Inilah Daftar 5 Tempat yang Sering Dimanfaatkan Peretas Untuk Mencuri Data Anda Pada 2019 ( Part 2 )

Inilah Daftar 5 Tempat yang Sering Dimanfaatkan Peretas Untuk Mencuri Data Anda Pada 2019 ( Part 2 )

3. Situs Web yang Ditinggalkan dan Tidak Dilindungi

Menurut penelitian 2019 oleh perusahaan keamanan web ImmuniWeb, 97 dari 100 bank terbesar di dunia memiliki situs web dan aplikasi web yang rentan. Berbagai spektrum masalah disebabkan oleh penggunaan Perangkat Lunak Open Source yang tidak terkontrol, kerangka kerja yang ketinggalan zaman, dan perpustakaan JS, beberapa di antaranya telah mengandung kerentanan yang dapat dieksploitasi yang diketahui publik sejak 2011.

Laporan yang sama mengungkapkan bahwa 25% aplikasi e-banking bahkan tidak dilindungi dengan Web Application Firewall (WAF). Akhirnya, 85% aplikasi gagal tes kepatuhan GDPR, 49% tidak lulus tes PCI DSS.

Terlepas dari munculnya solusi Attack Surface Management (ASM), sebagian besar bisnis secara bertahap berjuang dengan meningkatnya kompleksitas dan kerumitan fluktuasi permukaan serangan eksternal mereka. Aplikasi web mendominasi daftar pengembang yang ditinggalkan atau kelebihan beban.

Demo dan rilis uji cepat berkembang biak di seluruh organisasi, secara sporadis terhubung ke basis data produksi dengan data sensitif. Rilis berikutnya dengan cepat ditayangkan, sementara yang sebelumnya tetap di alam liar selama berbulan-bulan. Memahami tim keamanan secara rutin tidak punya waktu untuk melacak aplikasi jahat seperti itu, mengandalkan kebijakan keamanan yang setengah dari insinyur perangkat lunak tidak pernah baca.

Bahkan aplikasi web yang dikerahkan dengan benar dapat menjadi bom waktu jika dibiarkan tanpa pengawasan. Baik Open Source dan perangkat lunak berpemilik membuat gebrakan di Bugtraq dengan frekuensi luar biasa membawa kelemahan keamanan baru dan mudah dieksploitasi. Dengan beberapa pengecualian, vendor lamban untuk merilis patch keamanan dibandingkan dengan kecepatan kampanye peretasan massal. Kebanyakan CMS yang populer, seperti WordPress atau Drupal, relatif aman dalam instalasi default mereka, tetapi segudang plugin, tema, dan ekstensi pihak ketiga menghilangkan keamanan mereka.

Cara mengurangi: Mulai dengan tes keamanan situs web gratis untuk semua situs web eksternal Anda dan lanjutkan dengan pengujian penetrasi web mendalam untuk aplikasi web dan API yang paling penting.

4. Backends Aplikasi Mobile

Bisnis modern sekarang dengan murah hati berinvestasi dalam keamanan aplikasi mobile, meningkatkan standar pengkodean aman yang dibangun ke dalam DevSecOps, pengujian SAST / DAST / IAST, dan perlindungan RASP ditingkatkan dengan solusi Korelasi Kerentanan. Sayangnya, sebagian besar solusi ini hanya menangani ujung gunung es yang terlihat, meninggalkan backend aplikasi seluler yang belum teruji dan tidak terlindungi. Sementara sebagian besar API yang digunakan oleh aplikasi seluler mengirim atau menerima data sensitif, termasuk informasi rahasia, privasi dan keamanannya dilupakan atau diprioritaskan secara luas, yang mengarah pada konsekuensi yang tidak dapat diampuni.

Demikian juga, organisasi besar umumnya lupa bahwa versi sebelumnya dari aplikasi seluler mereka dapat dengan mudah diunduh dari Internet dan direkayasa ulang. Aplikasi warisan seperti itu adalah Klondike sejati bagi peretas yang mencari API yang ditinggalkan dan rentan, umumnya masih mampu menyediakan akses ke perhiasan mahkota organisasi dengan cara yang tidak terkendali.

Akhirnya, banyak serangan menjadi mungkin, mulai dari kekerasan yang primitif namun sangat efisien hingga bypass otentikasi dan otorisasi canggih yang digunakan untuk pengikisan dan pencurian data. Biasanya, serangan paling berbahaya, termasuk injeksi SQL dan RCE, berada di sisi mobile backend. Tanpa perlindungan bahkan oleh WAF, mereka adalah buah yang mudah digantung untuk penyerang pragmatis.

Cara mengurangi: Membangun inventaris API holistik, menerapkan kebijakan pengujian perangkat lunak, menjalankan tes keamanan aplikasi seluler gratis di semua aplikasi seluler dan backend Anda, melakukan pengujian penetrasi seluler untuk yang kritis.

5. Repositori Kode Publik

Praktik CI / CD lincah adalah enabler bisnis yang hebat; Namun, jika tidak diimplementasikan dengan benar, mereka dengan cepat berubah menjadi bencana. Dalam konteks ini, repositori kode publik seringkali merupakan mata rantai terlemah yang merusak upaya cybersecurity organisasi.Sebuah contoh baru-baru ini datang dari raksasa perbankan Scotiabank yang dilaporkan menyimpan data yang sangat sensitif dalam repositori GitHub yang terbuka dan dapat diakses publik, memperlihatkan kode sumber internal, kredensial login, dan kunci akses rahasia.

Pengembang perangkat lunak pihak ketiga sangat memperburuk situasi dalam upaya untuk memberikan penawaran paling kompetitif kepada pelanggan yang tidak sadar dan agak naif. Perangkat lunak murah jelas bukan tanpa kelemahan substansial, dan keamanan yang buruk memuncak mereka.

Sementara beberapa organisasi mengelola untuk tetap mengontrol kualitas dan keamanan kode perangkat lunak dengan melakukan pemindaian otomatis dan tinjauan kode manual, hampir tidak ada yang mampu memantau bagaimana kode sumber disimpan dan dilindungi ketika perangkat lunak sedang dikembangkan dan terutama setelahnya.

Kesalahan manusia secara mengejutkan mendominasi ruang. Bahkan organisasi yang patut dicontoh dengan kebijakan keamanan yang matang dan profesional teruji canggung karena faktor manusia. Tenggat waktu yang sulit ditentukan oleh realitas ekonomi menyebabkan pemrogram yang terlalu terbebani dan kelelahan yang dengan polosnya lupa untuk menetapkan atribut yang tepat pada repositori yang baru dibuat membiarkan masalah masuk.

Cara memitigasi: Menerapkan kebijakan yang menangani penyimpanan kode dan manajemen akses, menegakkannya secara internal dan untuk pihak ketiga, secara terus menerus menjalankan pemantauan repositori kode publik untuk kebocoran.
Share this Post:
Baca Juga:

0 Comments

Leave a Comment

(optional)
(optional)