Tahun Depan Serangan Berbasis Identitas Melonjak

Tahun Depan Serangan Berbasis Identitas Melonjak – Prediksi keamanan siber tahunan menunjukkan bahwa tahun mendatang akan menjadi tahun di mana pertahanan lama gagal secara diam-diam, dan vektor serangan baru akan melonjak drastis.

Pelanggaran besar berikutnya tidak akan lagi disebabkan oleh kata sandi yang di-phising. Sebaliknya, ia akan menjadi hasil dari utang identitas (identity debt) masif yang tidak terkelola.

Utang ini mengambil banyak bentuk, mulai dari identitas “hantu” sisa dari pelanggaran lama yang bersembunyi di sistem IAM Anda, hingga penyebaran hak istimewa (privilege sprawl) dari ribuan agen AI baru yang memperluas permukaan serangan, hingga peracunan akun otomatis yang mengeksploitasi verifikasi identitas yang lemah dalam sistem keuangan.

Semua vektor ini, fisik, digital, baru, dan lama berkonvergensi pada satu titik kegagalan tunggal. Identitas.

Berdasarkan analisis para ahli keamanan siber, berikut adalah tiga ancaman berbasis identitas kritis yang akan mendefinisikan tahun mendatang.

1. Vektor Serangan Pamungkas

Pada tahun 2026, AI agen (Agentic AI) akan terhubung ke hampir setiap teknologi yang kita operasikan, secara efektif menjadi middleware baru bagi sebagian besar organisasi.

Masalahnya, integrasi ini didorong oleh dorongan “kecepatan ke pasar” yang mengesampingkan keamanan siber.

Ketergesaan ini menciptakan permukaan serangan baru yang masif dan dibangun di atas kerentanan klasik, masalah wakil yang bingung (confused deputy problem).

Memahami Wakil yang Bingung (Confused Deputy)

• Wakil (Deputy) adalah setiap program dengan hak istimewa yang sah.
• Masalah Wakil yang Bingung terjadi ketika entitas dengan hak istimewa rendah, seperti pengguna atau aplikasi lain mengelabui wakil tersebut agar menyalahgunakan kekuatannya untuk mendapatkan hak istimewa tinggi. Wakil tersebut, yang tidak memiliki konteks untuk melihat niat jahat, menjalankan perintah atau membagikan hasil di luar desain awalnya.

Penerapan pada AI

Alat AI agen mungkin diberikan akses least privilege (hak istimewa paling minim) untuk membaca email pengguna, mengakses pipeline CI/CD, atau membuat kueri ke basis data produksi.

Jika AI tersebut, yang bertindak sebagai wakil terpercaya, “dibingungkan” oleh prompt yang dibuat dengan cerdik dari sumber lain, ia dapat dimanipulasi untuk:

• Mengekstrak data sensitif.
• Menyebarkan kode berbahaya.
• Meningkatkan hak istimewa atas nama pengguna yang sah.

AI sedang mengeksekusi tugas yang diizinkan, tetapi atas nama penyerang yang tidak memiliki izin, dan dapat meningkatkan hak istimewa berdasarkan vektor serangan.

Saran Pertahanan: Perlakukan agen AI sebagai identitas mesin yang berpotensi memiliki hak istimewa. Tim keamanan harus menerapkan prinsip least privilege yang ketat, memastikan alat AI hanya memiliki izin minimum yang mutlak diperlukan.

Terapkan kontrol akses yang sadar konteks, penyaringan perintah, dan audit real-time untuk mencegah agen tepercaya ini menjadi pelaku jahat melalui perwakilan (proxy).

2. Evolusi Penipuan Keuangan Berikutnya

Tahun mendatang, perkirakan akan terjadi peningkatan signifikan dalam “peracunan akun (account poisoning)”, di mana pelaku ancaman menemukan cara baru untuk menyisipkan biller dan penerima pembayaran palsu ke dalam akun keuangan konsumen dan bisnis dalam skala besar.

“Racun” ini didorong oleh otomatisasi yang memungkinkan pembuatan penerima dan biller, permintaan dana, dan penautan ke sumber pemrosesan pembayaran online lainnya. Vektor serangan ini sangat berbahaya karena:

• Mengeksploitasi kelemahan dalam sistem keuangan online.
• Memanfaatkan manajemen rahasia yang buruk untuk menyerang secara massal.
• Menggunakan otomatisasi untuk mengaburkan transaksi.

Saran Pertahanan: Tim keamanan harus melampaui pelaporan pengambilalihan akun individu dan fokus pada perubahan otomatis berkecepatan tinggi pada informasi penerima dan biller.

Kuncinya adalah menerapkan uji tuntas dan pemeriksaan keyakinan identitas yang lebih ketat untuk setiap proses otomatis yang meminta untuk memodifikasi bidang keuangan ini.

3. Kompromi Identitas Historis Kembali Menghantui

Banyak organisasi akhirnya memodernisasi program Identity and Access Management (IAM) mereka, mengadopsi alat baru (seperti analitik berbasis grafik) untuk memetakan lanskap identitas yang kompleks.

Pada tahun 2026, upaya ini akan mengungkap “kerangka di lemari”: identitas “hantu” dari solusi dan pelanggaran di masa lalu yang tidak pernah terdeteksi.

“Pelanggaran yang terlewat (backdated breaches)” ini akan mengungkapkan akun nakal—beberapa berusia bertahun-tahun yang tetap aktif digunakan.

Karena kompromi ini lebih tua dari sebagian besar log keamanan, tim mungkin tidak mungkin menentukan sejauh mana pelanggaran aslinya.

Saran Pertahanan: Prediksi ini menggarisbawahi kegagalan proses dasar joiner-mover-leaver (JML) yang sudah berlangsung lama.

Prioritas utamanya adalah tata kelola identitas dan menggunakan alat pemetaan identitas modern untuk menemukan dan menghilangkan akun dormant berisiko tinggi ini sebelum ditemukan kembali oleh penyerang.