Dunia maya itu seperti labirin raksasa, dan kita semua tersesat di dalamnya (dengan sengaja, sih). Dahulu kala, para pembela dunia maya fokus pada tembok besar di sekeliling kastil digital. Sekarang? Nah, sekarang identitas Anda adalah kunci kerajaan.
Evolusi Peran Cybersecurity: Dari Benteng ke Identitas
Dulu, di era 2000-an, keamanan siber berkutat pada perlindungan perimeter. Kita bicara tentang firewall, VPN, dan eksploitasi celah untuk masuk dari luar. Di dalam, semuanya ada: server, data, aplikasi, jaringan. Keamanan di dalam sangat minim karena mengandalkan firewall besar yang berkedip-kedip untuk menjauhkan penjahat. Ibaratnya, mengandalkan gembok reyot untuk brankas berisi berlian.
Satu dekade kemudian, fokusnya beralih ke endpoint. Serangan phishing digunakan untuk menginjakkan kaki di satu perangkat, lalu merambah ke sistem lain dalam jaringan, hingga akhirnya mengkompromikan seluruh domain. Inilah era kejayaan Endpoint Detection and Response (EDR), yang lahir sebagai pelengkap perlindungan Anti-Virus tradisional.
Pergeseran fokus penyerang selalu dipicu oleh penguatan sistem. Firewall yang lebih baik mengalihkan target ke endpoint. Perubahan teknologi seperti Wi-Fi, kerja jarak jauh, dan adopsi SaaS juga punya pengaruh besar.
Menariknya, serangan lama tidak serta merta menghilang hanya karena fokus penyerang bergeser. Perangkat keamanan tepi dan endpoint masih menjadi target, meski lebih sulit untuk ditembus.
Frontier berikutnya adalah aplikasi SaaS. Serangan diarahkan dengan mengkompromikan identitas. Maka, muncullah pepatah "identitas adalah perimeter baru." Mungkin kedengarannya filosofis, tapi percayalah, ini serius.
Intinya? Kita tidak lagi membicarakan tembok, tapi tentang siapa yang memegang kuncinya. Bayangkan Single Sign On (SSO) sebagai satu kunci master untuk semua aplikasi Anda. Jika kunci itu jatuh ke tangan yang salah… voila! Kerajaan digital Anda runtuh.
Memahami SaaS Cybersecurity Kill Chain
Sebagian besar profesional TI akrab dengan cybersecurity kill chain — langkah-langkah yang diambil penyerang (secara garis besar) saat mengkompromikan sistem. Awalnya diadaptasi dari military Kill Chain, versi sibernya dirancang untuk mengkomunikasikan kepada non-ahli bahwa ada fase-fase yang dilalui penyerang untuk mencapai tujuan akhir mereka. Versi lainnya adalah MITRE ATT&CK framework, yang membagi beberapa fase lagi, tetapi mengikuti alur yang sama.
Namun, pendekatan ini sangat berfokus pada jaringan dan on-premises, yang tidak cocok dengan layanan cloud Software-as-a-Service (SaaS) modern. Banyak bisnis mengadopsi SaaS alih-alih aplikasi TI tradisional, dan beberapa bisnis kecil atau startup sepenuhnya berbasis SaaS — tanpa jaringan on-premises untuk dikompromikan.
Layanan SaaS bisa dan seringkali dikompromikan — lalu, seperti apa bentuknya? Fase-fase cyber kill chain sebagian besar tetap sama, tetapi apa yang terjadi di setiap fase berbeda ketika penjahat berfokus pada aplikasi SaaS.
Lanskap tempat serangan terjadi juga terlihat sangat berbeda. Dalam bisnis yang mengutamakan SaaS, Identity Provider (IdP) berada di jantung, dengan berbagai aplikasi yang terhubung dengannya, seperti Microsoft 365, Google Workspace, Slack, Salesforce, dan seterusnya. Tidak ada jaringan internal/eksternal, semuanya eksternal.
Taktik Baru, Ancaman Lama: Reconnaissance dan Initial Access di Era SaaS
Dalam fase reconnaissance, alih-alih menyelidiki port di firewall, penyerang lebih cenderung menyelidiki aplikasi SaaS mana yang digunakan organisasi dan bagaimana mereka terhubung dengannya. Salah satu tekniknya adalah SAML enumeration, yang dapat digunakan untuk mengidentifikasi penyedia SSO mana yang digunakan target. Security Assertion Markup Language (SAML) adalah protokol untuk mengonfigurasi SSO antara IdP dan aplikasi SaaS. Yang lainnya adalah slug tenant, domain awal yang digunakan pengguna atau administrator saat menyiapkan aplikasi SaaS, yang umumnya merupakan variasi dari nama perusahaan.
Untuk initial access, alih-alih mengkompromikan endpoint, tujuannya adalah untuk menaklukkan identitas cloud karena mereka memegang kunci "segala sesuatu." Phishing masih digunakan, tetapi alih-alih melampirkan file berbahaya, tautan yang disematkan mengarah ke halaman Attacker in the Middle yang dirancang untuk menangkap kata sandi dan token Multi-Factor Authentication (MFA) dari pengguna akhir. Email phishing juga bukan satu-satunya cara, dengan Instant Message phishing di Teams atau Slack menjadi lebih umum. Pendekatan lain adalah OAuth consent phishing, yang menyajikan layar izin kepada pengguna akhir, dan jika mereka menyetujui, aplikasi berbahaya sekarang memiliki izin yang diberikan, terlepas dari MFA pengguna dan seterusnya.
Persistence dan Execution: Bagaimana Penyerang Bersembunyi di Balik Aplikasi SaaS
Setelah penyerang masuk, mereka ingin mempertahankan persistence pada sistem. Dulu, ini melibatkan pengaturan tugas terjadwal atau membuat layanan yang menyediakan titik koneksi bagi penyerang jika mereka dikeluarkan. Di dunia cloud baru, ini berarti membuat akun di aplikasi SaaS, menyiapkan aplikasi OAuth (sekarang setelah Anda memiliki akses sebagai pengguna), membuat tautan berbagi ke data di OneDrive atau Google Drive, atau menambahkan secondary logins ke aplikasi SaaS.
Masalah terbesar dari perspektif respons insiden adalah bahwa aplikasi SaaS memberi penyerang lebih banyak tempat untuk bersembunyi. Dahulu, jika Anda menangkap serangan endpoint lebih awal, perbaikan akan melibatkan (saya telah melakukan langkah-langkah persis ini untuk klien saya): mengakhiri sesi mereka; mengatur ulang kata sandi pengguna; memeriksa apakah tidak ada metode MFA tambahan yang ditambahkan; memeriksa aturan penerusan email; dan kemudian membuat ulang gambar perangkat endpoint. Sekarang, dengan akses beberapa menit sebagai pengguna, penyerang dapat pergi ke panel aplikasi SaaS Anda dan menambahkan beberapa jenis persistence yang berbeda ke lusinan atau ratusan aplikasi, dan bahkan jika Anda mengatur ulang semuanya untuk pengguna dan menghapus endpoint mereka, penyerang terus memiliki akses melalui ini.
Dalam fase execution, kita dapat melihat malware, memory implants, atau skrip PowerShell melakukan perintah jahat penyerang di endpoint, tetapi di dunia SaaS, ini lebih terlihat seperti memanfaatkan automation workflows atau menyiapkan akses API. Salah satu cara menarik di sini adalah mendaftarkan second instance dari aplikasi OAuth, sesuatu yang biasanya tidak menghasilkan log.
Pelajaran Penting: Jangan Biarkan Kunci Anda Jatuh ke Tangan yang Salah
Jadi, apa yang bisa kita pelajari dari semua ini? Keamanan siber di era SaaS bukan hanya tentang firewall atau antivirus, tetapi tentang mengamankan identitas. Pastikan Anda menggunakan MFA yang kuat, waspadalah terhadap phishing, dan periksa izin aplikasi Anda secara teratur. Karena di dunia digital ini, identitas Anda adalah kerajaan Anda. Dan Anda adalah raja atau ratunya. Jangan biarkan mahkota Anda dicuri!
