Riset 2020: 67% Ancaman Siber Berasal dari Serangan Aplikasi Web

Web application atau aplikasi web merupakan suatu aplikasi yang diakses menggunakan penjelajah web melalui suatu jaringan seperti Internet atau intranet. Ia juga merupakan suatu aplikasi perangkat lunak komputer yang dikodekan dalam bahasa yang didukung penjelajah web seperti ASP, Perl, Java, Java Script, PHP, Python, Ruby, dan lain-lain, dan bergantung pada penjelajah tersebut untuk menampilkan aplikasi.

Aplikasi web menjadi populer karena kemudahan tersedianya aplikasi klien untuk mengaksesnya, penjelajah web, yang kadang disebut sebagai suatu thin client. Kemampuan untuk memperbarui dan memelihara aplikasi web tanpa harus mendistribusikan dan menginstalasi perangkat lunak pada kemungkinan ribuan komputer klien merupakan alasan kunci popularitasnya. Aplikasi web yang umum misalnya webmail, toko ritel, lelang online, wiki, papan diskusi, weblog.

Banyak keuntungan yang diberikan oleh Aplikasi berbasis Web daripada aplikasi berbasis desktop, sehingga aplikasi berbasis web telah diadopsi oleh perusahaan sebagai bagian dari strategi teknologi informasinya, karena beberapa alasan:

  • Akses informasi mudah,

  • Setup server lebih mudah

  • Informasi mudah didistribusikan

  • Bebas platform, informasi dapat disajikan oleh browser web pada sistem operasi mana saja karena adanya standar dokumen berbagai tipe data dapat disajikan

Status populer aplikasi web tidak hanya mengundang orang untuk memanfaatkan untuk kepentingan pribadi tapi juga organisasi. Namun selain itu, orang-orang jahat atau peretas biasanya juga menyukai segala hal yang berbau populer, karena bagi mereka kata ini adalah selaksa kumpulan uang. Karena kepopuleran aplikasi web pula mengapa ESET mengulasnya kali ini.

Seperti menurut Laporan pelanggaran data tahunan Verizon menunjukkan bahwa sebagian besar pereta berasal dari luar, uang tetap menjadi motivator utama mereka, dan aplikasi web serta penyimpanan cloud tanpa jaminan adalah target panasnya.

Peretas saat ini mengambil keuntungan lebih besar dari human error, dengan lebih banyak eksploitasi kesalahan seperti kesalahan konfigurasi dan kesalahan pengiriman, dalam Data Breach Investigation 2020 (DBIR) Verizon menemukannya bersama dengan pencurian kredensial dan serangan sosial merupakan 67% dari pelanggaran.

Para peneliti menganalisis total 32.002 insiden keamanan dalam DBIR tahun ini. Dari jumlah tersebut, 3.950 dikonfirmasi pelanggaran data. Mayoritas (72%) memengaruhi korban perusahaan besar, 28% melibatkan korban usaha kecil. Tujuh puluh persen dari pelanggaran berasal dari peretasan dari luar, 30% melibatkan aktor internal. Kelompok kriminal terorganisir terlibat dalam lebih dari setengah (55%).

Peretas akan terus mengikuti kemana uang mengalir, oleh karena itu 86% dari pelanggaran termotivasi secara finansial, dan hanya 10% dikaitkan dengan spionase. Ancaman tingkat lanjut hanya merupakan 4% dari pelanggaran secara keseluruhan.

Peretasan tetap menjadi ancaman utama 45% dari pelanggaran peretasan leverage; dari jumlah tersebut, lebih dari 80% menggunaan brute force melalui kredensial yang hilang atau dicuri. Lebih dari 20% melibatkan malware, kategori ini seperti password dumper sebagai trik yang paling umum, diikuti oleh “capture app data” di urutan kedua dan ransomware di urutan ketiga. Sebagian besar malware masih dikirimkan melalui email, dengan sebagian datang melalui layanan web. Dokumen Office dan aplikasi Windows tetap menjadi filetype malware pilihan peretas.

Serangan sosial termasuk dalam 22% pelanggaran, mencerminkan kecenderungan pelaku untuk mengeksploitasi kesalahan manusia. Dan sementara malware telah menurun dari 28% penggunaan dalam DBIR tahun lalu menjadi 17% pada tahun ini, pertumbuhan serangan yang berfokus pada manusia jelas dan meningkat dari persentase ini.

Antara social engineering dan kesalahan manusia, banyak masalah saat ini berhubungan dengan orang. Laporan tahun ini melihat 881 pelanggaran terkait dengan kesalahan internal, lebih dari dua kali lipat jumlah tahun lalu 424. Para peneliti mengatakan ini bukan karena orang dalam membuat lebih banyak kesalahan, alih-alih, mereka mengaitkan peningkatan tersebut dengan peningkatan persyaratan pelaporan dalam undang-undang baru dan perubahan dalam hukum yang ada.

Phising adalah bentuk serangan social engineerng teratas. Penipuan sosial tiba melalui email 96%, 3% tiba melalui situs web dan kurang dari 1% tiba melalui SMS. Berita baiknya adalah, tingkat klik lebih rendah dari yang sebelumnya terlihat di 3,4%, dan tingkat pelaporan perlahan-lahan meningkat.

Kesalahan konfigurasi meningkat 4,9% dari DBIR tahun lalu. Para peneliti mengatakan peningkatan tersebut dapat dikaitkan dengan penyimpanan yang terhubung ke internet yang ditemukan oleh peneliti keamanan dan pihak ketiga. Memang, peneliti keamanan telah menjadi metode penemuan paling umum untuk pelanggaran terkait kesalahan: DBIR 2020 mengatakan ini enam kali lebih mungkin daripada dalam laporan 2019. Kesalahan konfigurasi cloud adalah masalah yang lazim di berbagai industri, menurut gangguan DBIR.

Aset cloud terlibat dalam sekitar 22% pelanggaran tahun ini. Aplikasi web adalah vektor yang populer: 43% dari pelanggaran menganalisis aplikasi web yang ditargetkan, lebih dari dua kali lipat dari tahun lalu. Tren dikaitkan dengan pergeseran yang lebih luas dari data berharga ke cloud, termasuk akun email dan proses terkait bisnis. Para peneliti mengatakan 77% dari pelanggaran awan melibatkan kredensial yang dilanggar, yang menggambarkan tren penyerang menemukan rute cepat ke korban.

“Persentase tinggi dalam laporan mengenai aplikasi web sebagai vektor serangan utama menunjukkan bahwa kematangan rata-rata dalam memahami pentingnya keamanan DevOps masih memiliki banyak ruang untuk perbaikan,” kata Marco Rottigni, kepala petugas keamanan teknis, EMEA, di Qualys . Peran keamanan yang tumbuh harus mencakup penilaian berkelanjutan sebelum dan setelah tahap produksi, lanjutnya, untuk memastikan kelemahan yang menyebabkan pelanggaran terdeteksi cukup awal untuk diatasi. Verizon melaporkan kerentanan injeksi SQL dan injeksi PHP paling umum dieksploitasi.

Bagaimana melindungi bisnis dari serangan aplikasi web?

Yang harus dilakukan adalah penilaian keamanan aplikasi web secara teratur dan memperbaiki kerentanan yang ditemukan pengujian ini harus terjadi pada setiap tahap siklus pengembangan situs. Selain itu, pastikan tidak menggunakan server web versi lama, sistem operasi, sistem manajemen konten, perpustakaan, atau perangkat lunak lain.

Berikut beberapa tips dari ESET bagaimana menangkal serangan aplikasi web untuk mencegah diri menjadi korban serangan tersebut.

  • Daftar Putih: Tentukan izin untuk vendor pihak ketiga yang disetujui yang Anda pilih untuk mengizinkan mengakses data atau memblokir dari menerima jenis data spesifik apa pun

  • Mengaudit skrip baru: Tampilan seketika semua teknologi yang berjalan di situs web Anda dan penilaian risiko privasi penuh saat laman web dimuat

  • Menghentikan serangan berbasis injeksi: Pemblokiran formjacking dan skimming kartu pembayaran dengan mengaktifkan kontrol atas JavaScript pihak ketiga yang diberi izin untuk beroperasi dalam browser pengguna

  • Pelaporan: Pelaporan komprehensif lalu lintas situs dan aktivitas pengguna waktu-nyata untuk mengidentifikasi pola atau permintaan jaringan yang mencurigakan dengan menggunakan teknologi Network Traffic Analysis (NTA) atau analisis lalu lintas jaringan dalam hal ini adalah GREYCORTEX yang mampu bekerja 24/7 nonstop mengawasi, memonitor setiap aktivitas sekecil apa pun dalam jaringan, baik dari dalam keluar.