Cara Efektif Mengurangi Attack Surface untuk Hindari Risiko Zero-Day

Serangan zero-day sering kali menimbulkan kepanikan dalam dunia keamanan siber karena eksploitasi dapat terjadi dalam waktu sangat singkat setelah kerentanan diumumkan – biasanya dalam 24 hingga 48 jam. Namun, panic scramble ini sejatinya bisa dihindari dengan strategi yang tepat, yaitu melalui pengurangan attack surface atau permukaan serangan.

Mengapa Waktu untuk Mengeksploitasi Kerentanan Semakin Singkat?

Semakin besar dan tidak terkontrol attack surface organisasi Anda, semakin banyak peluang yang dapat dimanfaatkan oleh penyerang. Menurut proyeksi dari Zero Day Clock, waktu antara pengumuman kerentanan hingga eksploitasi bisa menyusut hingga hanya beberapa menit pada tahun 2028. Ini menimbulkan tantangan besar bagi tim keamanan yang harus segera merespons sebelum patch diterapkan.

Proses penerapan patch meliputi beberapa langkah panjang seperti pemindaian, pengumpulan hasil, pembuatan tiket, penetapan prioritas, implementasi, dan verifikasi. Jika pengumuman kerentanan terjadi di luar jam kerja, waktu respons bisa lebih lama lagi.

Kunci utama untuk menghindari kepanikan adalah dengan memastikan permukaan serangan Anda tidak lebih besar dari yang seharusnya. Banyak sistem yang rentan sebenarnya tidak perlu diekspos ke internet sama sekali.

Kasus Zero-Day ToolShell di Microsoft SharePoint

Contoh nyata adalah kerentanan ToolShell di Microsoft SharePoint yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi. Karena SharePoint terhubung dengan Active Directory, eksploitasi terhadap sistem ini dapat membuka akses ke bagian sensitif lingkungan TI organisasi.

Kerentanan ini dieksploitasi bahkan sebelum patch tersedia dan diumumkan pada hari Sabtu. Penyerang dari kelompok yang diduga disponsori negara China telah memanfaatkannya hingga dua minggu sebelum pengumuman resmi.

Penelitian Intruder menemukan ribuan instance SharePoint yang dapat diakses publik pada saat pengumuman, padahal SharePoint tidak perlu diekspos ke internet. Setiap instance yang tidak dipatch adalah pintu terbuka bagi penyerang.

Mengapa Eksposur Sering Terlewatkan?

Tim keamanan sering melewatkan eksposur ini karena laporan pemindaian kerentanan biasanya mengelompokkan temuan ke dalam kategori kritikal, tinggi, sedang, rendah, dan informasi. Namun, beberapa temuan kategori informasi seperti:

• Server SharePoint yang terbuka
• Database MySQL atau Postgres yang diekspos internet
• Protokol internal seperti RDP dan SNMP yang seharusnya tidak diakses publik

memiliki risiko nyata jika diekspos ke internet meski belum ada kerentanan yang diketahui. Masalahnya, laporan pemindaian tradisional sering memperlakukan temuan ini sama dengan layanan yang hanya dapat diakses secara internal, sehingga risiko sebenarnya terabaikan.

Bagaimana Cara Efektif Mengurangi Attack Surface?

Ada tiga elemen kunci yang harus dilakukan untuk mengurangi permukaan serangan secara efektif:

1. Penemuan Aset (Asset Discovery)
   Organisasi harus memiliki gambaran lengkap tentang aset yang dimiliki dan mana yang dapat diakses dari luar. Ini termasuk mengidentifikasi Shadow IT, yaitu sistem yang tidak terpantau atau tidak termasuk dalam pemindaian saat ini. Beberapa cara yang direkomendasikan adalah:

• Integrasi dengan penyedia cloud dan DNS agar setiap infrastruktur baru otomatis terdeteksi dan dipindai.
• Enumerasi subdomain untuk menemukan host eksternal yang belum terinventarisasi, terutama setelah merger atau akuisisi.
• Mengecek infrastruktur yang mungkin berada di penyedia cloud kecil atau tidak resmi.

2. Memperlakukan Eksposur Sebagai Risiko
   Setelah aset ditemukan, eksposur harus diperlakukan sebagai kategori risiko tersendiri dengan tingkat keparahan yang sesuai. Contohnya, server SharePoint yang terbuka bisa dikategorikan risiko sedang. Prioritas pengurangan eksposur harus diatur agar tidak selalu kalah dibandingkan tugas patching mendesak. Ini dapat dilakukan dengan menjadwalkan review rutin atau menetapkan tanggung jawab khusus untuk pengurangan attack surface.
3. Monitoring Berkelanjutan (Continuous Monitoring)
   Permukaan serangan berubah dinamis – bisa karena perubahan aturan firewall, penyebaran layanan baru, atau subdomain yang terlupakan. Pemindaian kerentanan penuh biasanya memakan waktu dan tidak bisa dilakukan setiap hari. Oleh karena itu, pemindaian port harian yang lebih ringan bisa digunakan untuk mendeteksi layanan yang tiba-tiba diekspos. Misalnya, jika aturan firewall berubah dan RDP terbuka, tim keamanan bisa mengetahuinya segera, bukan menunggu pemindaian berikutnya yang mungkin baru dilakukan sebulan kemudian.

Lebih Sedikit Eksposur, Lebih Sedikit Kejutan

Dengan mengurangi layanan yang tidak perlu diekspos, organisasi dapat menghindari menjadi sasaran eksploitasi masif setelah pengumuman kerentanan kritikal. Ini berarti lebih sedikit kejutan dan kepanikan, serta lebih banyak waktu untuk merespons secara terencana dan efektif.

Intruder menyediakan otomatisasi untuk seluruh proses ini, mulai dari penemuan Shadow IT, monitoring eksposur baru, hingga pemberitahuan cepat saat terjadi perubahan, sehingga tim keamanan dapat lebih proaktif daripada reaktif.

Jika Anda ingin mengetahui apa yang terekspos di lingkungan Anda, Anda bisa mencoba demo Intruder untuk melihat langsung.

Analisis Redaksi

Menurut pandangan redaksi, zero-day scramble yang sering terjadi dalam dunia keamanan siber bukanlah sesuatu yang tak terhindarkan. Dengan pendekatan manajemen attack surface yang tepat, organisasi bisa mengurangi risiko eksposur sistem yang tidak perlu dan menyulitkan penyerang untuk menemukan celah dengan cepat.

Selain itu, pendekatan ini memperkuat postur keamanan organisasi secara menyeluruh karena tidak hanya bergantung pada patching reaktif, melainkan juga pada pencegahan dan deteksi dini. Perusahaan yang mengabaikan pengelolaan attack surface berisiko menghadapi konsekuensi serius, termasuk kerugian finansial dan reputasi.

Ke depan, seiring waktu eksploitasi menjadi semakin cepat, pendekatan proaktif dalam mengelola attack surface harus menjadi prioritas utama. Organisasi perlu mengadopsi teknologi dan proses yang memungkinkan monitoring berkelanjutan dan integrasi otomatis dengan infrastruktur TI mereka agar siap menghadapi ancaman zero-day tanpa harus panik.