Month: February 2026

Di tahun 2026, identitas telah menjadi perimeter baru yang paling kritis dalam keamanan siber. Laporan terbaru dari ExtraHop menyoroti tren yang mengkhawatirkan: Kecerdasan Buatan (AI) kini digunakan oleh aktor ancaman untuk mengotomatisasi dan mempercepat serangan berbasis identitas. Jika dulu serangan memerlukan waktu berminggu-minggu untuk memetakan jaringan, kini AI memungkinkan peretas menemukan kelemahan identitas dalam hitungan menit. Artikel ini membahas bagaimana AI mengubah lanskap ancaman dan mengapa visibilitas jaringan menjadi kunci utama untuk menghentikannya. 1. Bagaimana AI Memperkuat Serangan Identitas? AI telah memberikan kekuatan baru bagi peretas untuk mengeksploitasi identitas manusia dan non-manusia melalui beberapa cara: Phishing yang Sangat Personal (Hyper-Personalized): AI generatif memungkinkan pembuatan pesan yang meniru gaya bahasa atasan atau rekan kerja dengan sempurna, tanpa kesalahan tata bahasa, sehingga sangat sulit dibedakan dari komunikasi asli. Deepfake Voice & Video: Penggunaan AI untuk memalsukan suara atau wajah eksekutif perusahaan dalam skema Business Email Compromise (BEC) kini semakin marak untuk memerintahkan transfer dana atau pemberian hak akses. Pemetaan Izin Akses (Permission Mapping): AI dapat dengan cepat menganalisis ribuan izin akses (permissions) yang kompleks di lingkungan Cloud untuk menemukan celah hak akses berlebih (over-privileged accounts) yang bisa dieksploitasi. 2. Tantangan Deteksi: Saat Kredensial Sah Disalahgunakan Masalah terbesar dari ancaman berbasis identitas adalah penyerang masuk menggunakan kredensial yang sah. Alat keamanan tradisional sering kali gagal mendeteksinya karena: Aktivitas Terlihat Normal: Penyerang yang menggunakan akun administratif yang sah tidak akan memicu alarm berbasis malware. Kecepatan Mesin: AI dapat melakukan pergerakan lateral dari satu sistem ke sistem lain jauh lebih cepat daripada kemampuan tim SOC untuk merespons secara manual. 3. Strategi ExtraHop: NDR sebagai Garis Pertahanan Utama ExtraHop menekankan bahwa karena identitas adalah targetnya, maka perilaku jaringan adalah bukti kuncinya. Pendekatan Network Detection and Response (NDR) memberikan solusi melalui: A. Analisis Perilaku Entitas (UEBA) ExtraHop menggunakan AI untuk memantau perilaku setiap identitas di jaringan. Jika seorang pengguna yang biasanya hanya mengakses file dokumen tiba-tiba mencoba melakukan kueri ke database SQL yang sensitif, sistem akan segera menandainya sebagai anomali perilaku, meskipun kredensial yang digunakan benar. B. Visibilitas Identitas Non-Manusia Sebagian besar lalu lintas jaringan saat ini dihasilkan oleh mesin (API, Bot, Agen AI). ExtraHop memberikan visibilitas terhadap identitas non-manusia ini, memastikan bahwa akun layanan tidak disalahgunakan untuk eksfiltrasi data. C. Dekripsi untuk Deteksi Penyerang sering menyembunyikan aktivitas mereka di dalam lalu lintas terenkripsi. Dengan kemampuan dekripsi real-time, ExtraHop dapat melihat “isi” dari komunikasi tersebut untuk memastikan tidak ada pencurian identitas yang terjadi di dalam protokol seperti Active Directory atau Kerberos. Lindungi Identitas Digital Organisasi Anda Bersama iLogo Indonesia Laporan dari ExtraHop Indonesia menegaskan bahwa di era percepatan AI, mengandalkan proteksi endpoint saja tidak lagi cukup. Organisasi membutuhkan visibilitas jaringan yang mendalam untuk mendeteksi penyalahgunaan identitas sebelum kerusakan permanen terjadi. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi Network Detection and Response (NDR) terdepan dari ExtraHop. Sebagai pakar infrastruktur IT di Indonesia, kami siap membantu perusahaan Anda menghadapi ancaman berbasis AI melalui: Visibilitas Identitas Tanpa Celah: Memantau semua interaksi identitas di seluruh jaringan Anda, dari pusat data hingga cloud. Deteksi Anomali Berbasis AI: Menggunakan teknologi ExtraHop untuk menemukan pergerakan lateral penyerang yang menggunakan kredensial sah. Audit Hak Akses Real-Time: Membantu tim IT Anda mengidentifikasi akun-akun dengan risiko tinggi atau izin akses yang tidak perlu. Kepatuhan terhadap UU PDP: Menjamin perlindungan data pribadi dengan memantau siapa yang mengakses data tersebut dan bagaimana data tersebut dipindahkan di dalam jaringan. Jangan biarkan AI menjadi senjata yang melumpuhkan bisnis Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi ExtraHop dan ambil kendali penuh atas keamanan identitas Anda. Ingin melihat bagaimana AI dapat mendeteksi ancaman di jaringan Anda? Hubungi iLogo Indonesia sekarang untuk demo solusi NDR ExtraHop dan penilaian risiko keamanan identitas!

Laporan terbaru dari ExtraHop menyoroti ancaman dari kelompok peretas yang terafiliasi dengan negara (China-nexus) yang dikenal sebagai UNC5221 (juga dilacak sebagai UTA0178 atau Red Dev 61). Antara akhir 2025 hingga awal 2026, kelompok ini meluncurkan kampanye BRICKSTORM yang secara spesifik menargetkan lingkungan virtualisasi VMware vSphere dan infrastruktur edge untuk mencuri “kunci kerajaan” (keys to the kingdom) organisasi. Artikel ini membahas anatomi serangan UNC5221 dan bagaimana teknologi Network Detection and Response (NDR) menjadi krusial dalam mendeteksi pergerakan mereka yang sangat rahasia. 1. Anatomi Serangan: Dari Perangkat Edge ke Jantung Identitas UNC5221 menggunakan strategi terkoordinasi yang melibatkan dua alat utama: BRICKSTEAL dan BRICKSTORM. Akses Awal (Initial Access): Penyerang mengeksploitasi kerentanan pada perangkat edge seperti Ivanti, Citrix, dan Fortinet. Lokasi ini sering kali menjadi titik buta karena tidak dapat dipasangi agen keamanan tradisional (seperti EDR). Pencurian Kredensial (BRICKSTEAL): Begitu berada di dalam jaringan, mereka bergerak menuju server VMware vCenter dan menginstal BRICKSTEAL. Alat ini adalah digital skimmer yang menangkap kredensial administratif dalam teks biasa (plain text) saat administrator melakukan login. Penguasaan Domain (Cloning): Dengan kredensial admin tersebut, penyerang melakukan kloning terhadap server Domain Controller. Hal ini memungkinkan mereka mencuri seluruh basis data kata sandi organisasi secara offline tanpa memicu alarm pada alat pemantau live. 2. Invisibility & Persistence: Mengapa BRICKSTORM Sulit Dihapus? UNC5221 mengutamakan metode Living off the Land (LotL), yaitu menggunakan alat administratif bawaan sistem agar aktivitas mereka terlihat seperti kegiatan sah. Tunneling Tersembunyi: Malware BRICKSTORM menyembunyikan komunikasi Command and Control (C2) melalui protokol DNS over HTTPS (DoH) dan WebSockets. Hal ini membuat lalu lintas jahat menyatu dengan lalu lintas web normal dan melewati filter tradisional. Kemampuan Self-Healing: BRICKSTORM memiliki logika pemantauan mandiri. Jika prosesnya dihentikan atau dihapus, ia akan secara otomatis menginstal ulang dirinya sendiri menggunakan salinan cadangan yang disembunyikan dengan nama layanan sistem yang sah (seperti vmware-sphere). Kebal terhadap Reboot: Karena mekanisme persistensinya yang canggih, sekadar melakukan reboot server tidak akan menghilangkan ancaman ini. Dibutuhkan pembersihan forensik yang mendalam atau pembangunan ulang sistem secara total. 3. Strategi Pertahanan ExtraHop: Menutup Celah Visibilitas ExtraHop menekankan bahwa pertahanan di lapisan virtualisasi membutuhkan visibilitas yang tidak dapat diberikan oleh log atau agen endpoint saja. A. Visibilitas Jaringan Tanpa Agen (Agentless Visibility) Platform ExtraHop RevealX memantau semua lalu lintas jaringan secara pasif. Ini memungkinkan deteksi aktivitas UNC5221 pada infrastruktur edge (router/firewall) di mana alat keamanan lain tidak dapat beroperasi. B. Dekripsi Protokol Identitas RevealX memiliki kemampuan unik untuk mendekripsi protokol Active Directory. Ini memungkinkan tim keamanan melihat pergerakan tersembunyi penyerang menuju pusat identitas kunci seperti ADFS yang sering kali terlewatkan oleh alat lain. C. Deteksi Anomali Berbasis Machine Learning Karena penyerang menggunakan kredensial sah, deteksi tidak bisa mengandalkan “tanda tangan” virus. ExtraHop menggunakan machine learning untuk mengidentifikasi penyimpangan kecil dalam perilaku, seperti waktu login yang tidak biasa atau penggunaan protokol yang abnormal. Amankan Infrastruktur Virtual Anda Bersama iLogo Indonesia Laporan dari ExtraHop Indonesia menegaskan bahwa kampanye BRICKSTORM adalah pengingat bahwa infrastruktur virtualisasi adalah target bernilai tinggi. Di Indonesia, di mana banyak perusahaan besar dan instansi pemerintah bergantung pada VMware dan layanan edge, ancaman dari kelompok seperti UNC5221 harus ditanggapi dengan serius. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi Network Detection and Response (NDR) terdepan dari ExtraHop. Sebagai pakar infrastruktur IT di Indonesia, kami siap membantu organisasi Anda membangun ketahanan terhadap spionase siber melalui: Visibilitas Attack Surface Secara Real-Time: Memberikan pandangan menyeluruh terhadap aset edge dan lingkungan virtualisasi Anda tanpa perlu menginstal agen. Deteksi Pergerakan Lateral: Menggunakan teknologi RevealX untuk mengendus upaya pencurian kredensial dan kloning server sebelum data sensitif keluar dari jaringan. Analisis Protokol Terdekripsi: Memastikan komunikasi rahasia penyerang melalui DoH atau WebSockets dapat terdeteksi dan dihentikan. Kepatuhan terhadap UU PDP: Menjamin bahwa pusat data dan identitas pelanggan Anda terlindungi dari akses ilegal, selaras dengan standar perlindungan data nasional. Jangan biarkan infrastruktur virtual Anda menjadi “pintu terbuka” bagi penyerang global. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi ExtraHop dan ambil kendali penuh atas keamanan jaringan Anda. Ingin memastikan jaringan virtualisasi Anda aman dari kampanye BRICKSTORM? Hubungi iLogo Indonesia sekarang untuk konsultasi dan penilaian risiko NDR ExtraHop!

Memasuki tahun 2026, kemunculan agen AI otonom seperti OpenClaw menandai babak baru dalam produktivitas sekaligus ancaman siber. Berbeda dengan AI tradisional, agen ini memiliki kemampuan “agentic”—artinya mereka dapat merencanakan tugas, berinteraksi dengan alat (tools), dan mengeksekusi tindakan di seluruh jaringan secara mandiri. Laporan terbaru dari ExtraHop memperingatkan bahwa tanpa pengawasan yang ketat, agen AI ini dapat berubah menjadi jalur serangan yang sangat cepat dan sulit dideteksi. Artikel ini membahas bagaimana organisasi dapat mempertahankan diri dengan fokus pada deteksi berbasis perilaku jaringan. 1. Memahami Risiko “Agentic AI”: Mengapa OpenClaw Berbahaya? Agen AI otonom seperti OpenClaw dirancang untuk menyelesaikan masalah secara mandiri, namun karakteristik inilah yang menciptakan celah keamanan: Eksfiltrasi Data Terselubung: Agen AI dapat mengakses ribuan dokumen untuk “belajar,” yang jika disalahgunakan, dapat menyebabkan kebocoran data sensitif dalam skala besar. Manipulasi Perintah (Prompt Injection): Penyerang dapat menyuntikkan instruksi berbahaya yang memaksa agen AI melakukan tindakan ilegal, seperti mengubah konfigurasi firewall atau mencuri kredensial. Kecepatan di Luar Kendali: Karena beroperasi pada kecepatan mesin, agen AI yang terkompromi dapat memetakan seluruh jaringan dan mengeksploitasi kerentanan jauh sebelum tim keamanan menyadarinya. 2. Strategi Pertahanan: Mengawasi Perilaku, Bukan Sekadar Tanda Tangan ExtraHop menekankan bahwa metode keamanan tradisional berbasis signature (tanda tangan) tidak akan cukup untuk melawan AI. Kuncinya adalah Network Detection and Response (NDR). A. Visibilitas Tanpa Celah (Full Network Visibility) Organisasi harus mampu melihat semua komunikasi yang dilakukan oleh agen AI. ExtraHop memungkinkan tim keamanan untuk mengidentifikasi kapan sebuah agen AI mulai berkomunikasi dengan server luar yang mencurigakan atau mengakses database yang tidak relevan dengan tugasnya. B. Analisis Perilaku Berbasis AI (AI vs AI) Satu-satunya cara melawan AI yang berbahaya adalah dengan AI pertahanan. Dengan memantau trafik jaringan secara real-time, sistem dapat mendeteksi anomali perilaku—seperti lonjakan trafik keluar yang tidak biasa atau upaya akses ke kredensial administratif—dan segera menghentikannya secara otomatis. C. Pemantauan Protokol API Agen AI sangat bergantung pada API untuk mengeksekusi perintah. Mengawasi setiap panggilan API yang dilakukan oleh agen seperti OpenClaw adalah langkah krusial untuk memastikan tidak ada perintah “liar” yang dapat membahayakan integritas sistem. Amankan Ekosistem AI Anda Bersama iLogo Indonesia Laporan dari ExtraHop Indonesia menegaskan bahwa visibilitas adalah garis pertahanan pertama di era AI otonom. Jangan biarkan teknologi yang seharusnya mempercepat bisnis Anda justru menjadi pintu masuk bagi ancaman siber yang tidak terlihat. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi Network Detection and Response (NDR) terdepan dari ExtraHop. Sebagai pakar infrastruktur IT di Indonesia, kami siap membantu perusahaan Anda mengadopsi AI secara aman melalui: Visibilitas Jaringan Real-Time: Memberikan pandangan menyeluruh terhadap semua aktivitas agen AI dan bot di dalam jaringan Anda. Deteksi Ancaman Cerdas: Menggunakan teknologi ExtraHop untuk mendeteksi tanda-tanda awal serangan Prompt Injection atau eksfiltrasi data oleh agen AI otonom. Respon Insiden Terotomatisasi: Membantu Anda membangun alur kerja yang secara otomatis mengisolasi agen AI yang berperilaku mencurigakan sebelum kerusakan terjadi. Kepatuhan terhadap UU PDP: Memastikan bahwa aktivitas AI dalam mengelola data pelanggan tetap terpantau dan sesuai dengan regulasi perlindungan data pribadi nasional. Jadilah pemenang di era AI dengan kontrol penuh atas keamanan Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi ExtraHop dan amankan setiap langkah otomatisasi bisnis Anda. Ingin memastikan agen AI di perusahaan Anda bekerja dengan aman? Hubungi iLogo Indonesia sekarang untuk demo solusi NDR ExtraHop dan penilaian risiko AI!

Meskipun sangat penting, Endpoint Detection and Response (EDR) dan firewall sering kali dinilai terlalu tinggi; dianggap sebagai pertahanan total bagi organisasi dari semua ukuran. Menurut makalah baru dari IDC*, alat-alat warisan (legacy tools) ini secara efektif buta terhadap kampanye multi-tahap yang sangat menghindar (evasive) yang mendefinisikan lanskap ancaman saat ini. Pendorong tren ini adalah persenjataan kredensial yang dikompromikan. Ketika penyerang masuk sebagai pengguna yang ‘dipercaya’, mereka menjadi tidak terlihat oleh pertahanan tradisional. Karena handshake awal terlihat valid, alat keamanan berhenti mencari, memungkinkan penyerang beroperasi di bayang-bayang sesi yang terverifikasi. Pekerjaan dari Dalam: Risiko Pergerakan Lateral Setelah masuk, penyerang menggunakan identitas yang dipercaya tersebut untuk bergerak secara lateral (move laterally), mengamati jaringan, meningkatkan hak istimewa (escalating privileges), dan mempercepat menuju data bernilai tinggi. IDC mencatat bahwa pergerakan lateral adalah fase serangan yang paling sulit dideteksi karena terselubung dalam protokol yang memfasilitasi aktivitas sah. Siluman (stealth) ini memungkinkan aktor ancaman untuk memaksimalkan waktu tinggal (dwell time), tetap tersembunyi selama berminggu-minggu, berbulan-bulan, atau bertahun-tahun, sementara mereka bersiap untuk mengeksfiltrasi data dan meluncurkan ransomware. Topeng Enkripsi: Menyembunyikan Aktivitas Malicious Teknik penyembunyian utama adalah penyalahgunaan enkripsi untuk menutupi upaya penyerang. Menurut IDC Spotlight, “Kebenaran bahwasa jaringan bisnis terus berskala secara horizontal. Secara default, browser internet hanya akan mengizinkan lalu lintas terenkripsi. Dilemanya adalah memberikan visibilitas paket tanpa memperkenalkan latensi atau melanggar prinsip Zero Trust.” Ini menciptakan titik buta yang meresap, membuatnya mustahil untuk membedakan antara pengguna sah dan penyalahgunaan protokol berbahaya. Untuk menutup celah ini, organisasi memerlukan cara untuk melihat ke dalam paket tanpa memaksakan pertukaran (tradeoff) antara keamanan dan kinerja jaringan. Menuntut Kembali Kebenaran Dasar (Ground Truth) Mendeteksi pergerakan lateral memerlukan pergeseran dari analisis metadata terbatas ke pendekatan yang menangkap, menganalisis, dan menyimpan setiap bit dan byte lalu lintas jaringan. Memecahkan celah visibilitas memerlukan kemampuan untuk mendekripsi dan mendekode protokol dalam skala besar untuk mengungkap pelanggaran aktif yang terlewatkan oleh alat tradisional. Dengan menggabungkan kecerdasan jaringan dengan analitik identitas, tim keamanan bergerak melampaui pengamatan tingkat permukaan untuk mengidentifikasi pergeseran perilaku halus dan penggunaan abnormal yang menandakan serangan. Pendekatan fidelitas tinggi (high-fidelity approach) ini memastikan bahwa ancaman terlihat saat muncul, memungkinkan pemimpin untuk mengamankan lingkungan sebelum kerusakan ditimbulkan. Raih Keamanan Jaringan Tingkat Lanjut Bersama iLogo Indonesia Laporan dari IDC dan ExtraHop Indonesia menegaskan bahwa teknik pergerakan lateral dalam lalu lintas terenkripsi membutuhkan pendekatan keamanan yang proaktif, berfokus pada jaringan, dan terkelola dengan baik. Di Indonesia, kebutuhan akan solusi visibilitas jaringan tingkat tinggi yang sesuai dengan standar global sangatlah krusial untuk melindungi data dan aset perusahaan. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi keamanan IT terdepan, termasuk solusi Network Detection and Response (NDR) dari ExtraHop. Sebagai ahli dalam solusi infrastruktur IT, kami siap membantu perusahaan Anda menerapkan teknologi keamanan yang komprehensif untuk mencapai: Visibilitas Jaringan Menyeluruh: Mendeteksi ancaman di dalam lalu lintas terenkripsi di seluruh infrastruktur IT Anda. Deteksi Anomali Berbasis Perilaku: Mengidentifikasi teknik pergerakan lateral dan aktivitas mencurigakan secara cepat. Kepatuhan & Mitigasi Risiko: Memastikan keamanan tingkat tertinggi sesuai standar internasional dalam menghadapi ancaman siber baru. Jangan biarkan pergerakan lateral tersembunyi membahayakan perusahaan Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi keamanan tingkat lanjut dan hadapi tantangan teknologi di masa depan dengan percaya diri. Hubungi iLogo Indonesia hari ini untuk konsultasi dan demo solusi keamanan terkini!

Ransomware bukan lagi sekadar ancaman teknis; ia adalah ancaman eksistensial terhadap stabilitas organisasi. Data dari laporan lanskap ancaman global menunjukkan bahwa perusahaan menghadapi rata-rata 5 hingga 6 insiden ransomware setiap tahun. Dengan biaya yang sering kali melebihi $3,6 juta per insiden dan rata-rata waktu henti (downtime) melampaui 37 jam, serangan ini menguras anggaran, menghentikan operasional, mengikis kepercayaan pelanggan, dan menciptakan efek domino di seluruh rantai pasok dan layanan kritis. Dampak luas ini sangat nyata di sektor bernilai tinggi seperti layanan kesehatan, di mana data sensitif menjadikan organisasi target utama. Pertimbangkan insiden Episource tahun 2025, yang mengekspos informasi kesehatan pribadi 5,4 juta orang, termasuk nama, nomor jaminan sosial, dan detail asuransi. Rantai pasok global menghadapi ancaman serupa sebagaimana dicontohkan oleh serangan ransomware Jaguar Land Rover di mana produksi manufaktur dihentikan selama lima minggu, menciptakan kemacetan logistik yang berdampak pada jaringan dealer global selama berbulan-bulan. Dalam kedua kasus tersebut, penyerang menggunakan taktik “living-off-the-land” (LotL) dengan menggunakan layanan asli yang sah seperti PowerShell dan alat manajemen jarak jauh. Dengan membaur ke dalam operasional rutin untuk bergerak secara lateral (lateral movement), aktor ancaman membuktikan bahwa kini lebih mudah daripada sebelumnya untuk melakukan serangan tanpa terdeteksi. Kekuatan Jaringan dalam Mengungkap Ransomware Kampanye ransomware di tahun 2026 diprediksi akan menjadi semakin tertarget dan strategis, difokuskan pada organisasi bernilai tinggi yang rapuh secara sistemik, dan waktunya diatur untuk memaksimalkan dampak finansial. Untuk mengeksekusi strategi ini dalam skala besar, penyerang mengandalkan buku panduan (playbook) yang dapat diulang, mencuri kredensial, dan menggunakan taktik LotL untuk bergerak secara lateral di seluruh jaringan yang terhubung dan menghindari deteksi sepenuhnya. Visibilitas dan telemetri jaringan memberikan “kebenaran dasar” (ground truth) yang tidak dapat ditangkap oleh alat tradisional, seperti endpoint. Dengan memantau lalu lintas jaringan east-west (lalu lintas antara perangkat di dalam pusat data atau jaringan), tim keamanan dapat mengungkap indikator kompromi awal—seperti Kerberoasting dan reconnaissance abnormal—sebelum payload ransomware disebarkan. Memahami Lalu Lintas East-West: Titik Buta Keamanan Sebagian besar fokus keamanan tradisional tertuju pada lalu lintas north-south—data yang masuk dan keluar dari jaringan. Namun, penyerang ransomware beroperasi di dalam jaringan. Setelah mendapatkan akses awal, mereka menggunakan lalu lintas east-west untuk: 1. Reconnaissance (Pengintaian) Penyerang memindai jaringan untuk menemukan server berharga, basis data, dan cadangan (backup). Aktivitas ini sering kali terlihat seperti pemindaian port (port scanning) atau kueri DNS yang tidak biasa. 2. Pencurian Kredensial (Credential Theft) Penyerang mencari kredensial administrator yang tersimpan di memori perangkat (memory harvesting) atau menggunakan teknik seperti Kerberoasting untuk memecahkan kata sandi layanan. 3. Pergerakan Lateral (Lateral Movement) Menggunakan kredensial yang dicuri, penyerang berpindah dari satu sistem ke sistem lain, sering kali menggunakan alat sah seperti RDP atau SMB untuk menyalin file berbahaya. NDR (Network Detection and Response) memungkinkan pemantauan lalu lintas east-west ini secara real-time, memberikan visibilitas yang tidak dapat dicapai oleh solusi endpoint saja. Mendeteksi Sinyal Dini Ransomware NDR modern menggunakan AI skala cloud untuk mendekripsi dan menganalisis semua lalu lintas jaringan secara real-time, menghilangkan titik buta dan mendeteksi ancaman yang terlewatkan oleh alat lain. Model machine learning yang canggih diterapkan pada petabyte telemetri yang dikumpulkan terus-menerus, membantu tim keamanan untuk: Mengidentifikasi Perilaku Mencurigakan: Mendeteksi perilaku pengguna atau perangkat yang menyimpang dari baseline normal. Mengungkap Alat LotL: Mengenali penggunaan PowerShell, WMI, atau alat manajemen jarak jauh yang digunakan dengan cara yang tidak biasa. Menghentikan Lateral Movement: Mendeteksi pemindaian jaringan atau upaya koneksi yang mencurigakan antar perangkat internal. Raih Ketahanan Siber Tingkat Lanjut Bersama iLogo Indonesia Laporan ini menegaskan bahwa deteksi dini adalah kunci dalam memerangi ransomware. Di Indonesia, kebutuhan akan solusi pemantauan jaringan tingkat tinggi yang sesuai dengan standar global sangatlah vital untuk melindungi data dan operasional perusahaan. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi keamanan IT dan identitas terdepan. Sebagai ahli dalam solusi infrastruktur IT, kami siap membantu perusahaan Anda menerapkan teknologi keamanan CyberArk Indonesia dan solusi NDR ExtraHop Indonesia untuk mencapai: Visibilitas Jaringan Menyeluruh: Mendeteksi ancaman di seluruh infrastruktur IT Anda, termasuk lalu lintas east-west yang tersembunyi. Otomatisasi Deteksi Ancaman: Mengurangi risiko gangguan layanan (outage) akibat ransomware dengan fitur deteksi dini berbasis AI. Kepatuhan & Mitigasi Risiko: Memastikan keamanan tingkat tertinggi sesuai standar internasional dalam menghadapi ancaman siber baru dan taktik serangan yang terus berkembang. Jangan biarkan ransomware merusak operasional bisnis Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi keamanan tingkat lanjut dan hadapi tantangan teknologi di masa depan dengan percaya diri. Hubungi iLogo Indonesia hari ini untuk konsultasi dan demo produk keamanan!

Kampanye Anthropic G2G-1002 menandai titik balik penting dalam dunia keamanan siber: insiden pertama di dunia nyata yang didalangi oleh AI (AI-orchestrated intrusion). Sebagai respons terhadap ancaman ini, banyak perusahaan bergegas mengadopsi teknologi agen AI (agentic technology) untuk mengimbangi kecepatan serangan yang bergerak pada kecepatan mesin (machine speed), melewati perimeter standar, dan menciptakan ‘kebisingan peringatan’ (alert noise) untuk menyembunyikan penetrasi jaringan yang mendalam. Namun, kecepatan tanpa strategi adalah sebuah liabilitas. Mengotomatisasi SOC (Security Operations Center) yang sudah kelebihan beban hanya akan memperparah kesenjangan yang ada. Karena kinerja agen AI terikat pada kualitas data, masukan (input) yang tidak lengkap akan menghasilkan keluaran (output) yang berbahaya. Hasilnya adalah ‘kekacauan cepat’ (fast mess): sebuah sistem yang menskalakan kesalahan manusia ke kecepatan mesin, memungkinkan ancaman canggih menyelinap melalui celah lebih cepat daripada yang bisa ditangkap oleh tim mana pun. Data yang Tidak Lengkap Menyebabkan Halusinasi di SOC Agen Sebagian besar SOC mengandalkan kumpulan sumber data yang terfragmentasi, mulai dari log, aktivitas endpoint, hingga umpan intelijen ancaman (threat intelligence feeds). Sumber-sumber ini hanya memberikan cuplikan singkat aktivitas di seluruh perusahaan. Ketika mesin AI diberi makan cuplikan ini, mereka kehilangan sebagian besar konteksnya. Untuk mengisi celah tersebut, AI membuat asumsi. Asumsi ini sering menghasilkan halusinasi—jawaban yang terlihat valid, tetapi tidak sepenuhnya didasarkan pada realitas. Ketika sistem agen mengambil keputusan otonom berdasarkan informasi parsial, hal itu menciptakan rasa aman palsu. Analis dapat melewatkan ancaman nyata saat mengejar peringatan hantu (phantom alerts). Mean Time to Respond (MTTR) meningkat dan jam investigasi terbuang sia-sia. Pertanyaan kritisnya menjadi: apakah AI secara aktif membela perusahaan atau apakah ia hanya menebak-nebak? Menjadikan Jaringan sebagai Sumber Kebenaran (Ground Truth) Apa yang hilang dari SOC adalah wawasan terperinci dan berkelanjutan tentang siapa yang berkomunikasi dengan siapa, melalui protokol apa, dan dengan hasil apa. Log dan peringatan menangkap peristiwa, tetapi tidak menunjukkan hubungan di antara mereka. Tanpa wawasan tingkat jaringan (network-level insights), agen hanya melihat peristiwa yang terisolasi—sebuah login di sini, transfer file di sana—daripada bagaimana peristiwa tersebut dan elemen lainnya terhubung. Misalnya, satu transfer file yang tidak biasa mungkin tampak tidak berbahaya jika dilihat sendirian. Namun, ketika dilihat dalam konteks aktivitas jaringan—mengungkapkan data apa yang bergerak, di mana koneksi terjadi, dan pengguna mana yang memulainya—hal itu bisa menunjukkan intrusi yang terkoordinasi. Absennya konteks jaringan ini menyebabkan ancaman salah dinilai, respons salah diarahkan, dan risiko berlipat ganda. Lalu lintas jaringan memberikan visibilitas berkelanjutan ke dalam pergerakan data di seluruh perusahaan. Tidak seperti log, yang merupakan ringkasan yang dapat diedit atau ditekan, lalu lintas jaringan adalah bukti mentah. SOC agen berkinerja terbaik ketika diberi ‘diet’ data jaringan fidelitas tinggi (high-fidelity network data). Dengan informasi ini, tebak-tebakan menghilang dan keputusan otonom didasarkan pada perilaku yang dapat diamati, bukan asumsi. Menjangkar SOC Agen dalam Data yang Lengkap Keunggulan kompetitif tidak dimiliki oleh organisasi dengan AI terbaru. Keunggulan dimiliki oleh organisasi yang memastikan SOC agen beroperasi pada data yang lengkap dan dapat dipercaya. Integritas data, bukan kecanggihan model, menentukan apakah otomatisasi berbasis AI mengurangi risiko atau mempercepatnya. Jalan menuju SOC agen yang andal bukanlah algoritma yang lebih cepat—melainkan visibilitas penuh, pemantauan berkelanjutan, dan AI berbasis bukti. Raih Keamanan SOC Tingkat Lanjut Bersama iLogo Indonesia Laporan ExtraHop Indonesia menegaskan bahwa SOC agen memerlukan pendekatan keamanan yang proaktif, terpusat pada data jaringan, dan terkelola dengan baik. Di Indonesia, kebutuhan akan solusi keamanan tingkat tinggi yang sesuai dengan standar global sangatlah krusial untuk melindungi data dan aset perusahaan. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi keamanan IT terdepan, termasuk solusi Network Detection and Response (NDR) dari ExtraHop. Sebagai ahli dalam solusi infrastruktur IT, kami siap membantu perusahaan Anda menerapkan teknologi keamanan yang komprehensif untuk mencapai: Visibilitas Jaringan Menyeluruh: Mendeteksi ancaman di seluruh infrastruktur IT Anda dan memberikan konteks yang diperlukan untuk AI. Deteksi Anomali Berbasis Perilaku: Mengidentifikasi teknik ancaman modern dan aktivitas mencurigakan secara cepat. Kepatuhan & Mitigasi Risiko: Memastikan keamanan tingkat tertinggi sesuai standar internasional dalam menghadapi ancaman siber baru. Jangan biarkan kesalahan manusia yang diskalakan oleh AI membahayakan perusahaan Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi keamanan tingkat lanjut dan hadapi tantangan teknologi di masa depan dengan percaya diri. Hubungi iLogo Indonesia hari ini untuk konsultasi dan demo solusi keamanan terkini!

Dunia siber tidak pernah statis. Penyerang terus mengembangkan taktik, teknik, dan prosedur (TTP) mereka untuk menghindari deteksi tradisional. Salah satu contoh nyata dari evolusi ancaman ini adalah penggunaan malware Tuoni C2 (Command and Control). Laporan terbaru dari ExtraHop mengungkap bagaimana sebuah perusahaan real estat besar berhasil mendeteksi dan menanggulangi infeksi malware ini, memberikan wawasan berharga bagi industri lainnya mengenai teknik stealth modern. Artikel ini membedah anatomi serangan Tuoni, mengapa deteksi tradisional sering gagal, dan bagaimana pendekatan Network Detection and Response (NDR) menjadi kunci dalam menghadapi ancaman yang terus berkembang ini. Memahami Ancaman Tuoni: Apa Itu Tuoni C2? Tuoni adalah jenis malware yang dirancang untuk membangun saluran komunikasi rahasia antara perangkat yang terinfeksi di dalam jaringan perusahaan dengan server Command and Control (C2) milik penyerang. Tujuan utamanya adalah untuk: Mencuri Data: Mengambil informasi sensitif seperti data pelanggan, dokumen keuangan, atau kekayaan intelektual. Menyebarkan Ransomware: Mengunduh payload berbahaya tambahan untuk mengenkripsi data perusahaan. Pergerakan Lateral: Menggunakan perangkat yang terinfeksi sebagai batu loncatan untuk menginfeksi perangkat lain di dalam jaringan. Yang membuat Tuoni berbahaya adalah kemampuannya untuk beroperasi di bawah radar solusi keamanan endpoint tradisional seperti antivirus atau bahkan beberapa Endpoint Detection and Response (EDR). Anatomi Serangan Tuoni: Bagaimana Penyerang Beroperasi Insiden di perusahaan real estat tersebut mengungkap beberapa karakteristik utama dari serangan Tuoni yang perlu diwaspadai oleh tim keamanan: 1. Infeksi Awal dan Persistensi Penyerang sering kali menggunakan teknik phishing atau memanfaatkan kerentanan pada aplikasi yang terpapar ke internet untuk mendapatkan akses awal. Setelah masuk, Tuoni menginstal dirinya sendiri dan membuat mekanisme persistensi agar tetap berjalan meskipun perangkat di-restart. 2. Komunikasi C2 yang Menyamar (Stealth Communication) Ini adalah bagian paling kritis. Tuoni menggunakan teknik komunikasi yang menyerupai lalu lintas jaringan sah (legitimate traffic). Penyerang sering menggunakan protokol standar seperti HTTP/HTTPS untuk mengirim data keluar. Teknik: Tuoni mungkin menggunakan teknik domain fronting atau menyembunyikan instruksi C2 di dalam header paket HTTP untuk menghindari deteksi oleh firewall tradisional. 3. Pergerakan Lateral yang Lambat dan Terukur (Slow and Low) Berbeda dengan serangan ransomware yang berisik dan cepat, serangan Tuoni sering kali bersifat stealth. Penyerang meluangkan waktu untuk memetakan jaringan, mengidentifikasi data berharga, dan memindahkan data secara perlahan untuk menghindari lonjakan lalu lintas yang mencurigakan. Mengapa EDR Tradisional Sering Gagal Mendeteksi Tuoni Meskipun EDR sangat penting, serangan Tuoni menyoroti keterbatasan bawaan solusi keamanan yang hanya berfokus pada endpoint: EDR Membutuhkan Agen: Jika agen EDR tidak terinstal, salah konfigurasi, atau berhasil dimatikan oleh penyerang, perangkat tersebut menjadi buta. Fokus Terbatas: EDR memantau aktivitas di dalam perangkat, tetapi sering kali tidak memiliki visibilitas menyeluruh tentang bagaimana perangkat tersebut berinteraksi dengan perangkat lain di jaringan. Teknik Living off the Land (LotL): Tuoni sering kali menggunakan alat bawaan sistem operasi (tools), sehingga tidak terdeteksi sebagai file executable berbahaya. Peran Krusial Network Detection and Response (NDR) Deteksi dini terhadap Tuoni membutuhkan visibilitas menyeluruh di tingkat jaringan. Di sinilah pendekatan ExtraHop dengan solusi NDR berperan krusial: 1. Visibilitas Jaringan Komprehensif NDR memantau lalu lintas jaringan di seluruh perusahaan, memungkinkan tim keamanan untuk melihat komunikasi dari perangkat yang tidak terkelola (unmanaged devices) atau perangkat tanpa EDR. 2. Analisis Perilaku Berbasis AI (Behavioral AI) NDR tidak hanya mengandalkan tanda tangan ancaman (signature), tetapi menggunakan AI untuk mempelajari perilaku normal jaringan dan mendeteksi anomali. Deteksi Tuoni: AI dapat mendeteksi komunikasi C2 yang tidak biasa—misalnya, server internal yang tiba-tiba berkomunikasi dengan domain asing yang baru terdaftar, meskipun lalu lintas tersebut menggunakan HTTPS. 3. Respons Otomatis dan Cepat Setelah ancaman seperti Tuoni terdeteksi, NDR dapat memicu respons otomatis, seperti mengisolasi perangkat yang terinfeksi dari jaringan, mencegah penyerang menyebarkan malware lebih lanjut atau mencuri data. Pelajaran bagi Industri: Membangun Pertahanan Berlapis (Defense-in-Depth) Insiden perusahaan real estat tersebut memberikan pelajaran penting bahwa keamanan siber tidak bisa mengandalkan satu solusi saja. Strategi pertahanan yang efektif meliputi: Integrasi EDR dan NDR: Menggabungkan visibilitas endpoint dengan visibilitas jaringan. Pemantauan Lalu Lintas Cloud dan On-Premise: Memastikan tidak ada titik buta (blind spot) dalam infrastruktur hybrid. Audit Konfigurasi Keamanan: Secara rutin meninjau kebijakan firewall dan konfigurasi keamanan jaringan. Raih Keamanan Siber Tingkat Lanjut Bersama iLogo Indonesia Insiden malware Tuoni menegaskan bahwa ancaman siber semakin canggih dan memerlukan pendekatan pertahanan yang proaktif, berlapis, dan terkelola dengan baik. Di Indonesia, kebutuhan akan solusi keamanan tingkat tinggi yang sesuai dengan standar global sangatlah krusial untuk melindungi data dan aset perusahaan. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi keamanan IT terdepan, termasuk solusi Network Detection and Response (NDR) dari ExtraHop Indonesia. Sebagai ahli dalam solusi infrastruktur IT, kami siap membantu perusahaan Anda menerapkan teknologi keamanan yang komprehensif untuk mencapai: Visibilitas Jaringan Menyeluruh: Mendeteksi ancaman seperti Tuoni C2 di seluruh infrastruktur IT Anda. Deteksi Anomali Berbasis Perilaku: Mengidentifikasi komunikasi C2 yang samar-samar dan aktivitas mencurigakan secara cepat. Kepatuhan & Mitigasi Risiko: Memastikan keamanan tingkat tertinggi sesuai standar internasional dalam menghadapi ancaman siber baru. Jangan biarkan malware canggih membahayakan perusahaan Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi keamanan tingkat lanjut dan hadapi tantangan teknologi di masa depan dengan percaya diri. Hubungi iLogo Indonesia hari ini untuk konsultasi dan demo solusi keamanan terkini!

Dalam dunia keamanan siber, Endpoint Detection and Response (EDR) sering kali dianggap sebagai pertahanan terakhir melawan serangan siber. Agen EDR dipasang di server, laptop, dan perangkat endpoint lainnya untuk memantau aktivitas secara real-time, mendeteksi perilaku mencurigakan, dan merespons ancaman secara otomatis. Namun, penyerang siber tidak tinggal diam. Mereka telah mengembangkan berbagai teknik canggih untuk menghindari deteksi EDR—sebuah fenomena yang dikenal sebagai EDR evasion. Laporan mendalam dari ExtraHop mengungkap teknik-teknik tersembunyi yang digunakan oleh penyerang modern untuk menembus pertahanan endpoint. Memahami teknik ini sangat krusial bagi tim keamanan untuk membangun strategi pertahanan yang lebih tangguh dan berlapis (defense-in-depth). Mengapa Penyerang Menargetkan EDR? EDR adalah salah satu rintangan terbesar bagi penyerang setelah mereka mendapatkan akses awal ke jaringan. Dengan melemahkan atau menghindari EDR, penyerang dapat: Mempertahankan Persistensi: Tetap berada dalam jaringan dalam jangka waktu lama tanpa terdeteksi. Melakukan Pergerakan Lateral: Bergerak dari satu sistem ke sistem lain untuk mencari data sensitif atau akses tingkat lanjut (administrator). Mengekstraksi Data: Mencuri informasi rahasia tanpa memicu peringatan keamanan. Anatomi Teknik Penghindaran EDR Penyerang menggunakan kombinasi teknik stealth tingkat lanjut untuk beroperasi di bawah radar deteksi tradisional. 1. Disabling atau Uninstalling EDR Ini adalah pendekatan yang paling agresif. Penyerang yang telah mendapatkan hak akses istimewa (administrator privileges) mencoba mematikan layanan EDR atau menghapus instalan agen EDR sepenuhnya. Tantangan: Agen EDR modern memiliki fitur perlindungan diri (self-protection) yang mencegah penghapusan tanpa kata sandi atau otorisasi tingkat lanjut. Namun, penyerang terus mencari celah dalam fitur ini. 2. Tampering atau Evasion melalui Driver Penyerang menyalahgunakan driver sistem yang sah (vulnerable drivers) untuk memanipulasi kernel sistem operasi. Dengan mendapatkan akses ke kernel, penyerang dapat memblokir agen EDR untuk memantau aktivitas sistem atau mengirimkan log ke konsol manajemen. Teknik: Ini dikenal sebagai teknik Bring Your Own Vulnerable Driver (BYOVD). 3. Code Injection dan Living off the Land (LotL) Penyerang menyembunyikan kode berbahaya di dalam proses sistem yang sah (misalnya, explorer.exe atau svchost.exe). Dengan cara ini, tindakan berbahaya terlihat seolah-olah dilakukan oleh aplikasi resmi. Teknik: Penyerang juga menggunakan alat bawaan sistem operasi (LotL) seperti PowerShell atau Windows Management Instrumentation (WMI) untuk menjalankan perintah, menghindari penggunaan file executable berbahaya yang mudah dideteksi oleh file scanning. 4. Obfuscation dan Encryption Untuk menghindari deteksi berbasis tanda tangan (signature-based detection), penyerang mengenkripsi atau mengaburkan (obfuscate) kode berbahaya mereka. Agen EDR mungkin tidak mengenali kode tersebut sebagai ancaman sebelum dijalankan. 5. Memblokir Komunikasi Agen ke Cloud Agen EDR bergantung pada koneksi internet untuk mengirim log dan menerima pembaruan kebijakan keamanan. Penyerang dapat memblokir koneksi ini menggunakan firewall atau memanipulasi konfigurasi jaringan endpoint untuk mengisolasi agen dari konsol manajemen. Keterbatasan EDR dan Pentingnya Deteksi Berbasis Jaringan Analisis ExtraHop menekankan bahwa meskipun EDR sangat penting, EDR memiliki keterbatasan bawaan. Deteksi EDR sering kali terisolasi pada perangkat tertentu dan tidak dapat melihat gambaran besar aktivitas di seluruh jaringan. Di sinilah Network Detection and Response (NDR) menjadi krusial. NDR memantau lalu lintas jaringan secara keseluruhan, memungkinkan tim keamanan untuk: Mendeteksi Pergerakan Lateral: Melihat bagaimana penyerang berpindah antar perangkat, bahkan jika agen EDR di salah satu perangkat dimatikan. Analisis Perilaku Jaringan: Mendeteksi anomali perilaku jaringan, seperti komunikasi ke server perintah dan kendali (C2 servers) yang tidak dikenal atau ekstraksi data yang mencurigakan. Visibilitas Endpoint Tanpa Agen: Memantau perangkat yang tidak dapat dipasang agen EDR (seperti IoT atau perangkat warisan). Membangun Pertahanan Berlapis (Defense-in-Depth) Penyerang modern menggunakan teknik stealth yang canggih, sehingga pertahanan keamanan tidak boleh hanya bergantung pada satu solusi. Strategi keamanan yang efektif harus mencakup: Penerapan EDR yang Kokoh: Mengonfigurasi agen EDR dengan kebijakan perlindungan diri yang ketat dan pemantauan terus-menerus. Integrasi NDR: Menggunakan NDR untuk visibilitas jaringan yang komprehensif dan deteksi anomali. Manajemen Akses Istimewa (PAM): Membatasi hak administrator pada endpoint untuk mengurangi risiko penyerang mematikan EDR. Audit dan Pemantauan Konfigurasi: Secara rutin memeriksa konfigurasi keamanan endpoint untuk memastikan tidak ada celah. Raih Keamanan Siber Tingkat Lanjut Bersama iLogo Indonesia Laporan ExtraHop Indonesia menegaskan bahwa teknik penghindaran EDR membutuhkan pendekatan keamanan yang proaktif, berlapis, dan terkelola dengan baik. Di Indonesia, kebutuhan akan solusi keamanan tingkat tinggi yang sesuai dengan standar global sangatlah krusial untuk melindungi data dan aset perusahaan. iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi keamanan IT terdepan. Sebagai ahli dalam solusi infrastruktur IT, kami siap membantu perusahaan Anda menerapkan teknologi keamanan yang komprehensif—termasuk solusi EDR dan NDR—untuk mencapai: Visibilitas Jaringan dan Endpoint Menyeluruh: Mendeteksi ancaman di seluruh infrastruktur IT Anda. Deteksi Anomali Berbasis Perilaku: Mengidentifikasi teknik penghindaran EDR dan aktivitas mencurigakan secara cepat. Kepatuhan & Mitigasi Risiko: Memastikan keamanan tingkat tertinggi sesuai standar internasional dalam menghadapi ancaman siber baru. Jangan biarkan teknik penghindaran EDR membahayakan perusahaan Anda. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi keamanan tingkat lanjut dan hadapi tantangan teknologi di masa depan dengan percaya diri. Hubungi iLogo Indonesia hari ini untuk konsultasi dan demo solusi keamanan terkini!