Penyerang Ada di Jaringan Selama 2 Tahun, Kata News Corp

Penyerang yang disponsori negara di balik pelanggaran yang diungkapkan News Corp tahun lalu sebenarnya telah berada di jaringannya selama hampir dua tahun pada saat itu, raksasa penerbitan itu telah mengungkapkan.

Dalam sebuah surat kepada karyawan minggu lalu, News Corp mengatakan penyelidikan atas insiden tersebut menunjukkan penyusup pertama kali masuk ke jaringannya pada Februari 2020, dan tetap di sana hingga ditemukan pada 20 Januari 2022. Selama periode itu, musuh memiliki akses ke apa yang digambarkan News Corp sebagai dokumen bisnis dan email yang berkaitan dengan "jumlah karyawan yang terbatas". Data yang dapat diakses penyerang pada saat itu termasuk nama, tanggal lahir, nomor Jaminan Sosial, nomor SIM, dan nomor asuransi kesehatan, kata News Corp.

Misi Pengumpulan Intelijen

"Investigasi kami menunjukkan bahwa aktivitas ini tampaknya tidak berfokus pada eksploitasi informasi pribadi," tulis surat itu. menurut laporan. “Kami tidak mengetahui laporan pencurian identitas atau penipuan sehubungan dengan masalah ini.”

Ketika News Corp - penerbit Wall Street Journal, New York Post, dan beberapa publikasi lainnya - pertama kali mengungkapkan pelanggaran tersebut Januari lalu, perusahaan menggambarkannya sebagai upaya pengumpulan-intelijen yang melibatkan ancaman persisten tingkat lanjut (APT) yang disponsori negara. Dalam laporan 4 Februari 2022, Wall Street Journal mengidentifikasi kemungkinan besar aktor tersebut bekerja atas nama pemerintah Cina dan berfokus pada mengumpulkan email dari jurnalis yang ditargetkan dan lainnya.

Tidak jelas mengapa News Corp membutuhkan lebih dari setahun setelah penemuan pelanggaran awal untuk mengungkapkan ruang lingkup intrusi dan fakta bahwa penyerang telah berada di jaringannya selama hampir 24 bulan. Seorang juru bicara News Corp tidak secara langsung membahas hal itu sebagai tanggapan atas permintaan Dark Reading untuk memberikan komentar. Namun, dia menegaskan kembali pengungkapan perusahaan sebelumnya tentang serangan itu sebagai bagian dari upaya pengumpulan intelijen: "Juga seperti yang dikatakan, dan dilaporkan, aktivitas itu ditahan, dan menargetkan sejumlah karyawan."

Waktu Tinggal yang Luar Biasa Lama

Lamanya waktu pelanggaran di News Corp tetap tidak terdeteksi adalah tinggi bahkan menurut standar saat ini. Laporan biaya tahunan pelanggaran data IBM dan Institut Ponemon edisi 2022 menunjukkan bahwa organisasi di rata-rata membutuhkan waktu 207 hari untuk mendeteksi pelanggaran, dan 70 hari lagi untuk menampungnya. Itu sedikit lebih rendah dari rata-rata 212 hari yang dibutuhkan pada tahun 2021 untuk sebuah organisasi mendeteksi pelanggaran dan 75 hari yang dibutuhkan bagi mereka untuk mengatasinya.

“Dua tahun untuk mendeteksi pelanggaran jauh di atas rata-rata,” kata Julia O'Toole, CEO MyCena Security Solutions. Mengingat bahwa penyerang memiliki akses ke jaringan untuk waktu yang lama, kemungkinan besar mereka lolos dengan lebih banyak informasi daripada yang pertama kali dirasakan, kata O'Toole.

Meskipun itu cukup buruk, yang lebih buruk lagi adalah kurang dari sepertiga pelanggaran yang terjadi benar-benar terdeteksi. “Itu berarti lebih banyak perusahaan dapat berada dalam situasi yang sama dan tidak mengetahuinya,” catat O'Toole. 

Satu masalah adalah bahwa alat pendeteksi ancaman, dan analis keamanan yang memantau alat tersebut, tidak dapat mendeteksi pelaku ancaman di jaringan jika musuh menggunakan kredensial masuk yang disusupi, O'Toole menjelaskan: “Terlepas dari semua investasi dalam alat [deteksi ancaman], lebih dari 82 % pelanggaran masih melibatkan kredensial akses karyawan yang disusupi.”

Kurangnya Visibilitas

Erfan Shadabi, pakar keamanan siber di Comforte AG, mengatakan bahwa organisasi sering melewatkan gangguan siber karena kurangnya visibilitas atas aset mereka dan kebersihan keamanan yang buruk. Taktik yang semakin canggih yang digunakan aktor ancaman canggih untuk menghindari deteksi — seperti menyembunyikan aktivitas mereka di lalu lintas yang sah — dapat membuat deteksi menjadi tantangan besar juga, katanya.

Salah satu langkah yang dapat diambil organisasi untuk meningkatkan kemampuan deteksi dan respons mereka adalah menerapkan model keamanan tanpa kepercayaan. “Ini membutuhkan verifikasi terus-menerus atas identitas dan otorisasi pengguna, serta pemantauan berkelanjutan atas aktivitas pengguna untuk memastikan keamanan,” kata Shadabi kepada Dark Reading.

Organisasi juga harus menggunakan alat seperti sistem deteksi intrusi (IDS) dan sistem informasi keamanan dan manajemen peristiwa (SIEM) untuk memantau jaringan dan sistem mereka untuk aktivitas yang tidak biasa. Langkah-langkah kontrol akses yang kuat termasuk autentikasi multifaktor (MFA), manajemen dan audit kerentanan, perencanaan respons insiden, manajemen risiko pihak ketiga, dan pelatihan kesadaran keamanan adalah hal-hal lain langkah penting yang dapat diambil oleh organisasi untuk mengurangi waktu tinggal penyerang, katanya.

“Secara umum, organisasi, terutama yang besar, kesulitan mendeteksi serangan karena kekayaan teknologi mereka yang luas,” kata Javvad Malik, advokat kesadaran utama di KnowBe4. “Banyak organisasi bahkan tidak memiliki inventaris aset perangkat keras dan perangkat lunak terkini, jadi sangat sulit untuk memantau semua pelanggaran dan serangan tersebut,” katanya. “Dalam banyak kasus, ini bermuara pada kompleksitas lingkungan.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/analytics/attackers-were-on-network-2-years-news-corp