Kenapa Audit, Manajemen Risiko, dan Kepatuhan Tidak Bisa Lagi Hanya Mengandalkan Checklist?

Pendahuluan

Bagaimana jika organisasi Anda berhasil lulus audit kepatuhan terakhir dengan nilai sempurna, sementara seorang penyerang sudah berada di dalam jaringan Anda sepanjang waktu itu? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi pelanggaran keamanan kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Angka tersebut bukan mencerminkan kegagalan dokumentasi kepatuhan. Ini mencerminkan kesenjangan mendasar antara apa yang diukur oleh kerangka audit dan apa yang sebenarnya dilakukan oleh para pelaku ancaman di dunia nyata. Bagi para pemimpin keamanan di Asia Tenggara dan sekitarnya, kesenjangan ini adalah masalah paling mendesak yang perlu diselesaikan oleh program Audit, Jaminan Risiko & Kepatuhan modern. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi yang mencakup Singapura, Australia, dan Uni Emirat Arab, telah bekerja sama dengan berbagai organisasi di kawasan ini untuk menutup kesenjangan tersebut sebelum pelanggaran berikutnya menjadikannya tak terelakkan.

Sumber: IBM Cost of a Data Breach Report 2024

Ilusi Kepatuhan: Ketika Lulus Audit Tidak Berarti Apa-Apa

Kerangka audit dan kepatuhan dibangun untuk menetapkan kebersihan keamanan dasar dan menciptakan akuntabilitas organisasi. Hal itu berhasil mereka capai. Namun, apa yang tidak pernah dirancang untuk dilakukan adalah mendeteksi penyerang yang sudah melewati perimeter dan beroperasi secara diam-diam di dalam lingkungan menggunakan kredensial sah dan alat-alat tepercaya. Laporan Ancaman Global CrowdStrike 2024 mendokumentasikan breakout time, jendela waktu antara akses awal penyerang dan pergerakan lateral mereka melintasi jaringan, yang telah menyusut hingga hanya 62 menit untuk intrusi tercepat yang teramati, dengan rata-rata jauh di bawah tiga jam. Pada saat peringatan berbasis tanda tangan menyala, pelaku ancaman sudah berpindah tempat.

Hal ini menciptakan masalah struktural bagi program jaminan risiko yang memperlakukan kepatuhan sebagai tolok ukur postur keamanan. Kebijakan firewall yang memuaskan daftar periksa auditor tidak akan menghentikan aktor negara-bangsa yang melakukan autentikasi menggunakan kredensial curian. Autentikasi multi-faktor, meskipun sangat penting, tidak mencegah penyerang menyalahgunakan Windows Management Instrumentation untuk pergerakan lateral setelah mendapatkan akses awal. Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam deteksi ancaman proaktif sebagai komponen inti dari strategi jaminan risiko mereka, bukan sebagai kemewahan, melainkan sebagai kelanjutan logis dari program kepatuhan yang matang.

Sumber: CrowdStrike Global Threat Report 2024 · IBM Cost of a Data Breach Report 2024

Perburuan Ancaman sebagai Disiplin Jaminan Risiko

Perburuan ancaman (threat hunting) bukan pengganti kerangka kepatuhan. Ini adalah apa yang tidak dapat dilakukan oleh kerangka kepatuhan secara mandiri: secara aktif mencari bukti kehadiran penyerang dengan asumsi bahwa perimeter telah dibobol. ITSEC Asia mendekati perburuan ancaman sebagai disiplin terstruktur berbasis hipotesis yang langsung berkontribusi pada postur risiko organisasi secara keseluruhan. Model Kematangan Perburuan Ancaman dari SANS Institute menggambarkan evolusi dari investigasi ad hoc menuju program perburuan yang terdokumentasi dan dapat diulang, dengan hipotesis yang terdefinisi, persyaratan telemetri, dan hasil yang terukur. Pada tingkat kematangan tertinggi, program perburuan ancaman menghasilkan peningkatan rekayasa deteksi yang mempertajam sistem otomatis yang diandalkan oleh Pusat Operasi Keamanan, sehingga infrastruktur kepatuhan menjadi semakin cerdas setelah setiap siklus perburuan.

Kerangka MITRE ATT&CK menyediakan kosakata terstruktur yang digunakan para pemburu ancaman untuk merumuskan hipotesis tersebut, memastikan cakupan perburuan dipetakan secara sistematis di seluruh rantai serangan penuh, bukan sekadar mengejar insiden terisolasi. Bagi para profesional jaminan risiko, metodologi ini merepresentasikan jenis kontrol berbasis bukti yang dapat diulang, yang seharusnya diukur oleh kerangka audit, namun jarang dilakukan.

Sumber: SANS Institute Threat Hunting Maturity Model · MITRE ATT&CK Framework

Tekanan Regulasi Sedang Menutup Kesenjangan

Lingkungan regulasi mulai mencerminkan realitas operasional. NIST Cybersecurity Framework 2.0 secara eksplisit memasukkan pemantauan berkelanjutan dan deteksi ancaman proaktif sebagai fungsi keamanan inti, jauh melampaui penekanan sebelumnya pada pertahanan perimeter dan respons insiden. Di Indonesia, strategi keamanan siber nasional yang diartikulasikan oleh BSSN semakin mengharapkan organisasi untuk menunjukkan kemampuan deteksi ancaman aktif, bukan sekadar postur kepatuhan statis. Di tingkat internasional, kerangka seperti Direktif NIS2 Uni Eropa pun mendorong ke arah yang sama.

Eksposur finansial akibat tidak memenuhi ekspektasi ini bukanlah hal yang abstrak. Penelitian Ponemon Institute menempatkan rata-rata biaya pelanggaran data di sektor kesehatan pada USD 9,77 juta, angka tertinggi di semua sektor selama empat belas tahun berturut-turut. Biaya tersebut tidak terutama didorong oleh pengeluaran respons pelanggaran, melainkan oleh dwell time penyerang: berbulan-bulan di mana pelaku bergerak melalui jaringan, mengekstrak data, dan membangun persistensi sebelum ada yang menyadarinya. Bagi organisasi di sektor layanan keuangan, infrastruktur kritis, kesehatan, dan telekomunikasi, pertanyaan jaminan risiko bukan lagi apakah perlu berinvestasi dalam deteksi proaktif, melainkan apakah kemampuan yang ada sudah cukup matang untuk efektif pada saat paling dibutuhkan.

Sumber: NIST Cybersecurity Framework 2.0 · BSSN National Cybersecurity Strategy · Ponemon Institute Data Breach Research

Bangun Kemampuan Sebelum Insiden Memaksanya

Organisasi yang mengalami kompromi berulang bukan sekadar sial. Mereka beroperasi tanpa kemampuan investigatif dan proaktif yang dapat memberi tahu mereka, dengan keyakinan, apakah penyerang sedang hadir saat ini dan apa yang berubah sejak insiden terakhir. Perburuan ancaman menutup kesenjangan itu dengan mengubah telemetri pasif menjadi intelijen aktif dan mentransformasi pengeluaran keamanan dari pusat biaya reaktif menjadi fungsi pengurangan risiko yang nyata. Waktu untuk membangun kemampuan ini adalah sebelum penyerang menjadikannya mendesak.

ITSEC Asia menyediakan kemampuan perburuan ancaman, forensik digital, dan respons insiden bagi organisasi di Indonesia, Singapura, Australia, dan Uni Emirat Arab. Jika organisasi Anda ingin menilai kematangan perburuan ancaman saat ini atau membangun kemampuan deteksi proaktif sebagai bagian dari program Audit, Jaminan Risiko & Kepatuhan yang lebih kuat, hubungi spesialis keamanan ITSEC Asia untuk memulai percakapan hari ini.

👉 Konsultasikan dengan spesialis keamanan kami: https://itsec.asia/contact