Keamanan siber

Ketika Tim Merah Mengungkap yang Tidak Terbayangkan

mm
Diterbitkan
Diperbarui

Banyak organisasi percaya bahwa mereka aman—sampai tim merah membuktikan sebaliknya.

Dalam 28 tahun saya bekerja di keamanan ofensif, saya telah melihat secara langsung bagaimana cepatnya kepercayaan diri runtuh ketika taktik adversarial dunia nyata diterapkan pada pertahanan perusahaan. Operasi tim merah tidak hanya menguji sistem; mereka mendorong batas-batas akses yang dapat dicapai dari perspektif lawan yang terampil dan gigih. Seringkali, aturan main operasi ini lebih luas, memungkinkan tidak hanya serangan sisi server, tetapi juga teknik sosial, nirkabel, dan bahkan fisik. Apa yang sering kami temukan dalam operasi kami adalah bahwa akses yang sangat berbahaya memungkinkan

Tim saya dan saya telah mendapatkan akses jaringan dan meningkatkan hak akses untuk mengakses dan bahkan mengontrol tungku peleburan komersial, infrastruktur tanda tangan kode pengemudi, sistem gaji, IP sensitif, sistem host perbankan, sistem CCTV, kotak surat CFO, hasil mesin MRI/X-ray, berbagi file penuh dengan PHI, file menarik yang tak terhitung, rumah kedua CEO yang terhubung ke jaringan perusahaan melalui VPN, dan dump hash penuh dari banyak hutan Active Directory.

Kami telah beralih ke jaringan on-prem setelah mengompromikan sumber daya cloud, dan kami telah melakukan operasi yang beralih dari on-prem ke foothold berbasis cloud. Terkadang, target yang lebih besar semakin mudah, terlepas dari skala anggaran keamanan informasi mereka. Ini disebabkan oleh asimetri alami antara penyerang dan pembela. Skala yang lebih besar berarti lebih banyak peluang untuk kelemahan yang terbuka tanpa disengaja. Ini bukanlah risiko teoretis. Mereka nyata, dan lebih banyak organisasi rentan terhadap tingkat kompromi ini daripada yang mereka sadari.

Footholds

Pelanggaran eksternal dimulai dengan foothold—titik akses awal yang membuka pintu untuk kompromi yang lebih dalam. Dalam pekerjaan kami, kami mengategorikan footholds menjadi empat jenis utama:

1. Teknik Sosial

Meskipun umum, kami menganggapnya sebagai yang paling tidak memuaskan. Mengelabui pengguna untuk mengklik tautan atau mengungkapkan kredensial efektif, tetapi tidak mencerminkan keterampilan lawan yang terampil. Namun, kami telah melihat penyerang memalsukan email CFO untuk memulai “transfer darurat” atau menggunakan klone suara AI untuk melewati protokol meja bantuan.

2. Penyemprotan Kata Sandi

Teknik ini tetap efektif. Dengan menebak kata sandi umum di seluruh daftar pengguna besar, penyerang menghindari penguncian dan sering berhasil. Kami telah mengompromikan jaringan menggunakan tidak lebih dari “Summer2025!” di seluruh ribuan nama pengguna yang diambil dari sumber terbuka. Saya akan menebak lebih dari 1 dari 1000 pengguna perusahaan akan memilihnya kecuali jika ada penegakan kata sandi yang dilarang, memblokir string seperti “summer” dan “2025” dan “25.” Untuk kebijakan kata sandi yang lebih panjang, saya akan menebak “Summertime2025!” sebagai contoh.

3. Kelemahan MFA

Autentikasi multi-faktor sangat penting—tetapi tidak tak terkalahkan. Seperti dalam semua kontrol keamanan, penerapan yang menyeluruh dan konsisten sangat penting. Kami telah melewati MFA menggunakan kelelahan push, celah akses kondisional, dan tautan pendaftaran yang sudah kadaluarsa. Dalam satu kasus, kami mendaftarkan perangkat kami sendiri menggunakan tautan enam bulan yang ditemukan di kotak surat yang dikompromikan.

4. Kelemahan yang Dapat Dieksploitasi

Aplikasi web kustom sangat rentan. Kami telah mengeksploitasi semua mulai dari injeksi SQL hingga traversal path hingga bug deserialisasi objek yang memungkinkan pengguna dasar menetapkan harga mereka sendiri saat checkout atau meningkatkan akses admin. Komponen perangkat lunak komersial yang sudah ketinggalan zaman bahkan dapat menyebabkan eksekusi kode jarak jauh jika tidak diperbarui.

Reality Check: Kepatuhan vs. Paparan

Audit keamanan sering menggambarkan gambaran yang cerah. Tetapi tim merah beroperasi di luar skenario. Aturan main operasi tim merah sering lebih luas daripada pengujian penetrasi standar—kami mensimulasikan lawan dengan tujuan yang tepat.

Dalam banyak kesepakatan, klien akan memiliki banyak laporan penetrasi sebelumnya dari beberapa perusahaan yang berbeda, dengan sedikit atau tidak ada demonstrasi “penetrasi.” Tidak jarang bagi kami untuk memperbaiki persepsi ini dengan mencapai tingkat akses yang signifikan dari pengujian penetrasi eksternal dasar yang tidak terautentikasi. Jarak antara risiko yang dirasakan dan aktual dapat sangat besar. Pengujian penetrasi yang berkualitas, terfokus pada cakupan, lebih berharga daripada operasi tim merah berbasis tujuan untuk organisasi dengan postur keamanan yang kurang matang.

Peran AI dalam Keamanan Ofensif

Meskipun AI belum menggantikan kejeniusan manusia dalam tim merah, itu mempercepat alur kerja kami. Kami menggunakan AI generatif untuk membangun eksploit konsep bukti lebih cepat, menganalisis permukaan serangan, mensimulasikan suara selama operasi vishing, dan bahkan membuat kampanye phishing yang terlihat autentik. Munculnya AI ofensif agenik yang mencapai peringkat teratas dalam daftar bug bounty publik adalah tanda apa yang akan datang.

Empati untuk Pembela

Meskipun peran ofensif kami, kami sangat menghormati pembela. Asimetri ini nyata: pembela harus sempurna 24/7; penyerang hanya perlu satu kesalahan. Itulah mengapa laporan kami tidak hanya menyoroti kerentanan, rantai pembunuhan, screenshot, dan dampak dunia nyata; di bagian atas ringkasan eksekutif kami adalah praktik positif yang kami temukan selama pengujian. Kami menikmati menulis ini lebih dari temuan itu sendiri. Kami ada di tim Anda untuk mendidik dan memperbaiki, bukan untuk mengungkap.

Kesimpulan: Yang Tidak Terbayangkan Sering Berada Tepat di Depan Anda

Tim merah tidak hanya menemukan kelemahan—mereka memaksa organisasi untuk menghadapi kebenaran yang tidak nyaman. Fasad keamanan sering menyembunyikan sistem yang rapuh, konfigurasi yang salah, dan risiko yang diabaikan. Dan ketika kami mengungkap yang tidak terbayangkan, itu bukan untuk mengkritik—itu untuk memperkuat.

Karena dalam keamanan siber, pemeriksaan kenyataan tidak opsional. Mereka adalah satu-satunya hal yang berdiri di antara “aman di atas kertas” dan pelanggaran yang ada di halaman depan.

mm

Jake Reynolds adalah Direktur Layanan Keamanan Ofensif di All Covered. Dengan lebih dari 28 tahun pengalaman dalam pengujian penetrasi dan strategi keamanan siber, Jake memimpin tim elit red teamers yang mengkhususkan diri dalam mengungkap kerentanan dunia nyata. Ia adalah pembicara yang sering tentang taktik lawan dan telah membantu ratusan organisasi untuk memikirkan kembali postur keamanan mereka.