Keamanan siber sepenuhnya berkaitan dengan titik terlemah, dan dalam rantai pasokan hal ini bisa terjadi di mana saja. Pertanyaan besarnya mungkin, “apa dan dimana titik terlemah tersebut?” dan “apakah itu sesuatu yang dapat dikendalikan dan dapat benar-benar atasi”?
Rantai pasokan terdiri dari segala sesuatu antara bahan mentah dan produk akhir, yang mencakup pemasok bahan mentah, proses pembuatan, distribusi, dan akhirnya konsumen.
Jika kita bicara sebotol air mineral, kontaminasi berbahaya apa pun yang masuk melalui jalurnya ke konsumen hal tersebut dapat membahayakan seluruh rantai pasokan.
Kontaminasi Solar Wind
Keamanan siber tidak berbeda, chipset yang terkontaminasi yang ditempatkan ke perangkat seperti router berpotensi mencemari produk akhir, menciptakan masalah bagi konsumen.
Dalam perangkat lunak, juga bisa mendapatkan “skenario komponen yang terkontaminasi”, yang ditemukan vendor keamanan FireEye ketika mereka diretas baru-baru ini.
Ketika perusahaan menemukan bahwa mereka adalah korban serangan dunia maya, penyelidikan yang lebih dalam menemukan bahwa pelaku telah menyelipkan update yang mengandung malware ke dalam produk manajemen jaringan yang disebut Orion, dibuat oleh salah satu penyedia perangkat lunak perusahaan, SolarWinds.
Backdoor yang FireEye beri nama SUNBURST dan yang dideteksi oleh ESET sebagai MSIL/SunBurst.A, ditanamkan ke Orion sebelum kode diberikan ke FireEye, sehingga menciptakan produk akhir yang terkontaminasi untuk konsumen.
Dalam kasus ini “konsumen” atau yang artinya adalah sekitar 18.000 organisasi komersial dan pemerintah menginstal pembaruan terkontaminasi melalui mekanisme pembaruan Orion, sehingga menjadi korban utama dari serangan tersebut.
Setidaknya 100 dari mereka ditargetkan untuk peretasan lanjutan, dengan pelaku kejahatan memasukkan muatan tambahan dan menggali lebih dalam ke jaringan perusahaan.
Dan di sinilah sebenarnya terdapat potensi kerusakan yang luas dari serangan rantai pasokan, dengan melanggar hanya satu vendor, pelaku kejahatan pada akhirnya dapat memperoleh akses yang luas dan sulit dideteksi ke petak besar basis pelanggannya.
Masalah rantai pasokan
Rantai pasokan mengikat kehidupan elektronik kita. Mereka berisi robot yang merakit dan memprogram miliaran perangkat yang sekarang kita andalkan. Ya, tergantung itu, termasuk perangkat medis yang bisa jadi menentukan hidup dan mati seseorang.
Sulit rasanya untuk yakin bahwa setiap tautan dalam rantai pasokan mana pun bebas gangguan. Dari chip palsu yang ditempatkan secara in-line untuk mengintip lalu lintas jaringan hingga kode SoC yang rusak.
Menanamkan backdoor yang dapat diakses internet untuk penggunaan di masa mendatang merupakan prioritas utama bagi para peretas, dan mereka bersedia berusaha keras untuk melakukannya, dan di balik itu banyak pemain bermain di belakangnya seperti peretas yang disponsori oleh negara-negara tertentu.
Mengatasi risiko
Kelayakan bagi perusahaan mana pun untuk memiliki kendali penuh atas rantai pasokannya dan untuk menjamin bahwa tidak ada komponen mentah yang dimasukkan ke dalam produk atau layanannya sendiri yang belum terkontaminasi atau dieksploitasi dalam perjalanan ke konsumen akhirnya mungkin mendekati nol.
Meminimalkan risiko serangan rantai pasokan melibatkan lingkaran risiko dan manajemen kepatuhan yang tidak pernah berakhir, dalam peretasan SolarWinds, pemeriksaan mendalam pasca serangan terhadap produk vendor pihak ketiga mengidentifikasi eksploitasi yang terkubur jauh di dalam kode.
Berikut adalah 10 rekomendasi tingkat tinggi untuk mengurangi risiko yang berasal dari rantai pasokan perangkat lunak yang rentan:
-
- Tahu perangkat lunak Anda, simpan inventaris semua tool open source dan eksklusif yang digunakan oleh perusahaan Anda.
-
- Awasi kerentanan yang diketahui dan terapkan patch, memang, serangan yang melibatkan pembaruan yang terkontaminasi seharusnya tidak menghalangi siapa pun untuk memperbarui perangkat lunak mereka
-
- Tetap waspada terhadap pelanggaran yang memengaruhi vendor perangkat lunak pihak ketiga
-
- Singkirkan sistem, layanan, dan protokol yang berlebihan atau usang
-
- Nilai risiko pemasok Anda dengan mengembangkan pemahaman tentang proses keamanan mereka sendiri
-
- Tetapkan persyaratan keamanan untuk pemasok perangkat lunak Anda
-
- Minta audit kode reguler dan tanyakan tentang pemeriksaan keamanan dan prosedur kontrol perubahan untuk komponen kode
-
- Tanyakan tentang uji penetrasi untuk mengidentifikasi potensi bahaya
-
- Minta kontrol akses dan otentikasi dua faktor (2FA) untuk melindungi proses pengembangan perangkat lunak dan membangun jalur
-
- Jalankan perangkat lunak keamanan dengan perlindungan berlapis
Perusahaan perlu memiliki visibilitas ke semua pemasoknya dan komponen yang mereka berikan, yang mencakup kebijakan dan prosedur yang diterapkan perusahaan.
Tidaklah cukup memiliki kontrak hukum yang bisa digunakan untuk menyalahkan atau membuat pemasok bertanggung jawab ketika reputasi perusahaan sendiri dipertaruhkan. Pada akhirnya, tanggung jawab terletak pada perusahaan tempat konsumen membeli produk atau layanan.
