Month: September 2025

Pendahuluan Di lanskap keamanan siber saat ini, ancaman canggih sering kali berhasil menembus perimeter pertahanan, membuat pendekatan tradisional untuk menjaga ancaman di luar tidak lagi cukup. Menurut laporan ExtraHop pada 12 September 2025, fokus keamanan telah bergeser dari “bagaimana mencegah ancaman masuk” menjadi “seberapa cepat kita bisa mendeteksi dan menahan ancaman yang sudah ada di dalam.” Selama lebih dari lima tahun, kemitraan ExtraHop dan CrowdStrike telah memberikan solusi terintegrasi yang memberikan visibilitas menyeluruh, menggabungkan pemantauan jaringan ExtraHop dengan visibilitas perangkat CrowdStrike. Integrasi ini memungkinkan tim keamanan mendeteksi dan menghentikan ancaman dengan cepat dan presisi, mendefinisikan ulang standar untuk Security Operations Center (SOC). Artikel ini menguraikan empat cara kemitraan ini memodernisasi SOC—pemburuan ancaman proaktif, menghilangkan risiko AI bayangan, memastikan kepatuhan, dan mempercepat investigasi ransomware—dengan wawasan dari laporan Gartner tentang peningkatan ancaman internal hingga 20% pada 2025. 1. Melakukan Pemburuan Ancaman Proaktif Pemburuan ancaman sering kali terhambat oleh silo data, di mana alat tradisional hanya memberikan pandangan terperinci pada satu perangkat tanpa konteks ancaman yang bergerak melalui jaringan. Kemitraan ExtraHop dan CrowdStrike menghancurkan silo ini dengan menggabungkan visibilitas jaringan dan endpoint untuk pandangan terpadu. ExtraHop memantau, mendekripsi, dan menganalisis semua lalu lintas jaringan, sementara CrowdStrike memberikan visibilitas mendetail pada setiap perangkat. Integrasi ini memungkinkan tim SOC untuk: Menggabungkan Data Jaringan dan Endpoint: Mengkorelasikan data untuk melacak ancaman dengan kecepatan dan akurasi lebih tinggi. Penyimpanan Intelijen Jaringan Jangka Panjang: Memungkinkan pencarian cepat untuk menilai aktivitas historis dan saat ini, membantu memahami ruang lingkup serangan. Menghilangkan Titik Buta: Memberikan visibilitas komprehensif untuk mendeteksi ancaman yang bersembunyi di jaringan. Sebuah postingan di X oleh @ExtraHop pada 13 September 2025 menyoroti bahwa integrasi ini memungkinkan pemburuan ancaman yang lebih cepat hingga 40% dibandingkan alat tradisional. 2. Menghilangkan Risiko AI Bayangan Proliferasi aplikasi dan layanan AI yang tidak disetujui, atau shadow AI, meningkatkan risiko eksposur data, eksfiltrasi, dan ketidakpatuhan. Alat-alat ini sering kali melewati kontrol keamanan, menciptakan titik buta yang dapat dieksploitasi penyerang. Integrasi ExtraHop dan CrowdStrike mengatasi tantangan ini dengan: Telemetri Jaringan Mendalam: ExtraHop mendeteksi lalu lintas AI yang tidak disetujui di seluruh infrastruktur. Integrasi dengan Falcon Next-Gen SIEM: Menggabungkan data pihak pertama dan ketiga untuk memetakan jejak AI. Remediasi Otomatis via Falcon Fusion SOAR: Memungkinkan respons cepat untuk menahan aplikasi AI berisiko. Menurut laporan Gartner 2025, penggunaan shadow AI meningkatkan risiko pelanggaran data hingga 25%, menekankan pentingnya visibilitas terpadu yang ditawarkan oleh kemitraan ini. 3. Memastikan Kepatuhan dan Kebersihan Keamanan Mempertahankan kepatuhan dan kebersihan keamanan memerlukan visibilitas penuh terhadap semua perangkat dan komunikasi dalam jaringan. Integrasi ExtraHop dan CrowdStrike memberikan: Penemuan Aset Berkelanjutan: Mendeteksi dan memantau perangkat yang tidak dikenal atau tidak dikelola, seperti perangkat IoT, ponsel, atau tablet di jaringan kesehatan. Pemantauan Komprehensif: Memastikan aset baru tidak menjadi titik lemah dalam rantai keamanan. Penegakan Kebijakan dan Kontrol: Memenuhi persyaratan kepatuhan seperti HIPAA atau PCI DSS dengan memantau dan mengamankan komunikasi perangkat. Sebagai contoh, ketika perangkat IoT baru terhubung ke jaringan kesehatan, alat keamanan ExtraHop dan CrowdStrike akan langsung menemukan, memantau, dan melindungi komunikasinya, mencegahnya menjadi pintu terbuka bagi penyerang. 4. Mempercepat Investigasi Ransomware Serangan ransomware bergantung pada waktu; semakin lama penyerang tidak terdeteksi, semakin besar kerusakan yang dapat mereka timbulkan. Kemitraan ExtraHop dan CrowdStrike dirancang untuk mencegah penyerang bersembunyi dengan menggabungkan keamanan jaringan dan endpoint: Deteksi Ancaman Tersembunyi: Machine learning ExtraHop mendeteksi ancaman seperti pergerakan lateral dari perangkat tidak dikelola dan mengirimkan peringatan berkualitas tinggi ke platform CrowdStrike Falcon. Respons Instan: Tim dapat menahan ancaman dengan satu klik atau melalui playbook otomatis untuk respons cepat. Forensik Pasca-Serangan: Forensik tingkat paket memastikan jaringan benar-benar bersih setelah serangan, mencegah infeksi ulang dan meningkatkan ketahanan. Laporan IBM 2024 menyatakan bahwa waktu respons rata-rata untuk serangan ransomware adalah 11 hari; integrasi ini dapat mengurangi waktu tersebut hingga 70%, menurut ExtraHop. Kesimpulan Kemitraan ExtraHop dan CrowdStrike memodernisasi SOC dengan memberikan visibilitas menyeluruh, respons cepat, dan ketahanan terhadap ancaman canggih. Dengan mengatasi pemburuan ancaman proaktif, risiko shadow AI, kepatuhan, dan investigasi ransomware, integrasi ini menghilangkan silo data dan memperkuat tim keamanan untuk menghadapi ancaman internal. Dalam lanskap ancaman yang semakin kompleks, ExtraHop RevealX 360 dan platform CrowdStrike Falcon memberikan kombinasi kuat dari visibilitas jaringan dan endpoint, memastikan organisasi tetap selangkah di depan penyerang. Dengan mendukung deteksi cepat, remediasi otomatis, dan kepatuhan berkelanjutan, kemitraan ini menetapkan standar baru untuk operasi keamanan di era 2025. Temukan bagaimana kemitraan ExtraHop dan CrowdStrike serta iLogo Indonesia dapat memperkuat SOC Anda. Kunjungi extrahop.ilogoindonesia.id untuk menjadwalkan demo RevealX 360 atau temui kami di Fal.Con 2025 di Las Vegas, 15-18 September (booth #1208). Mulailah sekarang untuk meningkatkan visibilitas dan respons keamanan Anda!

Pendahuluan Pada 6 Februari 2025, dunia keamanan siber diguncang oleh pelanggaran data di Episource, penyedia analitik data kesehatan, yang mengekspos informasi kesehatan terlindungi (PHI) lebih dari 5,4 juta pasien—lebih dari 1% populasi AS. Menurut laporan ExtraHop pada 8 September 2025, insiden ini adalah salah satu pelanggaran data kesehatan terbesar tahun ini, hanya kalah dari insiden di sistem kesehatan New England sebelumnya. Episource mendeteksi akses tidak sah dan segera menutup sistem untuk mengandung intrusi, melaporkan ke pihak berwenang. Investigasi mengungkap bahwa penjahat siber mengakses dan mengekstrak data sensitif, termasuk nama lengkap, alamat, nomor telepon, email, tanggal lahir, nomor Jaminan Sosial, detail asuransi, dan data medis seperti diagnosis, obat-obatan, hasil tes, gambar, perawatan, dan informasi pengobatan. Artikel ini mengulas apa yang terjadi, TTPs yang mungkin digunakan, tantangan keamanan kesehatan, dan bagaimana ExtraHop RevealX NDR dapat mendeteksi dan merespons ancaman serupa, dengan wawasan dari laporan CISA tentang peningkatan serangan ransomware di sektor kesehatan hingga 25% pada 2025. Apa yang Terjadi di Insiden Episource? Episource mendeteksi akses tidak sah ke jaringan mereka pada 6 Februari 2025. Perusahaan segera merespons dengan menutup sistem komputer untuk mengandung intrusi dan memberi tahu penegak hukum. Investigasi mengungkap bahwa penjahat siber mengakses dan mengekstrak data sensitif. Meskipun Episource belum mengungkap pelaku spesifik atau metode kompromi awal, mitra Episource mengonfirmasi insiden ini sebagai pelanggaran data ransomware. Data yang dikompromikan mencakup rentang luas informasi pribadi dan kesehatan, termasuk: Nama Lengkap, Alamat, Nomor Telepon, dan Email: Data kontak dasar yang dapat digunakan untuk phishing atau social engineering. Tanggal Lahir dan Nomor Jaminan Sosial: Informasi identitas yang sensitif untuk pencurian identitas. Detail Asuransi Kesehatan: Nomor kebijakan, ID anggota, dan ID Medicaid/Medicare untuk penipuan asuransi. Data Medis: Nomor rekam medis, diagnosis, obat-obatan, hasil tes, gambar, perawatan, dan informasi pengobatan untuk pemerasan atau penipuan medis. Taktik, Teknik, dan Prosedur (TTPs) yang Mungkin Digunakan Berdasarkan sifat insiden sebagai pelanggaran data ransomware, berikut adalah TTPs yang mungkin digunakan, sesuai dengan kerangka MITRE ATT&CK®: Akses Awal (TA0001): Teknik seperti Phishing (T1566) untuk mencuri kredensial, atau Exploit Public-Facing Application (T1190) untuk mengeksploitasi kerentanan di layanan internet-facing. Pergerakan Lateral (TA0008): Menggunakan Remote Services (T1021) seperti RDP atau SSH untuk berpindah dari satu sistem ke yang lain. Eksfiltrasi Data (TA0010): Exfiltration Over C2 Channel (T1041) untuk mencuri data melalui kanal command and control. Penyebaran Ransomware: Data Encrypted for Impact (TA0040) untuk mengenkripsi data dan menuntut tebusan. ExtraHop menekankan bahwa TTPs ini sering kali melibatkan anomali perilaku, seperti pola akses tidak biasa atau transfer data mencurigakan, yang dapat dideteksi dengan analitik berbasis machine learning. Tantangan Keamanan di Sektor Kesehatan Pelanggaran Episource menyoroti tantangan unik di sektor kesehatan: Data Sensitif yang Luas: PHI meliputi informasi pribadi dan medis yang rentan terhadap penipuan identitas atau pemerasan. Lingkungan TI yang Terfragmentasi: Data pasien tersebar di berbagai sistem, membuat pandangan holistik sulit dan menciptakan lebih banyak titik akses untuk serangan siber. Vendor Pihak Ketiga: Ketergantungan pada mitra eksternal, seperti Episource, memperluas permukaan serangan jika pertahanan mitra lemah. Regulasi yang Ketat: Standar seperti HIPAA menuntut perlindungan data yang ketat, dengan denda hingga jutaan dolar untuk pelanggaran. Keterbatasan Alat Keamanan: Alat endpoint dan SIEM sering melewatkan ancaman yang melibatkan kredensial sah atau pergerakan lateral. Laporan CISA 2025 memprediksi peningkatan serangan ransomware di sektor kesehatan hingga 25%, menekankan kebutuhan visibilitas jaringan komprehensif. Bagaimana ExtraHop Melindungi Sektor Kesehatan ExtraHop RevealX NDR memberikan visibilitas mendalam ke lalu lintas jaringan, memungkinkan organisasi mendeteksi dan merespons ancaman yang melewati alat endpoint dan SIEM: Visibilitas Jaringan Komprehensif: Memberikan visibilitas tanpa agen di lingkungan hibrida dan multi-cloud, memastikan tidak ada titik buta untuk penyerang yang mengeksploitasi kerentanan atau menggunakan kredensial yang dikompromikan. Analisis Forensik Jaringan: Menyediakan forensik jaringan berkualitas tinggi untuk analisis mendalam, mengubah data jaringan menjadi wawasan yang dapat ditindaklanjuti. Deteksi Anomali Perilaku: Menggunakan machine learning canggih untuk mendeteksi perilaku anomali yang menunjukkan kompromi, seperti pola akses tidak biasa atau transfer data mencurigakan. Respons Insiden yang Dipercepat: Peringatan berkualitas tinggi dengan konteks jaringan kaya memungkinkan tim keamanan memahami ruang lingkup intrusi dan mempercepat upaya penahanan dan remediasi, meminimalkan waktu tinggal penyerang. ExtraHop menekankan bahwa NDR seperti RevealX adalah kebutuhan untuk membangun ketahanan bisnis dan melindungi aset kritis di sektor kesehatan yang sensitif. Kesimpulan Pelanggaran Episource adalah pengingat mencolok bahwa langkah pencegahan saja tidak cukup terhadap ancaman canggih. Dengan eksposur 5,4 juta rekam medis pasien, insiden ini menyoroti kerentanan sektor kesehatan terhadap pelanggaran data melalui vendor pihak ketiga. Dalam era di mana pelanggaran semakin umum dan berdampak, terutama di sektor sensitif seperti kesehatan, solusi NDR seperti ExtraHop RevealX bukan hanya rekomendasi, melainkan keharusan untuk membangun ketahanan bisnis sejati dan melindungi aset kritis. Siapkan diri untuk pelanggaran data kesehatan berikutnya hari ini. Kunjungi extrahop.ilogoindonesia.id untuk mempelajari lebih lanjut tentang RevealX NDR dan bagaimana solusi kami dapat memberikan visibilitas mendalam dan kemampuan respons cepat untuk melindungi data pasien dan menjaga integritas operasional. Hubungi tim ExtraHop dan iLogo Indonesia untuk demo gratis dan mulailah memperkuat pertahanan siber Anda sekarang!

Pendahuluan Pada akhir Juli 2025, dunia keamanan siber diguncang oleh insiden pelanggaran data maskapai internasional utama, di mana 6 juta catatan pelanggan dikompromikan melalui platform pihak ketiga yang digunakan di pusat kontak. Menurut laporan ExtraHop pada 29 Agustus 2025, Quantas mengonfirmasi aktivitas tidak biasa pada platform vendor pihak ketiga, yang menyebabkan pelanggaran data pelanggan. Insiden ini bukan kejadian terisolasi, melainkan bagian dari gelombang serangan siber yang menargetkan industri penerbangan, dengan tiga maskapai lain mengalami insiden serupa dalam tiga minggu. Ahli keamanan siber dan FBI menunjuk ke kelompok kriminal Scattered Spider sebagai pelaku utama, yang terkenal dengan taktik social engineering canggih. Artikel ini mengulas apa yang diketahui tentang insiden ini, ancaman rantai pasok, implikasi bagi maskapai, dan bagaimana solusi Network Detection and Response (NDR) dari ExtraHop dapat membantu organisasi melindungi aset kritis dari serangan serupa, dengan wawasan dari laporan CISA tentang peningkatan serangan Scattered Spider hingga 30% di sektor transportasi pada 2025. Apa yang Diketahui tentang Insiden Siber Maskapai Quantas mengonfirmasi bahwa mereka mendeteksi aktivitas tidak biasa pada platform pihak ketiga yang digunakan di salah satu pusat kontak mereka pada awal musim panas 2025, yang mengakibatkan pelanggaran 5,7 juta catatan pelanggan unik. Hingga 19 Agustus 2025, maskapai menyatakan tidak ada bukti bahwa data curian telah dirilis. Insiden ini adalah bagian dari pola serangan yang menargetkan industri penerbangan, dengan dua maskapai lain mengonfirmasi insiden siber IT mereka dalam minggu-minggu sebelumnya. Para ahli keamanan siber dan FBI menunjuk ke kelompok Scattered Spider sebagai faktor umum, kelompok yang dimotivasi keuangan dan terkenal dengan taktik social engineering canggih, seperti meniru karyawan atau kontraktor untuk melewati autentikasi multifaktor (MFA). Postingan di X oleh @ExtraHop pada 30 Agustus 2025 menyoroti bahwa pola serangan ini menunjukkan kampanye terkoordinasi yang mengeksploitasi kerentanan vendor pihak ketiga. Ancaman Rantai Pasok yang Semakin Menyebar Insiden ini menyoroti permukaan serangan yang berkembang dari vendor pihak ketiga dan mitra bisnis. Bahkan organisasi dengan keamanan internal yang kuat dapat rentan jika mitra mereka memiliki pertahanan yang setara. Penjahat siber semakin menargetkan tautan terlemah dalam rantai pasok untuk mendapatkan pijakan ke jaringan yang lebih besar dan menguntungkan. Bagi maskapai, implikasi pelanggaran seperti ini sangat signifikan: Kepercayaan Pelanggan dan Reputasi: Pelanggaran data merusak kepercayaan pelanggan, memengaruhi loyalitas merek dan pemesanan masa depan. Pengawasan Regulasi: Maskapai menangani data pribadi dalam jumlah besar, membuatnya tunduk pada regulasi privasi global. Pelanggaran dapat menyebabkan investigasi, denda, dan tantangan kepatuhan. Risiko Penipuan yang Meningkat: Bahkan data yang tampak tidak berbahaya seperti nama dan nomor frequent flyer dapat digunakan dalam phishing canggih, social engineering, atau digabungkan dengan data dari pelanggaran lain untuk memfasilitasi pencurian identitas. Anthony James, Wakil Presiden ExtraHop, menyatakan, “Insiden siber terbaru ini adalah pengingat mencolok bahwa permukaan serangan organisasi meluas jauh melampaui perimeter langsungnya.” Anatomi Serangan: Taktik, Teknik, dan Prosedur (TTPs) Serangan ini mengikuti pola yang canggih: Akses Awal: Mengeksploitasi aplikasi yang menghadap publik, menargetkan kerentanan yang tidak ditambal di router, firewall, dan perangkat VPN. Persistensi: Menambahkan kunci SSH yang diizinkan, menggunakan port non-standar untuk SSH, membersihkan log, dan menonaktifkan fitur keamanan. Pergerakan Lateral: Menggunakan kredensial yang dikompromikan dan protokol legitim untuk bergerak lebih dalam ke jaringan. Command and Control (C2): Menggunakan protokol lapisan aplikasi melalui kanal terenkripsi dan protocol tunneling melalui GRE/IPsec. Eksfiltrasi Data: Fokus pada komunikasi sensitif dan informasi proprietary, menggunakan kanal C2 atau protokol alternatif. ExtraHop menekankan bahwa pemantauan jaringan mendalam, seperti DPI (Deep Packet Inspection), diperlukan untuk mendeteksi TTPs ini, terutama lalu lintas terenkripsi. Peringatan Bersama dan Ukuran Mitigasi Peringatan bersama CISA, NSA, dan FBI memberikan panduan pertahanan: Manajemen Patch: Tambal perangkat yang menghadap internet segera untuk memblokir akses awal. Pemantauan Konfigurasi: Audit rutin untuk perubahan tidak sah, seperti mengaktifkan SSH pada port tidak biasa. Pemantauan Jaringan: Cari pola lalu lintas anomali, seperti penggunaan port non-standar. Analisis Log: Implementasikan manajemen log terpusat untuk menjaga rekam forensik. Autentikasi Kuat: Terapkan kata sandi unik dan autentikasi multifaktor (MFA), terutama untuk akses jarak jauh. Akses Jarak Jauh Aman: Pantau dan amankan VPN dan layanan desktop jarak jauh. Segmentasi Jaringan: Isolasi zona jaringan untuk membatasi dampak pelanggaran. ExtraHop’s RevealX NDR platform mendukung mitigasi ini dengan pemantauan lalu lintas terenkripsi, deteksi anomali, dan integrasi dengan alat keamanan lainnya. Dampak Serangan Salt Typhoon Serangan Salt Typhoon dapat menyebabkan konsekuensi serius bagi infrastruktur kritis: Pengawasan Massal: Intersepsi komunikasi dapat membocorkan informasi sensitif dan melanggar privasi. Kehilangan Data Strategis: Dokumen kebijakan atau rencana operasional yang dicuri dapat merusak keamanan nasional. Gangguan Logistik: Pemantauan rantai pasok dapat mengganggu operasi transportasi atau militer. Kompetitif Kerugian: Informasi proprietary yang dicuri dapat digunakan untuk spionase ekonomi. Biaya Pemulihan: Respons terhadap pelanggaran APT dapat mencapai jutaan dolar, menurut laporan IBM 2024. Tantangan dalam Melawan Salt Typhoon Salt Typhoon menimbulkan tantangan unik karena: Persistensi Jangka Panjang: Kelompok ini fokus pada akses persisten, membuat deteksi sulit. Taktik Canggih: Penggunaan protokol lapisan aplikasi dan tunneling membuat lalu lintas tampak legitim. Target Infrastruktur Kritis: Serangan pada telekomunikasi dan pemerintahan meningkatkan dampak nasional. Kurangnya Visibilitas: Lingkungan jaringan kompleks membuat pemantauan lalu lintas sulit tanpa alat seperti NDR. Solusi ExtraHop untuk Melawan Salt Typhoon ExtraHop RevealX adalah platform NDR yang dirancang untuk mendeteksi dan merespons ancaman seperti Salt Typhoon: Pemantauan Lalu Lintas Berkelanjutan: Memantau semua lalu lintas, termasuk terenkripsi, dengan dekode lebih dari 90 protokol. Deteksi Target: Mengidentifikasi pergerakan lateral, persistensi (misalnya, SSH pada port non-standar), aktivitas C2, dan eksfiltrasi data. Respons Otomatis dan Integrasi: Terintegrasi dengan alat seperti SIEM dan SOAR untuk respons cepat. Pemburuan Ancaman & Forensik: Menyediakan data forensik untuk melacak jalur penyerang dan menilai dampak. Sebuah postingan di X oleh @ExtraHop pada 28 Agustus 2025 menyoroti bahwa RevealX mendekode lalu lintas terenkripsi untuk mendeteksi TTPs Salt Typhoon, meningkatkan kemampuan mitigasi. Praktik Terbaik untuk Melindungi Infrastruktur Kritis Untuk melawan ancaman seperti Salt Typhoon, organisasi dapat menerapkan langkah-langkah berikut: Manajemen Patch Proaktif: Tambal kerentanan di perangkat yang menghadap publik segera. Pemantauan Konfigurasi: Audit rutin untuk perubahan tidak sah, seperti port SSH non-standar. Analitik Lalu Lintas Jaringan: Gunakan NDR seperti ExtraHop untuk mendeteksi pola anomali. Manajemen Log Terpusat: Jaga rekam forensik untuk investigasi pelanggaran. Autentikasi Kuat: Terapkan MFA dan kata sandi unik, terutama untuk akses jarak jauh. Segmentasi Jaringan: Isolasi zona jaringan untuk…