Kunci Sukses Tangani Serangan Siber

Kunci Sukses Tangani Serangan Siber – Para penjaga keamanan jaringan (defender) kini merasakan tekanan yang kian meningkat. Data menunjukkan bahwa jumlah pelanggaran data yang diselidiki tahun lalu melonjak.

Diketahui peningkatan tersebut hingga 20% dibandingkan tahun sebelumnya. Angka ini tidak harus berakhir bencana, asalkan tim keamanan mampu bertindak cepat dan tegas saat terjadi intrusi.

Kebutuhan Mendesak untuk Bertindak Cepat

Begitu penjahat siber masuk ke jaringan Anda, waktu mulai menghitung mundur. Tujuan mereka jelas mencuri data sensitif untuk ditebus (ransom).

Atau menyebarkan ransomware dan malware lainnya. Kunci untuk bertahan adalah menghentikan mereka sebelum mereka mencapai “harta karun” data perusahaan Anda.

Sayangnya, para penyerang kini bergerak semakin cepat.

Penelitian terbaru menunjukkan bahwa pada tahun 2024, penyerang bergerak dari akses awal hingga pergerakan lateral (lateral movement, pergerakan di dalam jaringan) 22% lebih cepat dari tahun sebelumnya. Waktu rata-rata mereka untuk “keluar” (mencuri data atau menyebar serangan) hanya 48 menit.
Serangan tercepat yang tercatat hanyalah 27 menit. Bisakah tim Anda merespons serangan dalam waktu kurang dari setengah jam?
Menurut IBM, rata-rata waktu yang dibutuhkan organisasi global untuk mendeteksi dan mengatasi serangan adalah 241 hari. Pelanggaran yang siklusnya di bawah 200 hari, biaya kerugiannya bisa turun sekitar 5% menjadi sekitar US3,9juta,sementara yang diatas 200 hari menelan biaya lebih dari US5 juta.

Kesimpulannya, persiapan adalah kunci. Jangan pernah improvisasi saat darurat. Semua orang, dari tim IT hingga pimpinan, harus tahu persis apa yang harus dilakukan.

5 Langkah Penting dalam 48 Jam Pertama Setelah Serangan

Kunci Sukses Tangani Serangan Siber — Image credit: Freepix

Tidak ada organisasi yang 100% kebal dari serangan. Jika Anda mencurigai adanya akses tidak sah, Anda harus bekerja cepat, tetapi juga teratur.

Lima langkah berikut dapat memandu 24 hingga 48 jam pertama Anda. Ingat, beberapa langkah ini harus dilakukan secara bersamaan (konkuren).

1. Kumpulkan Informasi dan Pahami Lingkup Serangan

Langkah pertama adalah memahami persis apa yang terjadi dan mengaktifkan Rencana Respons Insiden (IR Plan) yang sudah Anda buat sebelumnya.

Segera beri tahu tim respons insiden Anda. Kelompok ini harus mencakup pemangku kepentingan (stakeholders) dari seluruh bisnis: SDM, PR/Komunikasi, Hukum, dan Kepemimpinan Eksekutif.
Cari tahu seberapa luas serangan itu:
Bagaimana penyerang masuk ke jaringan?
Sistem mana saja yang sudah disusupi?
Tindakan berbahaya apa yang sudah dilakukan penyerang?
Catat setiap langkah yang Anda ambil dan kumpulkan semua bukti. Ini penting untuk investigasi forensik dan, jika diperlukan, untuk tujuan hukum. Pastikan Anda menjaga rantai kustodi (chain of custody) bukti.

2. Beri Tahu Pihak Ketiga yang Relevan

Setelah Anda mengetahui apa yang terjadi, beri tahu pihak-pihak terkait secepat mungkin:

Jika data pribadi (Personally Identifiable Information/PII) dicuri, hubungi otoritas perlindungan data yang relevan di wilayah Anda.
Kebanyakan polis asuransi siber mengharuskan Anda memberi tahu penyedia asuransi segera setelah pelanggaran terjadi.
Transparansi membangun kepercayaan. Lebih baik mereka tahu dari Anda daripada dari media sosial atau berita TV. Siapkan pernyataan komunikasi yang jelas.
Melaporkan insiden, terutama ransomware, dapat membantu mengidentifikasi kampanye yang lebih besar dan terkadang menghasilkan alat dekripsi atau dukungan intelijen.
Hubungi ahli hukum dan IT eksternal jika sumber daya internal Anda terbatas.

3. Isolasi dan Bendung Serangan (Containment)

Sambil melakukan pemberitahuan, Anda harus bergerak cepat untuk mencegah penyebaran serangan.

Isolasi sistem yang terpengaruh dari internet. Matikan akses jarak jauh, reset kredensial VPN, dan gunakan alat keamanan untuk memblokir lalu lintas berbahaya yang masuk.
Jangan mematikan perangkat yang terinfeksi karena Anda dapat merusak bukti penting. Tujuannya adalah membatasi jangkauan penyerang tanpa menghancurkan bukti.
Pastikan semua data cadangan (backup) Anda terpisah dan terputus dari jaringan (offline), sehingga penyerang tidak dapat merusaknya atau mengenakan ransomware pada data cadangan Anda.

4. Bersihkan dan Pulihkan (Remove and Recover)

Setelah serangan berhasil dibendung, saatnya beralih ke pemberantasan (eradication) dan pemulihan.

Lakukan analisis untuk memahami taktik penyerang, dari titik masuk hingga pergerakan lateral mereka.
Hapus semua malware, backdoor, akun bodong (rogue accounts), dan tanda-tanda kompromi lainnya.
Saatnya memulihkan sistem menggunakan data cadangan yang bersih (setelah Anda mengonfirmasi bahwa backup itu tidak terinfeksi).
Gunakan fase pemulihan ini untuk memperkuat sistem Anda, bukan sekadar membangun kembali. Perketat kontrol hak akses (privilege controls), terapkan autentikasi yang lebih kuat (MFA), dan tegakkan segmentasi jaringan.

5. Tinjau dan Tingkatkan (Review and Improve)

Setelah bahaya langsung berlalu, pekerjaan Anda belum selesai.

Penuhi kewajiban Anda kepada regulator, pelanggan, dan pihak terkait lainnya (seperti mitra). Konsultasikan dengan penasihat hukum dan PR Anda.
Lakukan tinjauan menyeluruh untuk mencari tahu apa yang salah, apa yang berhasil, dan di mana deteksi atau komunikasi Anda tertinggal.
Perbarui rencana IR Anda, buku pedoman (playbooks), dan prosedur eskalasi. Terapkan kontrol keamanan baru dan berikan pelatihan karyawan yang lebih baik.

Anggaplah setiap pelanggaran sebagai latihan keras untuk yang berikutnya. Membangun respons insiden yang sukses bukan hanya urusan tim IT.

Melainkan membutuhkan kerja sama harmonis dari seluruh organisasi. Kebiasaan dan refleks yang Anda butuhkan hanya bisa dikembangkan dengan banyak latihan.

Baca artikel lainnya: