Ancaman Orang Dalam Yang Terlalu Banyak Diabaikan Kepala Perusahaan

Regulasi privasi yang berkembang, serangan siber yang menghancurkan, dan perubahan cepat ke model bisnis work-from-anywhere (WFA) telah menciptakan badai masalah keamanan yang sempurna. WFA sangat menantang, karena tampaknya dalam semalam, perusahaan perlu memastikan konektivitas yang aman bagi karyawan yang bekerja dari rumah menggunakan perangkat yang tidak aman. Dan sekarang banyak dari kita yang kembali ke kantor, perusahaan memasuki era baru tenaga kerja hibrida, di mana karyawan akan secara teratur mengakses aplikasi dari dalam dan luar firewall perusahaan.

Menanggapi tren ini, banyak diskusi keamanan berfokus pada "ujung perimeter jaringan", yang menunjukkan waktu yang lebih sederhana ketika segala sesuatu di luar perimeter dianggap berpotensi tidak aman, sementara semua yang ada di dalam perimeter secara otomatis dianggap aman. Tentu saja, ini tidak pernah terjadi. Selalu ada ancaman orang dalam dalam bentuk karyawan yang tidak puas, orang yang ceroboh atau kurang informasi yang dengan bersemangat mengklik tautan apa pun dalam email yang menarik dan praktik administrasi keamanan jaringan yang buruk.

Ancaman orang dalam penting lainnya yang kurang mendapat perhatian adalah aplikasi yang mengandung kerentanan keamanan. Namun, di dunia di mana aplikasi diakses dari mana saja menggunakan perangkat apa pun, menghilangkan kerentanan ini selama proses pengkodean telah menjadi garis pertahanan yang penting.

Kode Tidak Aman Sebagai Ancaman Orang Dalam apakah kode tidak aman dalam aplikasi Anda mengancam perusahaan Anda? Kode yang rentan — baik di aplikasi yang Anda gunakan atau aplikasi yang Anda jual — membuka pintu untuk serangan. Misalnya, mereka mengizinkan penyerang untuk membuat pintu belakang ke dalam jaringan yang aman atau mengkonfigurasi server distribusi spyware yang menginfeksi setiap pengguna yang sah. Kode rentan datang dalam berbagai bentuk, dan ada daftar panjang kerentanan terkenal dengan identifikasi kerentanan dan eksposur (CVE) umum.

Sebaiknya berhenti sejenak pada pasangan untuk memahami implikasi teknis dan kepentingannya. Bentuk kerentanan yang paling sederhana dan paling umum adalah kesalahan konfigurasi keamanan, di mana pengembang yang tidak menaruh curiga mengandalkan konfigurasi default yang tidak aman, gagal menyelesaikan konfigurasi, salah mengonfigurasi header HTTP, atau membuat pesan kesalahan yang berisi informasi sensitif, di antara banyak jebakan lainnya.

Cross-site scripting (XSS), kerentanan terkenal lainnya yang telah menjangkiti perangkat lunak selama beberapa dekade, memungkinkan penyerang untuk mengkompromikan interaksi pengguna dengan aplikasi situs web yang rentan dengan mengubah kode yang dikirim ke korban, yang kemudian dieksekusi di situs pengguna. peramban web. Ini dapat memungkinkan penyerang mencuri informasi login, menginfeksi perangkat korban, mengubah konten situs web, meluncurkan proses yang tidak diinginkan (seperti transaksi keuangan), memberikan akses ke panel admin situs, dan banyak lagi. British Airways mengalami pelanggaran data pada tahun 2018 berkat kerentanan skrip lintas situs, mengorbankan 380.000 catatan pelanggan. Serangan itu memungkinkan penjahat dunia maya untuk menyuntikkan kode berbahaya yang membantu mereka membaca detail pelanggan saat dikirimkan melalui formulir online. Lebih licik lagi, mereka mengatur ini melalui sertifikat SSL yang sah, agar tidak menimbulkan kecurigaan bahkan dari konsumen yang paling paham teknologi sekalipun.

Injeksi SQL, kerentanan umum lainnya, memungkinkan penyerang menambahkan kode bahasa kueri terstruktur (SQL) ke kotak input formulir web untuk mendapatkan akses ke data sensitif, mencurinya, mengubahnya, menghapusnya, dan berpotensi menyebabkan kerusakan serius. Salah satu pelanggaran injeksi SQL terbesar terjadi pada tahun 2007, dengan 7-Eleven sebagai korbannya. Kerentanan (agak mudah diperbaiki) ini memungkinkan penyerang untuk menutup jaringan mereka, memberi mereka akses berkelanjutan. Hal ini mengakibatkan pencurian lebih dari 4 juta nomor kartu kredit dan hukuman penjara yang besar dan kuat setelah penjahat ditemukan. Kerusakan reputasi sangat besar pada saat itu, dan bug keamanan ini terus menyebabkan masalah bagi organisasi saat ini.

Yang penting tentang ini dan banyak kerentanan lainnya adalah bahwa mereka dapat dengan mudah dicegah melalui praktik pengkodean yang aman. Misalnya, skrip lintas situs dapat dicegah oleh pengembang dengan benar membersihkan dan memvalidasi input yang diberikan pengguna, dan menyandikan input apa pun yang digunakan sebagai output, di antara teknik lainnya tergantung pada konteksnya. Demikian pula, injeksi SQL dapat dicegah menggunakan beberapa praktik terbaik sederhana, seperti, jika memungkinkan, menggunakan pernyataan yang disiapkan dan kueri berparameter alih-alih menerima input pengguna, dan melakukan validasi kapan pun input pengguna harus diterima.

Sayangnya, terlepas dari pentingnya kode aman dan relatif mudah untuk memastikannya, pengembang sering mengabaikan masalah ini karena dua alasan dasar. Pertama, sebagian besar pengembang tidak melihat keamanan sebagai masalah atau prioritas mereka. Mereka merancang kemampuan dan membangun fitur. Mereka menciptakan kemungkinan — mereka tidak membatasinya. Akibatnya, keamanan dipandang sebagai masalah orang lain. Kedua, bahkan jika mereka peduli dengan keamanan, sebagian besar pengembang tidak memiliki pengetahuan atau alat untuk secara proaktif memecahkan masalah keamanan dan kerentanan.

Waktunya telah tiba untuk pendekatan yang lebih praktis. Bisnis harus mengatasi pola pikir keamanan di antara pengembang dan kemampuan mereka untuk proaktif tentang keamanan — dan waktu untuk bertindak adalah sekarang.

Cara Memastikan Kode yang Aman Satu-satunya cara untuk mencegah kerentanan agar tidak dikodekan ke dalam aplikasi adalah dengan melembagakan pengkodean yang aman dan praktik terbaik pengembangan. Ini adalah tujuan dari DevSecOps, yang bertujuan untuk memastikan bahwa setiap orang yang menyentuh perangkat lunak — terutama selama fase pengembangan — sadar akan keamanan. Untuk menjadi sadar akan keamanan, pengembang harus menerima pelatihan yang relevan dan sering tentang potensi kerentanan dan cara menghindarinya.

Lebih baik lagi, bagi pengembang yang sadar akan keamanan, menulis kode aman menjadi sama pentingnya dengan membangun kemampuan baru, sehingga mereka bangga dengan pekerjaan mereka dan bahkan mungkin bersaing untuk menghasilkan kode yang paling kedap udara. Dengan cara ini, mereka melakukan lebih dari sekadar memastikan mereka menghilangkan CVE yang berusia puluhan tahun. Mereka menjadi juara keamanan proaktif.

Namun, ini tidak akan terjadi kecuali perusahaan membuat mandat top-down yang menjadikan pengembangan yang aman sebagai bagian integral dari organisasi yang mengutamakan keamanan. Perusahaan juga harus menyediakan pengetahuan dan sumber daya yang diperlukan untuk pengembang, baik melalui pelatihan tambahan atau mekanisme lainnya.

Di dunia WFA terdistribusi saat ini, menciptakan lingkungan yang mempromosikan penulisan kode aplikasi yang aman selama proses pengembangan adalah cara sederhana dan hemat biaya untuk membantu melindungi data Anda, mematuhi peraturan privasi, dan melindungi pelanggan, mitra, dan karyawan Anda.

Tidak mungkin untuk mengawasi setiap karyawan sepanjang waktu, jadi sulit untuk sepenuhnya menghilangkan ancaman orang dalam, terlepas dari apakah mereka bertindak sembarangan atau jahat. Namun, melindungi data dan memastikan bahwa tim keamanan diberi tahu tentang aktivitas yang tidak biasa harus menjadi prioritas utama. Solusi analitik perilaku dapat memantau tindakan karyawan biasa, seperti jam kerja yang aneh atau lonjakan data yang tidak teratur. Pertahankan kontrol ketat atas akses resmi; karyawan hanya boleh memiliki akses ke file yang mereka butuhkan. Otentikasi multifaktor juga akan membantu memastikan bahwa informasi penting aman dan hanya orang yang membutuhkannya yang dapat mengaksesnya. Laporan Ancaman Orang Dalam Verizon 2019 merekomendasikan untuk melengkapi klasifikasi data dengan solusi perlindungan konten, menyediakan kemampuan enkripsi yang persisten, menautkan ke kebijakan klasifikasi, dan secara otomatis menerapkannya saat menetapkan tingkat klasifikasi.