Jika 2021 adalah Tahun Sakit Rantai Pasokan, 2022 akan menjadi Tahun Sakit Kronis Rantai Pasokan (atau sesuatu yang lebih buruk dari rasa sakit). Tahun lalu, rasa sakit dirasakan dalam dua cara yang signifikan: melalui gangguan rantai pasokan yang disebabkan oleh COVID-19, dan melalui banyak pelanggaran keamanan yang kami lihat di pemasok TI utama kami. dampak jangka panjang dari krisis rantai pasokan dari COVID-19, memperburuk kemacetan rantai pasokan lainnya lebih jauh ke hilir, dan menyebabkan sakit kepala bagi konsumen dan kehilangan target pendapatan untuk perusahaan besar. Gangguan ini diperkirakan akan berlanjut hingga tahun 2022 dan seterusnya.
Dengan cara yang sama, kita akan melihat dampak yang meluas dan tahan lama dari banyak pelanggaran keamanan rantai pasokan yang kita alami dalam 12 bulan terakhir.
Kita melihat bagaimana serangan terhadap SolarWinds dan Accellion (keduanya ditemukan menjelang akhir tahun 2020), penyusupan Microsoft Exchange tidak lama setelahnya, dan penyusupan Codecov hanyalah landasan untuk serangan berikutnya terhadap mereka yang bergantung pada penyedia ini.
Sepanjang tahun 2021, kami melihat ketukan drum yang konstan berita buruk di depan ini, dan ENISA memperkirakan bahwa kita mungkin akan melihat empat kali lipat jumlah serangan pada tahun 2021 pada saat ini berakhir daripada yang kita lihat pada tahun 2020. Seperti gangguan rantai pasokan COVID-19, serangan ini bukanlah peristiwa yang terisolasi. Kami tidak akan benar-benar tahu konsekuensi penuh dari serangan ini untuk beberapa waktu, tetapi kami harus mengantisipasi beberapa gangguan terkait keamanan yang buruk karena efek gabungan dari kompromi rantai pasokan 2021 muncul kembali di 2022.
Perlunya Tata Kelola yang Lebih Baik dari SaaS Applications
Sebagian besar organisasi sudah memiliki ketergantungan besar pada aplikasi software-as-a-service (SaaS) – tren yang terkenal dipercepat oleh peralihan ke tenaga kerja jarak jauh selama pandemi COVID-19. Dan meskipun beberapa tenaga kerja mungkin akan kembali ke kantor di Tahun Baru, kemungkinan peralihan ke aplikasi SaaS akan terus berlanjut, jika tidak dipercepat, pada tahun 2022 berkat kelincahan bisnis yang diperoleh melalui penggunaannya. Namun, perubahan ini menciptakan keharusan yang berkembang untuk mengelola risiko secara efektif dari penggunaan aplikasi SaaS karena data perusahaan kami akan mengikuti aplikasi tersebut. Aplikasi
SaaS telah meningkatkan permukaan serangan secara signifikan; mereka siap untuk dieksploitasi karena adopsi massal di banyak organisasi. Ini memungkinkan penyerang untuk memusatkan upaya mereka pada segelintir penyedia SaaS untuk secara bersamaan memengaruhi sejumlah besar pelanggan mereka. Misalnya, pada bulan Juli serangan ransomware melumpuhkan 1.500 organisasi dengan mengkompromikan software berbasis SaaS dari Kaseya, yang digunakan untuk manajemen TI jarak jauh. Para ahli setuju bahwa peretasan Kaseya memicu perlombaan di antara para penjahat yang mencari kerentanan serupa.
Jelas, kita harus mengharapkan peretas untuk melanjutkan serangan mereka pada platform SaaS utama dengan adopsi yang meluas. Jika orang jahat menemukan kerentanan di antara penyedia SaaS profil tinggi seperti itu, paparan yang dihasilkan ke sejumlah besar data pengguna bisa sangat merusak. Tampaknya jelas bahwa risiko dari aplikasi SaaS yang tidak dilindungi ini akan terus menghadirkan masalah keamanan yang serius hingga tahun 2022 dan seterusnya.
Berhati-hatilah dengan Tautan Terlemah dari Aplikasi Bisnis Mesh
Dengan meningkatnya adopsi SaaS, kami telah menyaksikan perkembangan paralel dari “bisnis application mesh”, yang memungkinkan organisasi membangun logika bisnis khusus di beberapa aplikasi SaaS yang berbeda. Jala ini juga memungkinkan terciptanya hubungan kepercayaan transitif yang memungkinkan data berpindah di antara aplikasi SaaS ini tanpa otoritas pusat yang memiliki visibilitas ke dalam atau mengatur pergerakan data ini. bagaimana pengguna berinteraksi dengan beberapa aplikasi berbeda, sambil tetap menjadi pusat interaksi. Tetapi dengan mesh aplikasi bisnis di tempat, aplikasi SaaS terhubung satu sama lain secara langsung tanpa perusahaan menjadi pusatnya. GitHub sekarang otomatis untuk berinteraksi dengan Slack atas nama organisasi saya, misalnya. Jira terhubung langsung dengan Salesforce. Hubspot mengirimkan data ke berbagai aplikasi SaaS lainnya.
Jaringan integrasi yang berkembang memungkinkan alur kerja bisnis otomatis dan pertukaran data. Namun, mesh ini juga memungkinkan pergerakan lateral oleh penyerang, dan sebagian besar berada di luar lingkup perusahaan. Pada tahun 2022, kita harus mengantisipasi sejumlah pelanggaran besar yang berasal dari kurangnya kontrol dalam memantau jalur data yang saling terhubung ini di antara aplikasi SaaS.
Kami tidak dapat memastikan apakah salah satu widget di mesh lebih rentan daripada yang lain. Tapi kita tahu bahwa setiap komponen yang ditambahkan ke mesh menimbulkan kerentanan baru. Ketika semua kerumitan itu ditambahkan bersama, ia memiliki efek pengganda pada permukaan serangan dengan setiap komponen tambahan. Agregat mesh yang diperluas menjadi jumlah permukaan serangan Anda – sumber kerentanan yang terus berkembang.
Menambahkan Jalur Kejuruan untuk Memperluas Jalur Karir Keamanan
Dalam industri keamanan siber, pola pikir yang berlaku adalah bahwa praktisi keamanan adalah profesional. Jadi, konsekuensi langsung dari pola pikir ini adalah bahwa gelar sarjana diperlukan untuk banyak pekerjaan keamanan siber. Laporan ISC2 baru-baru ini menunjukkan bahwa 86 persen tenaga kerja keamanan siber saat ini memiliki gelar sarjana atau lebih tinggi. Selain itu, pencarian cepat di Indeed.com menunjukkan sekitar 46.000 pekerjaan keamanan siber, di mana 33.000 (lebih dari 70%) membutuhkan gelar.
Namun, banyak praktisi keamanan siber yang saya kenal akan berargumen bahwa gelar sarjana tidak diperlukan untuk melakukan sebagian besar pekerjaan dalam keamanan siber, dan kepatuhan yang ketat terhadap persyaratan ini mendiskualifikasi banyak kandidat yang layak. Tetapi menghapus persyaratan untuk gelar sarjana menimbulkan pertanyaan: Apakah ini benar-benar pekerjaan profesional, atau haruskah mereka disusun kembali sebagai pekerjaan kejuruan?
Saya berpendapat bahwa pekerjaan ini mungkin perlu dilihat sebagai panggilan daripada profesi. Meskipun banyak pekerja keamanan siber bangga dengan status profesional mereka, banyak dari pekerjaan mereka (dan ribuan pekerjaan keamanan siber yang belum terisi) benar-benar bersifat kejuruan dan dapat diisi oleh mereka yang memiliki tingkat pelatihan kejuruan yang sesuai. Di sekolah kejuruan, siswa fokus hampir seluruhnya pada mempelajari keterampilan perdagangan mereka. Dengan membenamkan diri dalam bidang tertentu, siswa mempraktikkan keterampilan nyata yang akan mereka butuhkan dan dapat diterapkan di tempat kerja. Selain itu, periode pelatihan ini dapat berlangsung dengan kecepatan yang dipercepat yang menghasilkan kandidat yang memenuhi syarat dalam satu hingga dua tahun, jika tidak dalam jangka waktu yang lebih singkat.
Industri keamanan telah ditantang di berbagai bidang selama pandemi COVID-19. Gangguan rantai pasokan yang melumpuhkan, serangan ransomware besar-besaran, pelanggaran vendor berulang kali, dan kekurangan bakat yang tersedia semuanya digabungkan untuk membuat pekerjaan tim keamanan jauh lebih sulit. Pemimpin keamanan harus tetap waspada dan strategis untuk menghadapi ancaman yang semakin kompleks ini di tahun mendatang dan seterusnya.
Sounil Yu adalah CISO di JupiterOne.
Nikmati wawasan tambahan dari komunitas Infosec Insider Threatpost dengan mengunjungi microsite kami.
Tulis komentar
Bagikan artikel ini:
<
ul>iInfo Insiderliu
<
ul>iMalwareliu
<
ul>iKerentananliu
- iKeamanan Web