Phishing telah lama menjadi salah satu cara terbaik untuk mendapatkan akses ke organisasi target. Dulu tidak seperti ini. Pada hari-hari awal keamanan komputer, eksploitasi kode jarak jauh (RCE) adalah metode yang disukai untuk mendapatkan akses, karena tidak memerlukan interaksi pengguna. Faktanya, jika sesuatu memerlukan interaksi pengguna, itu tidak dianggap sebagai ancaman serius. Praktik keamanan yang lebih baik mulai berlaku, dan metode akses RCE menjadi jauh lebih menantang. Dan ternyata, membuat pengguna berinteraksi lebih mudah dari yang pernah dibayangkan.
Siklus yang sama mulai berulang dengan target lokal. Organisasi telah mulai membuat kemajuan dalam mengamankan jaringan internal mereka terhadap penggunaan endpoint detection and response (EDR), dan teknologi lainnya lebih siap untuk mendeteksi malware dan gerakan lateral. Sementara serangan menjadi lebih sulit, itu sama sekali bukan strategi yang tidak efektif untuk penyerang. Menyebarkan ransomware dan bentuk malware lainnya masih merupakan hasil yang umum.
Mengapa Infrastruktur Cloud Anda Menjadi Target Teratas untuk Serangan Phishing
Cloud telah memberi phisher perbatasan baru untuk diserang, dan ternyata itu bisa sangat berbahaya. Lingkungan SaaS adalah target matang untuk serangan phishing dan dapat memberi penyerang lebih dari sekadar akses ke beberapa email. Alat keamanan masih matang di lingkungan ini, yang menawarkan jendela peluang kepada penyerang di mana metode seperti serangan phishing bisa sangat efektif.
Serangan Phishing Menargetkan Pengembang dan Rantai Pasokan Perangkat Lunak
Seperti yang kita lihat baru-baru ini, Dropbox mengalami insiden karena serangan phishing terhadap pengembangnya. Mereka tertipu memberikan kredensial Github mereka ke penyerang melalui email phishing dan situs web palsu otentikasi multifaktor (MFA). Apa yang membuat ini menakutkan adalah bahwa ini bukan hanya pengguna acak dari penjualan atau fungsi bisnis lainnya, ini adalah pengembang dengan akses ke banyak data Dropbox. Untungnya, cakupan insiden tersebut tampaknya tidak memengaruhi data Dropbox yang paling penting.
GitHub, dan platform lain dalam ruang continuous integration/continuous deployment (CI/CD), adalah “permata mahkota” baru bagi banyak perusahaan. Dengan akses yang tepat, penyerang dapat mencuri kekayaan intelektual, membocorkan kode sumber dan data lain, atau perilaku serangan rantai pasokan. Bahkan lebih jauh lagi, karena GitHub sering berintegrasi dengan platform lain, yang mungkin dapat diputar oleh penyerang. Semua ini dapat terjadi tanpa pernah menyentuh jaringan lokal korban, atau banyak alat keamanan lain yang telah diperoleh organisasi, karena semuanya adalah perangkat lunak sebagai layanan (SaaS)-ke-SaaS.
Keamanan dalam skenario ini bisa menjadi tantangan. Setiap penyedia SaaS melakukannya secara berbeda. Visibilitas pelanggan terhadap apa yang terjadi di platform ini seringkali terbatas. GitHub, misalnya, hanya memberikan akses ke Audit Log API di bawah paket Perusahaannya. Mendapatkan visibilitas hanyalah rintangan pertama yang harus diatasi, selanjutnya adalah membuat konten deteksi yang bermanfaat di sekitarnya. Penyedia SaaS bisa sangat berbeda dalam apa yang mereka lakukan dan data yang mereka sediakan. Pemahaman kontekstual tentang cara kerjanya akan diperlukan untuk membuat dan memelihara pendeteksian. Organisasi Anda mungkin memiliki banyak platform SaaS yang digunakan.
Bagaimana Anda Mengurangi Risiko Terkait Phishing di Cloud?
Platform identitas, seperti Okta, dapat membantu mengurangi risiko, tapi tidak sepenuhnya. Mengidentifikasi login yang tidak sah tentunya merupakan salah satu cara terbaik untuk menemukan serangan phishing dan meresponsnya. Ini lebih mudah diucapkan daripada dilakukan, karena penyerang telah mengetahui cara umum untuk mendeteksi keberadaan mereka. Server proxy atau VPN mudah digunakan untuk setidaknya tampak berasal dari area umum yang sama dengan pengguna untuk mengalahkan negara atau deteksi perjalanan yang tidak mungkin. Model pembelajaran mesin yang lebih canggih dapat diterapkan, tetapi ini belum diadopsi atau dibuktikan secara luas.
Deteksi ancaman tradisional juga mulai beradaptasi dengan dunia SaaS. Falco, alat pendeteksi ancaman populer untuk kontainer dan cloud, memiliki sistem plug-in yang dapat mendukung hampir semua platform. Tim Falco telah merilis antara lain plug-in dan aturan untuk Okta dan GitHub. Sebagai contoh, plugin GitHub memiliki aturan yang memicu jika ada komit yang menunjukkan tanda-tanda penambang crypto. Memanfaatkan deteksi yang dibuat khusus ini adalah cara yang baik untuk memulai membawa platform ini ke dalam program deteksi ancaman Anda secara keseluruhan.
Phishing Akan Tetap Ada
Phishing, dan rekayasa sosial pada umumnya, tidak akan pernah ketinggalan. Ini telah menjadi metode serangan yang efektif selama bertahun-tahun, dan akan selama orang berkomunikasi. Penting untuk dipahami bahwa serangan ini tidak terbatas pada infrastruktur yang Anda miliki atau kelola secara langsung. SaaS sangat berisiko karena kurangnya visibilitas yang dimiliki sebagian besar organisasi terhadap apa yang sebenarnya terjadi pada platform tersebut. Keamanan mereka tidak dapat dihapuskan sebagai masalah orang lain, karena hanya email sederhana dan situs web palsu yang diperlukan untuk mendapatkan akses ke sumber daya tersebut.
