Sepanjang karir saya sebagai CISO, industri cyber tampaknya beroperasi berdasarkan asumsi yang sederhana dan tidak tertandingi. Jika Anda berinvestasi cukup dalam pencegahan, insiden serius dapat dihindari.
Kontrol perimeter yang kuat, pertahanan berlapis, patching rutin, dan alat deteksi yang semakin canggih dipandang sebagai jawabannya. Ketika pelanggaran benar-benar terjadi, pelanggaran tersebut dianggap sebagai kegagalan eksekusi dan bukan sebagai bukti bahwa model itu sendiri memiliki kelemahan.
Kepala Staf Strategi di Halcyon.
Pola pikir ini masuk akal dalam lingkungan ancaman yang berbeda. Serangan lebih bersifat linier dan seringkali bersifat oportunistik. Keamanan tim mempunyai waktu untuk menganalisis peringatan, menyampaikan kekhawatiran, dan melakukan intervensi sebelum penyerang mencapai sistem kritis. Dewan mengharapkan kepastian, dan pencegahan memberikan narasi yang mudah dipahami dan meyakinkan untuk didanai.
Yang berubah bukan hanya volume serangannya, tapi kecepatan dan kemampuan adaptasinya. perangkat lunak tebusan khususnya telah mengungkap betapa rapuhnya model pencegahan pertama.
Meski begitu, banyak organisasi yang terus berpegang teguh pada gagasan bahwa alat yang lebih baik pada akhirnya akan menutup kesenjangan tersebut. Menurut pengalaman saya, keyakinan tersebut tetap ada karena kurang nyaman untuk mengakui bahwa kompromi dunia maya bukan lagi pertanyaan tentang apakah, tapi kapan.
Cadangan menjadi jaring pengaman yang memungkinkan keyakinan ini bertahan lebih lama dari yang seharusnya. Di atas kertas, logikanya masuk akal. Jika terjadi kesalahan, pulihkan dari cadangan dan lanjutkan. Kenyataannya, insiden ransomware secara konsisten menunjukkan betapa rapuhnya pendekatan ini ketika berada dalam tekanan.
Sensitivitas waktu
Apa yang sebenarnya salah jarang terjadi karena kegagalan teknis saja. Cadangan mungkin ada, namun seringkali tidak lengkap, ketinggalan jaman, atau belum teruji dalam skenario kehidupan nyata. Lebih penting lagi, memulihkan data hanyalah sebagian kecil dari pemulihan.
Sistem perlu dibangun kembali, jaringan disegmentasi ulang, kredensial dirotasi, dan keyakinan dipulihkan bahwa penyerang tidak lagi memiliki akses. Banyak organisasi terlambat menyadari bahwa cadangan mereka memunculkan kembali kelemahan yang sama seperti yang pernah mereka eksploitasi.
Waktu adalah faktor yang paling diremehkan di tingkat eksekutif. Ada asumsi yang terus-menerus bahwa pemulihan diukur dalam hitungan jam karena inilah yang disarankan oleh dasbor. Dalam kejadian nyata, waktu berjalan sangat berbeda. Setiap keputusan mempertimbangkan risiko memperburuk keadaan.
Tim memang ragu, karena membuat sistem kembali online terlalu cepat dapat memicu infeksi ulang atau lebih jauh lagi kehilangan data. Keraguan ini memperpanjang jangka waktu pemulihan jauh melampaui apa yang diharapkan oleh para pemimpin.
Saya percaya itu AI telah mengubah dinamika sisi penyerang secara mendasar, dan di sinilah tekanan pada pemulihan menjadi akut. Penyerang tidak lagi dibatasi oleh kecepatan manusia.
Otomatisasi memungkinkan mereka untuk berpindah secara lateral, meningkatkan hak istimewa, dan mengekstraksi data segera setelah akses awal. Tim defensif mungkin mendeteksi aktivitas dengan cepat, namun deteksi tidak sama dengan kontrol ketika proses pemulihan tetap lambat, manual, dan terfragmentasi.
Industri ini telah menghabiskan waktu bertahun-tahun untuk mengoptimalkan peringatan dini. Jauh lebih sedikit perhatian yang diberikan pada apa yang terjadi selanjutnya. Serangan yang digerakkan oleh AI memperkecil jarak antara kompromi dan dampak secara drastis sehingga kemampuan untuk pulih dengan cepat menjadi lebih penting daripada kemampuan untuk mencegah dengan sempurna.
Ketahanan ditentukan oleh pemulihan yang efisien dan percaya diri
Postur ketahanan yang baik saat ini terlihat sangat berbeda dari apa yang masih direncanakan oleh banyak organisasi. Hal ini mengasumsikan bahwa beberapa serangan akan berhasil dan berfokus pada pembatasan radius ledakan dan waktu henti. Hal ini memprioritaskan lingkungan pemulihan yang bersih dan terisolasi yang dapat dipercaya di bawah tekanan.
Hal ini membutuhkan proses pemulihan yang dilatih secara teratur, tidak didokumentasikan sekali pun dan dibiarkan begitu saja. Yang paling penting, hal ini menuntut dewan memahami ketahanan sebagai a bisnis kemampuan, bukan renungan teknis. Tujuan pemulihan harus realistis dan bermakna.
Memulihkan server tidak sama dengan memulihkan operasi. Organisasi yang mengalami pemulihan paling cepat adalah organisasi yang perannya jelas, keputusannya sudah disahkan sebelumnya, dan kepemimpinannya telah berlatih beroperasi dalam kondisi krisis.
Ketidaksesuaian paling berbahaya yang saya lihat saat ini adalah antara serangan yang didorong oleh AI dan pengambilan keputusan oleh manusia. Penyerang beroperasi terus menerus, beradaptasi secara real time, tanpa kelelahan atau gesekan organisasi. Para pembela HAM mengandalkan komite, persetujuan, dan jalur eskalasi yang memperlambat segalanya pada saat yang paling buruk.
Ketika insiden terjadi, ketidakpastian menyebar dengan cepat, dan tanpa persiapan, ketidakpastian tersebut berubah menjadi kelumpuhan.
Jika ada satu kesimpulan yang saya ambil dari pengamatan ransomware berkembang, inilah kesimpulannya. Ketahanan tidak lagi ditentukan oleh seberapa baik Anda mencegah penyerang. Hal ini ditentukan oleh seberapa cepat dan percaya diri Anda dapat pulih ketika mereka masuk.
Organisasi yang menyadari perubahan ini dan melakukan investasi yang sesuai akan tetap beroperasi. Mereka yang berpegang teguh pada pencegahan sebagai strategi utama mereka akan terus terkejut ketika pemulihan memakan waktu jauh lebih lama dari perkiraan siapa pun.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
