Serangan siber

Pelaku ancaman saat ini berkisar mulai peretas tunggal dan penjahat siber terorganisasi hingga kelompok yang disponsori negara yang terlibat dalam perang siber jangka panjang. Taktik mereka meliputi persenjataan yang terus berkembang—termasuk serangan malware, penipuan rekayasa sosial, eksploitasi zero-day, dan worm yang menggandakan diri. 

Penyerang akan mengeksploitasi setiap jenis kerentanan, dari aplikasi web yang tidak ditambal hingga layanan cloud yang salah dikonfigurasi, untuk membahayakan sistem target dan mengganggu fungsinya. Untuk mengurangi ancaman ini, organisasi membutuhkan pertahanan berlapis untuk membantu mencegah, mendeteksi, dan merespons serangan siber sebelum menimbulkan malapetaka.   

Serangan siber tidak terjadi dalam ruang hampa. Mereka menyerang di mana teknologi, orang, dan motif bersinggungan. Konsekuensinya jauh melampaui pemadaman sementara atau file yang dicuri. Laporan Biaya Pelanggaran Data 2025 IBM menempatkan rata-rata global pelanggaran sebesar USD 4,44 juta—angka yang mencakup deteksi, respons insiden, waktu henti, kehilangan pendapatan, dan kerusakan merek yang bertahan lama.¹

Beberapa insiden jauh lebih mahal: pada bulan Maret 2024 satu korban membayar USD 75 juta dalam satu serangan ransomware, sementara penipuan email bisnis (BEC) menguras USD 2,77 miliar dari organisasi pada tahun 2024 saja pada 21.442 insiden yang dilaporkan.² Analis memproyeksikan biaya tahunan global kejahatan siber akan meningkat dari sekitar USD 9,2 triliun pada tahun 2024 menjadi sekitar USD 13,8 triliun pada tahun 2028.

Untuk memahami sepenuhnya keseriusan serangan siber, penting untuk memeriksanya dari tiga dimensi:

• Siapa yang melancarkan serangan 
• Apa target penyerang
• Mengapa penyerang menyerang

Serangan siber berasal dari spektrum pelaku jahat yang luas, baik eksternal maupun internal.

Penyerang eksternal sangat bervariasi. Kelompok penjahat siber terorganisasi mungkin mencari keuntungan melalui serangan ransomware atau dengan menjual data yang dicuri di dark web. Beberapa adalah peretas profesional dengan spesialisasi dalam mendapatkan akses ke sistem yang disusupi.  

Di tingkat negara, pelaku yang disponsori negara melakukan serangan perang siber dan spionase jangka panjang terhadap pemerintah dan perusahaan saingan. Lalu ada hacktivist, yang membobol sistem untuk menarik perhatian pada tujuan politik atau sosial, bukan untuk mendapatkan keuntungan finansial secara langsung.

Ancaman orang dalam menghadirkan risiko yang berbeda tetapi sama seriusnya. Karyawan yang tidak puas dapat dengan sengaja mengeksfiltrasi data sensitif atau menyabotase sistem untuk membalas dendam. Orang lain melakukannya karena ceroboh: pengguna yang menyimpan data pelanggan dalam drive yang tidak aman dapat secara tidak sengaja membuka kesempatan yang sama yang akan dieksploitasi oleh pelaku yang jahat. Ketika orang dalam dengan sengaja menyalahgunakan akses resmi, barulah hal itu bisa dikategorikan sebagai serangan siber yang sebenarnya, tetapi bahkan kelalaian pun bisa menjadi pijakan pertama bagi musuh eksternal. 

Penyerang membobol sistem karena setiap aset, baik itu kekayaan intelektual atau data pribadi, memiliki nilai yang jelas. Target umum meliputi:

• Aset keuangan: Termasuk rekening bank, sistem pembayaran, dompet mata uang kripto, nomor kartu kredit, dan kredensial login yang memungkinkan pencurian atau penjualan kembali secara langsung.

• Data dan kekayaan intelektual: Meliputi data pelanggan, desain produk, riset eksklusif, dan informasi identifikasi pribadi (PII) untuk pencurian identitas atau penjualan kembali di dark web. 

• Infrastruktur dan sistem pemerintah yang penting: Mencakup jaringan energi, sistem perawatan kesehatan, dan lembaga pemerintah, mengganggu sistem informasi penting dan layanan publik. 

Beberapa serangan bertujuan untuk melumpuhkan fungsionalitas alih-alih mencuri data. Misalnya, serangan denial-of-service terdistribusi (DDoS) baru-baru ini membanjiri targetnya dengan lalu lintas 11,5 terabit per detik (Tbps) selama sekitar 35 detik. Seperti yang dikatakan oleh seorang peneliti, "Ini setara dengan membanjiri jaringan Anda dengan lebih dari 9.350 film HD berdurasi penuh... hanya dalam 45 detik."

Mungkin pertanyaan tersulit untuk dijawab adalah mengapa penyerang menyerang. Motifnya bisa beragam, mulai dari keuntungan, politik, hingga ketidakpuasan pribadi, dan setiap pelanggaran bisa melibatkan lebih dari satu dorongan ini. Namun sebagian besar aktivitas berkumpul di seputar tiga penggerak: kriminal, politik, atau pribadi. 

• Kriminal: Motivasi kriminal tetap menjadi yang paling umum. Beberapa pelaku mencari keuntungan finansial langsung, membobol sistem untuk meluncurkan serangan ransomware atau menjalankan serangan phishing skala besar. Yang lain berfokus pada pemerasan, menggunakan serangan DDoS untuk menyandera jaringan sampai uang tebusan dibayarkan. 
  
  
• Politik: Politik juga menjadi pendorong aktivitas siber yang signifikan. Serangan yang disponsori negara dan operasi spionase siber jangka panjang secara rutin menyelidiki infrastruktur penting, jaringan pemerintah, dan bahkan sistem pemilihan. Bersamaan dengan upaya tingkat negara ini, terdapat hacktivist—perorangan atau kelompok perorangan tanpa hierarki yang menyusup ke dalam jaringan untuk menyoroti gerakan atau mempermalukan musuh. 
  
  
• Pribadi: Motif pribadi, meskipun lebih sulit untuk diprediksi, bisa sama merusaknya. Kontraktor atau mitra bisnis yang kecewa dapat dengan sengaja merilis data sensitif atau menyabotase sistem untuk membalas dendam. Dan terkadang dorongan tersebut tidak lebih dari sekadar rasa ingin tahu atau ego: apa yang disebut "peretas iseng" membobol hanya untuk membuktikan bahwa mereka bisa melakukannya.

Penjahat siber menggunakan banyak alat dan teknik canggih untuk membahayakan sistem. Taktik terus berkembang tetapi dapat dikelompokkan menjadi tiga tingkatan luas: ancaman siber yang meluas, canggih, dan baru.

Semua teknik ini adalah penggerak kejahatan siber. Mereka meningkatkan serangan di berbagai industri, mengeksploitasi kelemahan manusia, dan jarang membutuhkan sumber daya yang didukung negara. Karena sangat umum—dan sangat efektif—mereka menjadi fondasi bagi sebagian besar insiden keamanan siber.

Malware adalah perangkat lunak berbahaya yang dapat membuat sistem yang terinfeksi tidak dapat dioperasikan. Malware dapat menghancurkan data, mencuri informasi, atau menghapus file yang penting pada kemampuan sistem operasi untuk berjalan. Jenis malware yang umum meliputi:

• Trojan horse: Serangan yang menyamar sebagai program yang sah untuk mengelabui pengguna agar melakukan instalasi. Trojan akses jarak jauh (RAT) menciptakan pintu belakang rahasia pada perangkat korban, sementara Trojan dropper menginstal malware tambahan setelah mendapatkan pijakan.

• Ransomware: Menggunakan enkripsi yang kuat untuk menyandera data atau sistem hingga uang tebusan dibayarkan.

• Scareware: Membombardir korban dengan peringatan palsu untuk mendorong unduhan atau penyerahan informasi sensitif.

• Spyware: Secara diam-diam mengumpulkan nama pengguna, kata sandi, dan nomor kartu kredit, lalu mengirimkannya kembali ke penyerang.

• Rootkit: Memberikan kontrol tingkat administrator pada sistem operasi namun tetap tersembunyi.

• Worm yang menggandakan diri: Menyebar secara otomatis antara aplikasi dan perangkat.

Serangan rekayasa sosial mengeksploitasi kepercayaan manusia alih-alih kerentanan teknis, membujuk orang untuk mengungkapkan informasi atau bahkan menginstal malware. Contoh yang paling umum adalah phishing, di mana email, teks, atau pesan media sosial meniru permintaan yang sah dan memikat korban untuk mengklik tautan berbahaya atau membuka lampiran yang terinfeksi.

Varian yang lebih ditargetkan termasuk phishing tombak, yang menyesuaikan serangan ke individu tertentu menggunakan detail dari profil sosial publik. Whale phishing adalah versi yang ditujukan pada eksekutif senior, sementara penipuan BEC menyamar sebagai individu tepercaya seperti CEO, mengelabui karyawan untuk mentransfer dana atau berbagi data rahasia.

DoS dan serangan denial-of-service terdistribusi (DDoS) membanjiri sumber daya sistem dengan lalu lintas penipuan sampai tidak dapat menanggapi permintaan yang sah. Serangan DoS berasal dari satu sumber, sementara serangan DDoS menggunakan beberapa sumber—sering kali botnet laptop, ponsel pintar, dan perangkat Internet-of-Things (IoT) yang terinfeksi malware. 

Dalam serangan penyusupan akun, penjahat membajak kredensial pengguna yang sah untuk melakukan aktivitas berbahaya. Mereka mungkin melakukan phishing untuk kata sandi, membeli basis data curian di dark web atau meluncurkan serangan brute force otomatis untuk menebak kata sandi berulang kali hingga berhasil.

Disebut juga serangan penyadapan, serangan MITM terjadi ketika seorang peretas diam-diam mencegat komunikasi antara dua pihak, sering kali melalui Wi-Fi publik yang tidak aman. Penyerang dapat membaca atau memodifikasi pesan sebelum mencapai penerima. Misalnya, dalam varian pembajakan sesi, penyusup menukar alamat IP mereka dengan alamat IP korban, membodohi server untuk memberikan akses penuh ke sumber daya yang dilindungi.

Musuh yang lebih sabar melakukan serangannya melalui keterampilan, diam-diam, dan ketekunan. Taktik ini sering menggabungkan beberapa vektor serangan—dari operator manusia rahasia hingga pasukan bot otomatis—dan dapat diperpanjang selama berbulan-bulan, membuat deteksi dini menjadi penting.

Penyerang melanggar perusahaan dengan menargetkan vendor perangkat lunaknya, pemasok bahan, atau penyedia layanan lainnya. Karena vendor sering kali terhubung ke jaringan pelanggan mereka, satu kompromi dapat memberikan penyerang jalur tidak langsung ke banyak organisasi.

Serangan XSS memasukkan kode berbahaya ke halaman web atau aplikasi web yang sah. Ketika pengguna mengunjungi situs atau aplikasi, kode secara otomatis berjalan di browser pengguna, mencuri informasi sensitif atau mengarahkan pengunjung ke situs web berbahaya. Penyerang sering menggunakan JavaScript untuk meluncurkan eksploitasi ini.

Serangan injeksi SQL mengirim perintah Structured Query Language (SQL) berbahaya ke basis data backend situs web atau aplikasi. Penyerang melakukan input perintah melalui kolom yang berinteraksi dengan pengguna seperti bilah pencarian dan jendela login, meminta basis data untuk menampilkan data pribadi seperti nomor kartu kredit atau data pelanggan lainnya.

Penerowongan sistem nama domain (DNS) menyembunyikan lalu lintas berbahaya di dalam paket DNS, memungkinkannya untuk melewati langkah-langkah keamanan tradisional seperti firewall dan sistem deteksi intrusi (IDS). Pelaku ancaman menggunakan teknik ini untuk membuat saluran komunikasi rahasia yang dapat secara diam-diam mengekstrak data atau menghubungkan malware ke server perintah dan kontrol jarak jauh (C2).

Eksploitasi zero-day memanfaatkan kelemahan perangkat lunak yang sebelumnya tidak diketahui atau belum ditambal yang dikenal sebagai kerentanan zero-day sebelum pengembang dapat merilis perbaikan. Serangan ini dapat tetap efektif selama berhari-hari, berbulan-bulan, atau bahkan bertahun-tahun, menjadikannya favorit kelompok ancaman tingkat lanjut.

Serangan tanpa file menggunakan kerentanan pada program perangkat lunak yang sah untuk menyuntikkan kode berbahaya secara langsung ke dalam memori komputer. Karena hanya beroperasi di memori dan meninggalkan beberapa artefak pada disk, mereka dapat menghindari banyak solusi perangkat lunak antivirus—bahkan beberapa alat antivirus generasi berikutnya (NGAV). Penyerang sering memanfaatkan lingkungan skrip seperti PowerShell untuk mengubah konfigurasi atau mencuri kata sandi.

Disebut juga peracunan DNS, spoofing DNS secara diam-diam mengubah catatan DNS untuk mengganti alamat IP asli situs web dengan alamat IP palsu. Ketika korban mencoba mengunjungi situs yang sah, mereka tanpa sadar diarahkan ke salinan berbahaya yang dapat mencuri data atau mendistribusikan malware.

Aktor jahat memperluas permukaan serangan dengan memanipulasi sistem cerdas, mengeksploitasi infrastruktur baru dan bahkan merusak enkripsi masa depan. Sementara ancaman siber ini masih berkembang, mereka sudah menuntut perhatian dari pusat operasi keamanan (SOC) dan tim keamanan yang lebih luas.

Kecerdasan buatan (AI), khususnya AI generatif, membuka pintu masuk baru bagi musuh. Peretas dapat menggunakan model bahasa besar (LLM) untuk membuat serangan phishing yang luar biasa realistis, membuat audio dan video deepfake, dan bahkan mengotomatiskan pengintaian dalam skala yang belum pernah terjadi sebelumnya. Teknik yang lebih canggih seperti injeksi prompt atau jailbreak AI dapat mengelabui sistem AI untuk mengungkapkan data sensitif dengan mengesampingkan kontrol keamanan dan batasan bawaan.

Perusahaan terus mengalihkan beban kerja ke cloud publik dan hybrid cloud, sehingga memperluas potensi serangan. Bucket penyimpanan yang salah konfigurasi, antarmuka pemrograman aplikasi (API) yang terpapar, dan platform orkestrasi kontainer yang rentan seperti Kubernetes memberi peluang bagi penyerang untuk mendapatkan akses ke seluruh lingkungan nyaris seketika. Menargetkan salah satu konfigurasi cloud tunggal dapat memungkinkan pelaku ancaman bergerak secara lateral melintasi beberapa beban kerja dan mengeksfiltrasi data pelanggan tanpa memicu pertahanan perimeter tradisional.

Serangan integritas data bertujuan untuk merusak atau secara halus mengubah kumpulan data, baik dalam perjalanan, dalam penyimpanan, atau selama pemrosesan, sehingga sistem hilir membuat keputusan yang salah. Ini dapat mencakup memanipulasi aliran data real-time atau mengedit catatan keuangan atau perawatan kesehatan secara diam-diam. Salah satu taktik yang sangat serius adalah peracunan data, di mana penyerang memodifikasi kumpulan pelatihan machine learning dengan catatan berbahaya, menyebabkan model mengembangkan pintu belakang tersembunyi atau output bias. 

Kemajuan dalam komputasi quantum mengancam kriptografi kunci publik saat ini. Penyerang sudah mengejar strategi “panen sekarang, dekripsi nanti”, mencuri data terenkripsi hari ini dengan harapan bahwa kemampuan quantum masa depan akan memungkinkan mereka untuk memecahkan algoritma enkripsi saat ini dan membuka informasi sensitif. Mempersiapkan pergeseran ini mengharuskan organisasi untuk melacak perkembangan kriptografi pasca-quantum (PQC) dan mulai merencanakan jalur migrasi untuk sistem penting.

Bertahan terhadap serangan siber membutuhkan lebih dari satu produk atau kebijakan. Keamanan siber yang efektif memadukan manusia, teknologi, dan proses untuk mengantisipasi ancaman, membatasi paparan, serta memberikan deteksi dan respons terhadap ancaman yang komprehensif. 

Pencegahan yang kuat dimulai dengan memahami aset organisasi yang paling berharga dan permukaan serangan di sekitarnya sehingga mengurangi peluang untuk akses yang tidak sah. Perlindungan umum meliputi:

• Manajemen identitas dan akses (IAM): Menerapkan akses dengan hak istimewa terkecil, autentikasi multifaktor, dan kebijakan kata sandi yang kuat untuk memastikan bahwa hanya orang yang tepat yang dapat mencapai sistem penting. Banyak organisasi juga mengharuskan pengguna jarak jauh untuk terhubung melalui jaringan pribadi virtual (VPN) atau saluran aman lainnya.

• Keamanan data dan pencegahan kehilangan data (DLP): Mengenkripsi data sensitif, memantau cara penggunaan dan penyimpanannya, serta memelihara pencadangan rutin untuk membatasi dampak pelanggaran.

• Kontrol jaringan: Menerapkan firewall berlapis dan sistem pencegahan intrusi (IPS) untuk memblokir lalu lintas berbahaya memasuki atau keluar dari jaringan. Ini termasuk upaya malware untuk menghubungi server C2.

• Manajemen kerentanan berkelanjutan: Penambalan teratur dan uji penetrasi dapat membantu menutup kelemahan sebelum penyerang mengeksploitasi mereka.

• Manajemen permukaan serangan (ASM): Mengidentifikasi, mengelompokkan, dan memulihkan aset yang terekspos di seluruh lingkungan on premises, cloud, dan IoT sebelum musuh menemukannya.

• Manajemen titik akhir terpadu (UEM): Menerapkan kebijakan keamanan yang konsisten pada setiap titik akhir termasuk desktop, laptop, mobile, dan beban kerja cloud.

• Pelatihan kesadaran keamanan: Melengkapi karyawan dengan kemampuan untuk mengenali email phishing, taktik rekayasa sosial, dan titik masuk umum lainnya.

Karena tidak ada pertahanan yang sempurna, organisasi membutuhkan visibilitas real-time tentang jaringan komputer dan sistem informasi mereka:

• Informasi keamanan dan manajemen peristiwa (SIEM): Mengumpulkan dan menganalisis peringatan dari sistem deteksi intrusi, alatdeteksi dan respons titik akhir (EDR), dan teknologi pemantauan lainnya.

• Intelijen ancaman: Memperkaya peringatan dengan data tentang pelaku ancaman yang diketahui, taktik, dan indikator kompromi (IOC) untuk mempercepat triase.

• Analitik canggih dan AI: Platform deteksi modern semakin banyak menggunakan machine learning untuk menandai anomali dan mengidentifikasi berbagai pola halus yang mungkin menandakan insiden siber yang sedang berlangsung.

• Perburuan ancaman proaktif: Analis yang terampil mencari intrusi tersembunyi—seperti ancaman persisten tingkat lanjut (APT)—yang mungkin terlewat oleh alat otomatis.

Ketika pencegahan dan deteksi mengungkapkan serangan, respons terkoordinasi membatasi kerusakan dan mempercepat pemulihan:

• Perencanaan respons insiden: Rencana yang terdokumentasi dan teruji memungkinkan tim untuk menahan dan memberantas ancaman keamanan siber, memulihkan operasi, dan melakukan analisis akar masalah untuk mencegah terulang kembali.

• Orkestrasi, otomatisasi, dan respons keamanan (SOAR): Mengintegrasikan berbagai alat dan mengotomatiskan tugas-tugas rutin sehingga tim keamanan dapat berfokus pada investigasi yang kompleks.

• Deteksi dan respons yang diperluas (XDR): Menghubungkan sinyal di seluruh titik akhir, jaringan, email, aplikasi, dan beban kerja cloud untuk memberikan tampilan terpadu dan remediasi yang lebih cepat.

• Peninjauan pasca-insiden: Menangkap pelajaran yang dipetik, memperbarui kontrol, dan memberikan kembali informasi intelijen baru ke dalam tindakan pencegahan dan pendeteksian.