termasuk pelatihan tentang praktik pengodean yang aman dan kesadaran akan ancaman keamanan dan teknik mitigasi terbaru. Sayangnya, Gartner menyatakan bahwa pelatihan berkelanjutan semacam ini masih jarang.
- Memanfaatkan Manajemen Postur Keamanan Aplikasi: Temukan platform ASPM yang tidak hanya mengidentifikasi kerentanan dalam kode yang ditulis oleh organisasi dan komponen pihak ketiga, tetapi juga melangkah lebih jauh dengan menyediakan kemampuan penentuan prioritas dan perbaikan.
- Memutakhirkan dan Menambal Sistem Lama: Perbarui dan tambal sistem lama secara berkala untuk menutup celah keamanan. Jika memungkinkan, pertimbangkan untuk memodernisasi aplikasi lama menggunakan kerangka kerja dan arsitektur yang lebih aman.
- Menerapkan Pemodelan Ancaman: Lakukan sesi pemodelan ancaman secara berkala untuk mengantisipasi vektor serangan potensial dan memahami di mana kerentanan paling kritis mungkin ada dalam aplikasi. Pendekatan proaktif ini dapat memandu strategi mitigasi yang efektif.
- Meningkatkan Manajemen Risiko Pihak Ketiga: Tetapkan kerangka kerja manajemen risiko pihak ketiga yang kuat yang mencakup penilaian keamanan ketat sebelum merekrut vendor, serta pemantauan berkelanjutan terhadap layanan pihak ketiga untuk memastikan kepatuhan terhadap standar keamanan.
- Mengadopsi Teknologi Keamanan Canggih: Memanfaatkan teknologi canggih seperti pembelajaran mesin dan kecerdasan buatan untuk mendeteksi pola yang tidak biasa dan potensi ancaman keamanan secara real time. Teknologi ini dapat meningkatkan efektivitas langkah-langkah keamanan dengan menyediakan deteksi ancaman yang lebih cepat dan lebih akurat.
Meskipun penerapan rekomendasi ini penting, para pemimpin keamanan finansial juga harus mengomunikasikan tindakan ini secara efektif kepada para pemangku kepentingan utama. Mereka harus mengartikulasikan bagaimana proses ini tidak hanya membuat tim keamanan lebih responsif dan efektif, tetapi juga meningkatkan efektivitas biaya tumpukan teknologi organisasi tanpa mengorbankan keamanan. Hal ini juga melibatkan identifikasi alat dengan kemampuan yang tumpang tindih dan penyempurnaan strategi keamanan untuk mengurangi biaya dan risiko. Dengan mengambil pendekatan yang komprehensif tersebut, lembaga keuangan dapat secara signifikan memperkuat kerangka kerja keamanan aplikasi mereka, sehingga lebih melindungi diri mereka sendiri terhadap lanskap ancaman dunia maya yang terus berkembang.
Sebaliknya, pendekatan yang bertujuan untuk memberikan wawasan ke seluruh infrastruktur cloud Anda dapat memberikan jawaban yang memerlukan solusi yang lebih kompleks. Hal utama yang harus diperhatikan oleh lembaga keuangan dalam industri keamanan adalah visibilitas: Jika mereka memiliki visibilitas ke lingkungan cloud mereka, mereka dapat berupaya untuk lebih memahami titik-titik buta tempat mereka mungkin rentan.