3 Alasan Penyerang Memanfaatkan Alat Terpercaya Anda dan Kenapa Anda Tak Menyadarinya

Dalam dunia keamanan siber yang terus berkembang, para penyerang kini mengubah taktik mereka dengan memanfaatkan alat yang sudah dipercaya dan ada di dalam lingkungan kerja Anda sendiri. Living off the Land (LOTL) menjadi metode yang makin populer, di mana pelaku kejahatan menggunakan alat dan utilitas asli untuk bergerak, meningkatkan hak akses, dan bertahan tanpa terdeteksi. Fenomena ini membuat sebagian besar organisasi gagal mengenali ancaman sampai kerusakan sudah terjadi.

Mengapa Penyerang Memilih Memanfaatkan Alat Terpercaya Anda?

Berikut adalah 3 alasan utama mengapa penyerang lebih suka menggunakan alat yang ada di lingkungan Anda ketimbang menggunakan malware tradisional:

1. Serangan Kini Tidak Terlihat Seperti Serangan
   Analisis dari lebih 700.000 insiden berisiko tinggi menunjukkan bahwa 84% serangan memanfaatkan alat resmi untuk mengelabui sistem keamanan. Alat bawaan seperti PowerShell, WMIC, dan Certutil menjadi favorit penyerang karena mereka sama yang digunakan tim TI setiap hari. Akibatnya, aktivitas berbahaya menyatu dengan operasi normal, menciptakan blind spot yang berbahaya bagi tim keamanan.
2. Permukaan Serangan Internal Lebih Luas dan Tidak Terkelola
   Sistem operasi seperti Windows 11 secara default membawa ratusan binary native yang dapat disalahgunakan untuk serangan LOTL. Karena alat ini sangat dibutuhkan untuk fungsi normal dan aplikasi, memblokirnya bukan pilihan. Belum lagi, akses terhadap alat ini seringkali tidak terkontrol dengan baik, dengan 95% akses terhadap alat berisiko dianggap tidak perlu. Setiap izin yang tidak perlu membuka jalur bagi penyerang tanpa perlu memperkenalkan malware baru.
3. Deteksi Saja Tidak Cukup
   Sistem deteksi seperti EDR dan XDR memang efektif untuk mengidentifikasi malware dan aktivitas abnormal. Namun, dengan penyerang yang memanfaatkan alat resmi, interpretasi menjadi kunci. Tim keamanan harus membedakan apakah perintah PowerShell itu sah atau berbahaya, dan ini seringkali sulit dilakukan dengan cepat. Ditambah dengan serangan yang semakin cepat dan didukung AI, lateral movement dan persistence bisa terjadi sebelum investigasi selesai.

Permasalahan yang Kerap Terabaikan: Kurangnya Visibilitas Permukaan Serangan Internal

Banyak organisasi kesulitan memetakan akses dan penggunaan alat berisiko di lingkungan mereka karena keterbatasan waktu dan sumber daya. Pertanyaan penting yang sering terabaikan adalah:

• Alat mana yang dapat diakses oleh siapa di seluruh organisasi?
• Di mana akses yang berlebihan dan tidak perlu terjadi?
• Bagaimana pola akses tersebut menjadi jalur serangan nyata?

Tanpa pemahaman ini, risiko tidak dapat diprioritaskan dengan baik, sehingga celah keamanan tetap terbuka.

Bergerak Dari Reaktif ke Proaktif dengan Memahami Risiko Anda

Solusi untuk mengatasi tantangan ini bukan hanya menambah alat keamanan baru, melainkan memulai dengan pemahaman mendalam tentang risiko yang ada. Penilaian Permukaan Serangan Internal (Internal Attack Surface Assessment) seperti yang ditawarkan oleh Bitdefender memberikan gambaran jelas dan data-driven tentang seberapa besar Anda terekspos akibat penggunaan alat terpercaya. Penilaian ini fokus pada mengidentifikasi akses yang tidak perlu serta rekomendasi prioritas tanpa mengganggu aktivitas pengguna.

Memahami lingkungan Anda sebagaimana penyerang melihatnya adalah langkah awal penting untuk mengurangi jalur serangan yang mungkin dimanfaatkan pelaku kejahatan. Karena serangan LOTL kini menjadi modus utama, risiko terbesar bukan berasal dari ancaman eksternal baru, melainkan dari apa yang sudah ada di dalam sistem Anda.

Analisis Redaksi

Menurut pandangan redaksi, tren pemanfaatan alat resmi untuk serangan menandakan perubahan paradigma besar dalam keamanan siber. Organisasi tidak lagi cukup mengandalkan deteksi tradisional yang berfokus pada file atau malware yang jelas terlihat. Sebaliknya, perlu ada pendekatan yang lebih holistik dengan visibilitas penuh terhadap akses dan penggunaan alat yang sah di lingkungan internal.

Ini juga membuka diskusi penting tentang manajemen hak akses dan kebijakan pengendalian penggunaan alat native yang selama ini dianggap sepele. Jika tidak segera direspons, risiko serangan internal yang tersembunyi dapat menyebabkan kerusakan signifikan yang tidak mudah diperbaiki.

Ke depan, organisasi harus meningkatkan investasi pada solusi yang dapat memetakan dan memprioritaskan risiko internal dengan cepat dan akurat, serta memperkuat koordinasi antara tim keamanan dan TI. Memahami dan memitigasi risiko dari alat terpercaya adalah kunci untuk membangun pertahanan yang tangguh di era serangan canggih ini.

Untuk informasi lebih lengkap dan penilaian risiko internal, Anda dapat membaca langsung melalui sumber aslinya di The Hacker News dan mengikuti perkembangan terbaru di media terpercaya seperti CNN Indonesia Teknologi.