Artikel Terbaru

Ancaman Zero-Day Kian Cepat, Ini Strategi Amankan Sistem

Ilustrasi Cyber Security 13

Ilustrasi Cyber Security

Di tengah meningkatnya ancaman siber global, kemunculan kerentanan zero-day sering kali menjadi mimpi buruk bagi tim keamanan TI. Kerentanan jenis ini muncul tanpa peringatan dan kerap langsung dimanfaatkan oleh penyerang bahkan sebelum perbaikan atau patch tersedia. Namun, para ahli menilai bahwa kepanikan akibat zero-day sebenarnya bisa diminimalkan—bahkan dihindari—jika organisasi mampu mengelola permukaan serangan (attack surface) dengan baik.

Banyak organisasi saat ini tidak menyadari bahwa sistem mereka memiliki tingkat eksposur ke internet yang lebih besar dari yang diperkirakan. Hal inilah yang menjadi celah utama bagi penyerang untuk masuk. Menurut pakar keamanan dari Intruder, kendali penuh atas kapan kerentanan muncul memang tidak mungkin dilakukan, tetapi organisasi masih memiliki kendali atas seberapa besar sistem mereka terekspos saat ancaman itu datang.

 

Waktu Eksploitasi Semakin Singkat

Salah satu tantangan terbesar dalam keamanan siber modern adalah semakin cepatnya waktu antara pengungkapan kerentanan dan eksploitasi oleh penyerang. Jika sebelumnya organisasi memiliki waktu berhari-hari atau bahkan berminggu-minggu untuk merespons, kini jendela waktu tersebut menyusut drastis.

Untuk kerentanan kritis, eksploitasi dapat terjadi hanya dalam waktu 24 hingga 48 jam setelah diumumkan. Bahkan, proyeksi dari Zero Day Clock menyebutkan bahwa pada tahun 2028, waktu ini bisa menjadi hanya hitungan menit. Artinya, organisasi harus bergerak jauh lebih cepat dari sebelumnya.

Masalahnya, proses internal untuk merespons kerentanan tidaklah instan. Tim keamanan harus menjalankan pemindaian, menganalisis hasil, membuat tiket perbaikan, menentukan prioritas, hingga akhirnya menerapkan patch. Jika kerentanan diumumkan di luar jam kerja—misalnya akhir pekan—respons bisa menjadi jauh lebih lambat.

Di sinilah pentingnya pendekatan proaktif. Banyak sistem yang sebenarnya tidak perlu terhubung langsung ke internet, tetapi tetap dibiarkan terbuka. Dengan visibilitas yang lebih baik terhadap aset dan layanan yang terekspos, organisasi dapat mengurangi risiko sejak awal sebelum ancaman muncul.

 

Kasus Nyata: Zero-Day di Akhir Pekan

Salah satu contoh nyata adalah kerentanan bernama ToolShell pada platform Microsoft SharePoint. Kerentanan ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi, yang berarti penyerang dapat langsung menjalankan perintah di server target tanpa perlu login.

Karena SharePoint terintegrasi dengan sistem identitas seperti Active Directory, keberhasilan eksploitasi dapat memberikan akses ke bagian paling sensitif dari infrastruktur organisasi. Situasi menjadi lebih buruk karena kerentanan ini termasuk zero-day—sudah dimanfaatkan sebelum patch resmi dirilis.

Pengumuman resmi dilakukan pada hari Sabtu, sementara diketahui bahwa kelompok peretas yang didukung negara telah mengeksploitasinya selama dua minggu sebelumnya. Ketika sebagian besar organisasi baru menyadari ancaman tersebut, para penyerang sudah mulai melakukan pemindaian massal untuk mencari target yang rentan.

Penelitian menunjukkan bahwa ribuan instance SharePoint saat itu dapat diakses secara publik, padahal sebenarnya tidak perlu dibuka ke internet. Setiap instance yang terekspos menjadi peluang bagi penyerang, terutama jika belum mendapatkan patch.

 

Mengapa Eksposur Sering Terlewat?

Salah satu alasan utama eksposur ini tidak terdeteksi adalah cara tradisional dalam membaca hasil pemindaian keamanan. Dalam banyak laporan, temuan dibagi menjadi beberapa kategori seperti kritis, tinggi, menengah, rendah, dan informasional.

Masalahnya, kategori “informasional” sering kali diabaikan karena dianggap tidak berbahaya. Padahal, dalam kategori ini bisa terdapat kondisi berisiko tinggi, seperti:

  • Server SharePoint yang terbuka ke internet
  • Database seperti MySQL atau Postgres yang dapat diakses publik
  • Protokol internal seperti RDP dan SNMP yang terekspos keluar

Dalam konteks tertentu, temuan ini memang bisa dianggap berisiko rendah—misalnya jika hanya dapat diakses dari jaringan internal. Namun, ketika layanan tersebut terbuka ke internet, risikonya meningkat drastis, bahkan tanpa adanya kerentanan spesifik.

Sayangnya, banyak sistem pelaporan tidak membedakan konteks ini dengan baik. Akibatnya, potensi ancaman yang sebenarnya serius justru terlewatkan.

 

Strategi Mengurangi Surface Attack

Untuk mengatasi masalah ini, para ahli menyarankan pendekatan yang lebih sistematis dalam mengelola permukaan serangan. Terdapat tiga langkah utama yang dapat diterapkan:

  1. Penemuan Aset Secara Menyeluruh
    Langkah pertama adalah memahami secara menyeluruh aset apa saja yang dimiliki organisasi dan mana yang dapat diakses dari luar. Ini termasuk mendeteksi shadow IT, yaitu sistem atau layanan yang berjalan tanpa pengawasan tim keamanan.

    Organisasi disarankan untuk mengintegrasikan sistem mereka dengan penyedia cloud dan DNS agar setiap infrastruktur baru dapat langsung terdeteksi. Selain itu, teknik enumerasi subdomain juga penting untuk menemukan aset yang belum terdaftar dalam inventaris resmi.

    Tidak kalah penting, organisasi perlu memantau penggunaan penyedia cloud yang tidak resmi. Dalam banyak kasus, tim pengembang menggunakan layanan di luar kebijakan perusahaan, yang berpotensi menimbulkan celah keamanan baru.

  2. Menganggap Eksposur sebagai Risiko Nyata
    Langkah berikutnya adalah mengubah cara pandang terhadap eksposur. Layanan yang terbuka ke internet harus diperlakukan sebagai risiko, meskipun belum ditemukan kerentanan di dalamnya.

    Ini berarti organisasi perlu memiliki sistem deteksi yang mampu mengidentifikasi eksposur dan memberikan tingkat prioritas yang sesuai. Selain itu, perlu ada komitmen untuk secara rutin mengurangi eksposur, bukan hanya fokus pada patching saat terjadi krisis.

    Penjadwalan rutin, misalnya setiap kuartal, dapat membantu memastikan bahwa upaya ini tidak terabaikan. Penunjukan tanggung jawab yang jelas juga penting agar ada pihak yang benar-benar mengawasi dan menindaklanjuti temuan.

  3. Pemantauan Berkelanjutan
    Permukaan serangan bersifat dinamis dan dapat berubah kapan saja. Perubahan konfigurasi firewall, peluncuran layanan baru, atau bahkan subdomain yang terlupakan dapat membuka celah baru.

    Karena itu, pemantauan harus dilakukan secara terus-menerus. Jika pemindaian penuh terlalu berat untuk dilakukan setiap hari, pemindaian port harian bisa menjadi solusi yang lebih ringan dan cepat.

Dengan pendekatan ini, organisasi dapat segera mengetahui jika ada layanan baru yang tiba-tiba terekspos. Misalnya, jika port Remote Desktop terbuka secara tidak sengaja, tim keamanan dapat langsung mengambil tindakan pada hari yang sama.

 

Lebih Proaktif, Lebih Aman

Pada akhirnya, kunci utama dalam menghadapi ancaman zero-day adalah kesiapan. Dengan mengurangi jumlah layanan yang terekspos, organisasi dapat meminimalkan risiko terkena dampak eksploitasi massal.

Pendekatan ini tidak hanya mengurangi potensi kerugian, tetapi juga memberikan waktu lebih bagi tim keamanan untuk merespons secara terencana. Dibandingkan bereaksi dalam kondisi darurat, strategi proaktif memungkinkan organisasi menjaga stabilitas dan keamanan sistem secara lebih efektif.

Solusi seperti yang ditawarkan oleh Intruder membantu mengotomatisasi proses ini, mulai dari penemuan aset hingga pemantauan eksposur secara real-time. Dengan dukungan teknologi yang tepat, tim keamanan tidak lagi hanya bereaksi terhadap ancaman, tetapi mampu mengantisipasi dan mencegahnya sejak awal.

Di era di mana ancaman siber semakin cepat dan kompleks, mengurangi permukaan serangan bukan lagi pilihan, melainkan kebutuhan. Organisasi yang mampu mengelola eksposur dengan baik akan memiliki keunggulan dalam menghadapi gelombang serangan berikutnya—termasuk ancaman zero-day yang tidak terduga.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait