(merasa tidak aman adalah kolom mingguan yang membahas topik keamanan siber yang meningkat pesat.
Isi
- Masalah
- Itu semua mengarah kembali ke phishing
Seperti halnya keamanan rumah, orang sering kali memilih untuk tidak memikirkan keamanan siber setelah mereka membayarnya. Mereka lebih suka membayar dan berdoa.
Namun bagaimana Anda tahu kapan perangkat lunak perusahaan keamanan berfungsi? Dengan miliaran dolar yang dikucurkan untuk melindungi diri kita sendiri dan bisnis kita secara online, mengapa peretasan tampaknya semakin sering terjadi dan menimbulkan kerugian?
Kami berbicara dengan Oren J. Falkowitz, mantan pegawai tingkat senior di NSA dan Komando Siber Amerika Serikat, yang memiliki gagasan radikal tentang bagaimana perusahaan keamanan siber seharusnya menghasilkan uang.
Masalah
Kegagalan keamanan siber modern kita disebabkan oleh banyak hal. Mungkin karena kurangnya pendanaan dan peraturan pemerintah. Mungkin perusahaan teknologi besar tidak cukup peduli terhadap privasi. Mungkin ini hanya soal mengedukasi masyarakat dan menjelaskan secara sederhana apa yang dipertaruhkan.
“Perusahaan menghabiskan sekitar $93 miliar untuk keamanan siber, dan tidak akan ada habisnya…”
Falkowitz memiliki pandangan berbeda. Ia yakin masalah sebenarnya adalah keuntungan keamanan siber tidak terikat pada kinerja. “Bagi kami, ini berarti keamanan siber berbasis kinerja dan pembayaran berdasarkan hasil, bukan kegagalan,” katanya kepada Digital Trends. “Perusahaan harus membayar keamanan siber hanya jika dan jika kinerjanya sesuai dengan yang dirancang.”
Cara kerjanya tidak seperti itu saat ini. Pakar keamanan siber, perusahaan, dan perangkat lunak antivirus disajikan dan dibeli seperti paket asuransi. Anda membayar bulanan dan berharap tidak ada hal buruk yang terjadi. Jika ya, mereka akan membantu Anda mengambil bagiannya — dan mungkin mencoba meningkatkan keamanan Anda.
Keamanan Area 1, perusahaan keamanan siber milik Falkowitz, mengambil pendekatan sebaliknya. Area 1 menunjukkan fakta bahwa masyarakat “berkomitmen pada kontrak keamanan yang berjangka waktu tiga sampai lima tahun, menghabiskan enam atau tujuh digit. Namun mereka masih belum mendapatkan apa yang mereka bayarkan.” Falkowitz yakin klien harus membayar hanya untuk percobaan kejahatan yang dihentikan. Idenya mirip dengan program bug bounty, yang mendorong peretas untuk menemukan – dan kemudian mengungkapkan – kerentanan.
Itu Selalu Phishing
“Perusahaan menghabiskan sekitar $93 miliar untuk keamanan siber, tanpa akhir yang terlihat, dan yang lebih buruk lagi, tingkat keparahan atau frekuensi serangan siber tidak ada habisnya,” kata Falkowitz. “Keamanan siber yang berbasis kinerja dan akuntabel akan memastikan bahwa hasil adalah hal yang mendorong inovasi masa depan dan hasil yang sukses dalam model bisnis.”
Anda mungkin bertanya-tanya bagaimana sebuah perusahaan dapat bertahan dalam bisnisnya jika perusahaan tersebut terus-menerus harus membuktikan kepada pelanggan bahwa serangan dapat dihentikan. Keamanan Area 1 membuatnya berhasil dengan memfokuskan upayanya pada aspek keamanan siber tertentu – phishing.
Itu semua mengarah kembali ke phishing
“Phishing adalah serangan yang memulai serangan, ini adalah akar penyebab 95 persen dari seluruh kerusakan,” kata Falkowitz. “Kunci keamanan siber berbasis kinerja adalah menghentikan phishing.”
“Phishing adalah serangan rekayasa sosial yang mengandalkan keaslian untuk menghindari deteksi.”
Phishing telah menjadi kutukan bagi keberadaan internet. Mulai dari malware hingga data yang dicuri, phishing sering kali menjadi titik masuk serangan siber terburuk yang pernah kita lihat. Biasanya berbentuk email palsu, dikirimkan kepada korban yang tidak menaruh curiga dengan menyamar sebagai perusahaan atau organisasi resmi.
Email tersebut kemudian akan meminta pembaca untuk mengeklik tautan — dan begitu mereka melakukannya, jebakan penyerang akan terpicu. Meskipun sederhana, peretas telah menggunakan phishing untuk segala hal mulai dari Kegagalan email kampanye Clinton hingga yang menghancurkan Serangan ransomware WannaCry 2017.
“Phishing adalah serangan rekayasa sosial yang mengandalkan keaslian untuk menghindari deteksi,” jelas Falkowitz. “Ini dirancang untuk tidak ditangkap oleh siapa pun! Itu sebabnya ini bekerja dengan sangat baik. Selain efektif, harganya juga sangat murah. Itulah salah satu alasan mengapa menjadi orang jahat di internet itu baik secara ekonomi. Jika Anda seorang penyerang dan Anda memiliki sesuatu yang berhasil, yang sebagian besar perusahaan tidak dapat bertahan melawannya, mengapa tidak terus menggunakannya?”
Sistem Keamanan Area 1 mengklaim dapat menghentikan 99,99 persen dari semua serangan phishing, sehingga mereka dapat menyimpan catatan serangan yang mereka cegah. Filosofinya bukan untuk memburu para penjahat di internet, namun untuk menghentikan orang-orang yang sudah mengetuk pintu kita.
“Sampai kita tidak lagi menggunakan phishing sebagai senjata bagi penyerang, kita akan terus melakukan hal yang semakin berbahaya dan mahal ini.”
Mungkin inilah saatnya kita mulai meminta lebih banyak kepada perusahaan yang mengaku melindungi kita. Lagi pula, melucuti senjata orang jahat sepertinya merupakan rencana yang jauh lebih baik daripada menunggu mereka menyerang.
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
