/data/photo/2026/04/07/69d4f67c08c75.jpg)
/data/photo/2025/08/13/689c5cc3d1aab.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5562005/original/015189900_1776770968-ROCK_Action_-_Meteor_-_Main_KV_-_Poster_KV_Master_Landscape.jpg)
![[QUIZ] Idolamu di Upin Ipin Bisa Menentukan Career Path yang Cocok untukmu](https://image.idntimes.com/post/20260219/upload_dda55f3afb4c689a82a3ce23e66a8e05_d55d8904-977f-468f-8e13-b9bed74694f6.jpg)
Serangan Berbasis Identitas: Cara Penyerang Masuk Lewat Pintu Depan Tanpa Eksploitasi
Dalam beberapa tahun terakhir, industri keamanan siber sibuk mengejar ancaman canggih seperti zero-day, kompromi rantai pasokan, dan eksploitasi yang dihasilkan AI. Namun, pintu masuk paling andal bagi penyerang tetap tidak berubah: kredensial yang dicuri.
Serangan Berbasis Identitas Masih Mendominasi
Serangan berbasis identitas menjadi vektor akses awal paling dominan dalam insiden kebocoran data saat ini. Penyerang memperoleh kredensial valid melalui berbagai cara seperti credential stuffing dari database pelanggaran sebelumnya, penyemprotan kata sandi (password spraying) pada layanan yang terekspos, atau kampanye phishing. Dengan kombinasi username dan password yang sah, mereka dapat langsung masuk tanpa perlu eksploitasi teknis.
Kesulitannya terletak pada bagaimana akses awal ini terlihat sangat biasa. Login yang berhasil menggunakan kredensial valid tidak memicu alarm seperti halnya pemindaian port atau panggilan balik malware. Penyerang tampak seperti karyawan biasa. Setelah berada di dalam, mereka akan mengekstrak dan memecahkan sandi tambahan, menggunakan kredensial tersebut untuk bergerak lateral, dan memperluas pijakan di seluruh lingkungan TI. Bagi kelompok ransomware, rantai ini berujung pada enkripsi data dan pemerasan dalam hitungan jam. Sedangkan untuk aktor negara, akses ini memungkinkan mereka bertahan lama dan mengumpulkan intelijen.
AI Mempercepat Metode Serangan yang Sudah Ada
Polanya sendiri sebenarnya tidak banyak berubah, tetapi kini kecepatannya meningkat drastis berkat kecanggihan AI. Penyerang memanfaatkan AI untuk:
- Mengotomasi pengujian kredensial dengan cakupan target yang lebih luas.
- Menghasilkan alat khusus dengan lebih cepat.
- Membuat email phishing yang semakin sulit dibedakan dari komunikasi asli.
Percepatan ini memberikan tekanan tambahan pada tim pertahanan yang sudah kewalahan. Kebocoran terjadi lebih cepat, menyebar lebih luas, dan menjangkau sistem mulai dari identitas, infrastruktur cloud, hingga endpoint. Tim respons insiden yang terbiasa dengan tempo lambat kini kesulitan mengikuti perkembangan ini.
Pendekatan Dinamis dalam Respons Insiden
Di sinilah cara berpikir tim terhadap respons insiden sama pentingnya dengan kontrol teknis yang mereka gunakan. Dalam SEC504, kami mengajarkan Pendekatan Dinamis untuk Respons Insiden (DAIR), model yang dirancang untuk menangani insiden apapun secara efektif, dibandingkan model linier tradisional.
Model klasik menganggap proses sebagai urutan langkah: persiapan, identifikasi, penahanan, pemberantasan, pemulihan, dan evaluasi. Masalahnya, insiden nyata tidak berjalan lurus. Data baru yang ditemukan saat penahanan bisa mengubah persepsi tentang cakupan insiden. Bukti selama pemberantasan dapat mengungkap taktik penyerang yang tidak diketahui saat deteksi awal. Cakupan insiden hampir selalu membesar, jarang mengecil.
DAIR mengakomodasi realitas ini dengan memasukkan siklus berulang setelah deteksi dan verifikasi insiden, yaitu:
- Menentukan cakupan kompromi.
- Menahan sistem yang terdampak.
- Menghilangkan ancaman.
- Memulihkan operasi.
Siklus ini berulang setiap kali informasi baru muncul. Misalnya, kompromi berbasis kredensial yang awalnya hanya memengaruhi satu workstation, saat penahanan ditemukan mekanisme persistensi berbasis registry. Temuan ini membuat tim kembali menentukan cakupan dan mencari indikator yang sama di seluruh perusahaan. Jika ditemukan alamat IP penyerang, siklus penahanan dan pemberantasan pun terulang sampai insiden benar-benar teratasi.
DAIR membedakan dirinya dari model tradisional dengan menjadikan sifat iteratif dan kompleks investigasi sebagai bagian proses, bukan penyimpangan.
Komunikasi adalah Kunci Utama
Ketika berbagai tim seperti analis SOC, insinyur cloud, pemimpin respons insiden, dan administrator sistem bekerja bersama, menjaga keselarasan menjadi tantangan. Sebagian besar organisasi belum sempurna dalam kolaborasi lintas fungsi sebelum insiden terjadi, tapi yang bisa dikendalikan adalah bagaimana mereka berkomunikasi selama respons berlangsung.
Komunikasi adalah faktor terpenting dalam respons insiden yang efektif. Ini menentukan apakah data cakupan sampai ke pihak yang tepat, apakah tindakan penahanan terkoordinasi atau malah saling bertentangan, dan apakah pengambil keputusan mendapat informasi akurat untuk menentukan prioritas. Selain komunikasi, latihan rutin dan penguasaan teknis tim juga sangat penting. Dengan AI yang semakin menjadi bagian dari alat pertahanan, diperlukan praktisi yang terampil untuk mengatur dan mengarahkan kemampuan tersebut secara efektif.
Membangun Keterampilan yang Relevan
Organisasi yang mampu menangani serangan berbasis identitas dengan baik adalah mereka yang telah berinvestasi pada pengembangan SDM sebelum insiden terjadi. Mereka melatih timnya agar paham bagaimana penyerang beroperasi secara nyata — dengan praktik langsung menggunakan alat dan teknik yang sama yang digunakan dalam kompromi nyata.
Untuk menguasai siklus respons DAIR, praktisi harus memahami kedua sisi: bagaimana penyerang mendapatkan akses, bergerak lateral, dan bertahan; serta bagaimana menyelidiki jejak yang mereka tinggalkan di setiap tahap.
Pada Juni mendatang, saya akan mengajar SEC504: Hacker Tools, Techniques, and Incident Handling di SANS Chicago 2026. Kursus ini mencakup siklus penuh serangan — dari kompromi kredensial awal, pergerakan lateral, hingga persistensi — beserta keterampilan respons insiden menggunakan model DAIR. Bagi praktisi yang ingin mengasah pemahaman ofensif dan kemampuan respons defensif, ini adalah titik awal yang tepat.
Daftar SANS Chicago 2026 di sini.
Analisis Redaksi
Menurut pandangan redaksi, fenomena serangan berbasis identitas yang mengandalkan pencurian kredensial tanpa eksploitasi teknis ini menegaskan bahwa pertahanan keamanan siber tidak cukup hanya fokus pada teknologi mutakhir seperti deteksi zero-day atau AI. Kredensial yang valid adalah kunci utama yang sering diabaikan, dan ini menuntut pendekatan keamanan yang lebih holistik, mulai dari edukasi pengguna, penguatan autentikasi multifaktor, hingga penerapan kebijakan pengelolaan akses yang ketat.
Percepatan serangan dengan bantuan AI memperlihatkan betapa krusialnya kesiapan dan kelincahan tim respons insiden. Model DAIR yang bersifat iteratif sangat relevan karena insiden dunia nyata jarang linear dan membutuhkan adaptasi cepat. Organisasi yang belum mengadopsi metode respons dinamis ini berisiko gagal mengimbangi kecepatan serangan modern.
Ke depan, pembaca harus mengawasi perkembangan pemanfaatan AI di sisi pertahanan, bukan hanya di sisi serangan. Investasi pada pelatihan SDM dan komunikasi antar tim menjadi faktor pembeda utama dalam menangkal ancaman berbasis identitas yang terus berkembang.
Untuk informasi lebih lanjut dan pelatihan lanjutan, kunjungi SANS Institute yang menyediakan berbagai sumber daya keamanan siber terpercaya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
