Audit social engineering: Seperti apa best practicenya?
Tahukah Anda, apa yang sering menjadi titik terlemah dalam keamanan siber? Bukan sistem Anda, tetapi manusia. Bayangkan jika Anda sudah menerapkan berbagai metode keamanan seperti enkripsi, firewall, dan MFA, tapi satu email dari orang asing yang pura-pura menjadi bos membuat data organisasi bocor.
Itulah mengapa, audit social engineering menjadi sangat penting. Audit ini pada dasarnya menguji seberapa mudah seseorang bisa dimanipulasi untuk membuka celah keamanan. Audit ini tidak hanya mengecek hal-hal teknis, tetapi juga manusia.
Bagaimana proses lengkapnya? Simak dalam blog ini.
Apa itu audit social engineering?
Social engineering adalah teknik manipulasi psikologis yang digunakan oleh pelaku kejahatan siber untuk menipu orang agar membocorkan informasi sensitif atau melakukan tindakan tertentu yang membahayakan keamanan sistem. Biasanya, pelaku social engineering akan berpura-pura menjadi orang yang lebih berpengaruh atau lebih tinggi secara jabatan—seperti bos—agar korban terkena tipuan. Metode yang dijalankan social engineering beragam, mulai dari email, telepon, bahkan USB.
Audit social engineering adalah proses evaluasi yang dilakukan untuk menguji seberapa rentan suatu organisasi terhadap social engineering. Tujuannya adalah untuk mengukur kesadaran keamanan karyawan, menilai efektivitas kebijakan dan prosedur keamanan yang ada, serta memberikan rekomendasi perbaikan untuk mengurangi risiko social engineering itu sendiri.
Apa saja yang perlu diaudit?
Social engineering audit tidak hanya menguji tool dan sistem, tetapi juga manusia. Berikut penjelasan lengkapnya.
1. People
Pada aspek ini, Anda perlu mengaudit SDM di organisasi. Tujuannya adalah mengetahui seberapa sadar mereka terhadap ancaman social engineering. Hal ini penting karena penyerang biasanya mengargetkan orang tertentu di organisasi yang memiliki akses penting, tetapi kesadarannya rendah.
Biasanya, audit akan menanyakan tentang pelatihan awareness social engineering. Apakah SDM di organisasi sudah dilatih untuk mengenali penipuan? Apakah mereka tahu apa yang harus dilakukan jika mendapat penipuan? Lantas, apakah pelatihan yang diberikan sudah sesuai dengan peran tiap SDM?
2. Process
Process merupakan aspek yang mencakup aturan dan prosedur yang perlu dijalankan ketika ada ancaman. Aspek ini penting agar setiap SDM di organisasi bisa mengikuti prosedur yang jelas ketika terjadi social engineering.
Aturan yang dimaksud misalnya: jika ada email mencurigakan, ke mana harus dilaporkan? Jika ada manajer yang minta reset password lewat telepon, bagaimana cara verifikasinya? Jika menemukan ID card karyawan di kantor, kepada siapa harus diserahkan?
3. Technical
Technical berarti segala tool atau sistem yang digunakan untuk melindungi organisasi. Audit teknis sangat penting, sebab meskipun manusia sudah dilatih dan prosedur sudah bagus, pertahanan teknis tetap diperlukan untuk berjaga-jaga.
Pada aspek ini, Anda perlu mengaudit perlindungan yang diterapkan apakah sudah aktif atau belum, apakah sistem bisa mendeteksi dan memblokir email mencurigakan, serta bagaimana pengaturan hak akses karyawan di organisasi.
Apa saja best-practice dalam audit social engineering?
Supaya audit social engineering bisa lebih efektif dan efisien, berikut best practice yang bisa Anda terapkan menurut KPMG.
1. Memahami data publik organisasi
Pelaku social engineering biasanya memanfaatkan informasi organisasi yang tersedia secara publik untuk melakukan aksinya. Itulah mengapa, Anda perlu memahami data publik apa yang dibagikan oleh organisasi. Periksa akun media sosial dan situs resmi organisasi untuk memastikan tidak ada data sensitif organisasi yang dibagikan ke khalayak ramai.
2. Memahami 'pintu masuk' ke kantor
Social engineering juga bisa terjadi jika ada orang tidak berhak yang masuk ke kantor. Anda perlu menguji apakah seseorang bisa masuk ke kantor tanpa otorisasi. Misalnya, mungkinkah seseorang yang berpura-pura menjadi kurir, tamu, atau teknisi masuk ke kantor dengan bebas?
3. Melakukan serangan palsu
Tanpa aba-aba, Anda bisa melakukan serangan social engineering 'palsu' ke karyawan. Anda bisa menyamar lewat telepon, misalnya mengaku dari tim IT dan meminta kredensial login atau reset password. Selain itu, Anda bisa mengirim email phishing palsu untuk melihat karyawan mana yang tergoda mengklik link berbahaya atau mengirimkan informasi sensitif.
4. Memeriksa 'sampah' di kantor
Tempat sampah di kantor bisa menjadi celah keamanan yang tak terduga. Sebab, bukan tidak mungkin ada karyawan yang membuang dokumen sensitif langsung ke tempat sampah. 'Toh dokumen sudah tidak terpakai', katanya. Padahal, meskipun dokumen organisasi sudah tidak terpakai, data di dalamnya masih bisa digunakan untuk melakukan social engineering.
5. Memantau aktivitas tidak sah
Melakukan aksi tanpa izin seperti mengambil aset, membuka akses ke informasi sensitif, bahkan memasang software seperti keylogger bisa membuka celah ke social engineering. Pantau aktivitas tidak sah ini dalam audit untuk memastikan kantor Anda aman dari serangan.
6. Mengadakan security awareness training
Memberi pelatihan kepada karyawan tentang cara mengenali dan merespons social engineering adalah hal penting. Pada pelatihan ini, materi harus disesuaikan dengan divisi dari setiap karyawan. Misalnya, tim HR dilatih untuk mengenali email palsu tentang data karyawan. Sementara itu, tim IT dilatih agar tidak sembarang mengatur ulang password tanpa verifikasi. Aktivitas ini merupakan salah satu hal vital dalam social engineering awareness audit.
Cegah social engineering dengan Log360
Ancaman social engineering dapat dicegah dengan ManageEngine Log360. Melalui kapabilitas UEBA, Anda bisa menganalisis pola perilaku user dan mengidentifikasi anomali. Sehingga, ketika ada percobaan akses yang tidak biasa, Anda bisa melakukan verifikasi dan memblokirnya jika akses terbukti berasal dari bukan pemilik akun.
Selain itu, Log360 juga memiliki kapabilitas alert dan notifikasi real-time yang bisa memberi tahu Anda aktivitas mencurigakan. Dengan demikian, Anda dapat merespons potensi serangan dengan cepat.
Tertarik mengamankan organisasi Anda dari serangan social engineering dengan Log360? Jadwalkan sesi konsultasi gratis dengan tim ManageEngine Indonesia!