Insider Threat: Ancaman dari Dalam yang Sering Terabaikan

Ketika bicara soal keamanan siber, banyak organisasi langsung fokus pada ancaman eksternal seperti hacker atau serangan malware. Padahal, ada satu jenis ancaman yang sering luput dari perhatian dan bisa muncul tanpa kecurigaan, namanya insider threat atau ancaman orang dalam.

Ancaman ini bisa datang dari siapa saja yang memiliki akses ke sistem internal, baik itu karyawan aktif, mantan karyawan, vendor, ataupun partner. Bahayanya, insider threat sering kali sulit terdeteksi karena pelakunya sudah memahami cara kerja dan celah di dalam organisasi. Tak hanya itu, sering kali aktivitas insider threat tersamarkan karena organisasi menganggapnya seperti aktivitas bisnis sehari-hari.

Dalam blog ini, kita akan membahas lebih dalam tentang apa itu insider threat, jenis-jenisnya, dan bagaimanya organisasi bisa menanganinya sebelum terlambat.


 

Apa itu insider threat?

Insider threat adalah salah satu jenis kejahatan siber yang berasal dari pihak internal organisasi. Ancaman ini tidak hanya dilakukan oleh karyawan aktif, tetapi juga bisa datang dari mantan karyawan, vendor, atau partner. Selain tindakan yang disengaja, ancaman ini juga bisa terjadi karena kelalaian atau ketidaktahuan karyawan saat menangani data.

Karena berasal dari dalam organisasi, insider threat jadi sulit untuk dideteksi. Oleh karena itu, organisasi membutuhkan tool khusus yang dapat memantau dan mendeteksi aktivitas mencurigakan di dalam sistem. Monitoring ini sangat penting, karena insider threat bisa menyebabkan kebocoran data yang merugikan.


 

Apa saja jenis insider threat?

Jika dilihat dari intensi pelakunya, insider threat atau ancaman orang dalam bisa dikategorikan menjadi berikut ini.

1. Malicious insider threat

Jenis insider threat yang pertama terjadi karena memang disengaja. Biasanya, pelakunya membocorkan data sensitif untuk merusak reputasi organisasi atau meraih keuntungan pribadi. Karena pelaku sudah memahami seluk-beluk organisasi, aktivitas ini bisa dilakukan secara diam-diam, mudah, tanpa kecurigaan.

Contoh malicious insider threat adalah karyawan yang membocorkan data klien atau karyawan yang memasukkan malware ke sistem organisasi guna menganggu operasional.

2. Unintentional insider threat

Tidak semua insider threat dilakukan dengan sengaja. Ada juga insiden yang terjadi secara tidak sengaja, biasanya karena pelaku memang tidak terlatih atau tidak memahami pentingnya keamanan siber.

Contoh yang paling sering terjadi adalah karyawan yang mengklik email phishing, membuat penyerang memiliki akses ke data sensitif perusahaan dan menggunakannya untuk keuntungan pribadi. Selain itu, contoh lainnya adalah karyawan mengirim file berisi informasi sensitif ke orang yang salah.

3. Negligent insider threat

Ancaman yang satu ini tidak memiliki unsur kesengajaan, tetapi ketidakpedulian pelaku menyebabkan masalah besar. Biasanya, insider threat ini terjadi karena pelaku tidak mematuhi aturan keamanan yang berlaku, meskipun mereka sudah tahu pentingnya aturan tersebut.

Contohnya adalah karyawan menyimpan data klien yang sensitif di perangkat pribadi. Padahal, hal ini sangat dilarang dalam best practice keamanan siber.

4. Compromised insider

Ancaman orang dalam yang satu ini terjadi ketika ada pelaku dari luar yang mendapatkan akses ke sistem organisasi. Dari mana akses tersebut didapatkan? Biasanya, dari pihak internal yang tidak menjaga akun dengan aman. Setelah pelaku mendapatkan kredensial internal yang bocor, mereka akan berpura-pura menjadi orang dalam dan melancarkan serangan.


 

Apa dampak dari insider threat?

Insider threat sangat berbahaya bagi organisasi karena risiko yang ditimbulkan, yaitu:

  • Menyebabkan kebocoran data: Insider threat bisa menyebabkan eksposur data sensitif yang berlebihan ke pihak yang tidak bertanggung jawab dan tidak berhak terhadap data tersebut.

  • Menganggu operasional: Insider threat bisa menyebabkan downtime atau menganggu operasional sistem penting.

  • Menyebabkan kerugian finansial: Insider threat dapat menyebabkan kerugian finansial, karena organisasi jadi harus mengeluarkan biaya terkait recovery, denda atas pelanggaran hukum, dan kehilangan revenue.

  • Merusak reputasi: Insider threat yang menjadi berita besar di media bisa menyebabkan kerusakan reputasi. Pelanggan yang mengetahui tentang terjadinya insider threat mungkin tidak mau lagi menggunakan produk Anda.

  • Menyulitkan deteksi: Insider threat sulit dideteksi jika dibandingkan dengan ancaman dari luar, karena sering kali dilakukan oleh orang yang sudah paham betul sistem perusahaan. Hal ini membuat pelaku lebih mudah melakukan aktivitas berbahaya tanpa terlihat mencurigakan, seperti menghindari sistem deteksi, menonaktifkan sistem monitoring, dan memanipulasi log untuk menghilangkan jejak. Padahal, jika dibiarkan, dampak yang ditimbulkan bisa lebih besar daripada ancaman eksternal.


 

Apa saja indikator risiko insider threat?

Insider threat memang sulit dideteksi, tetapi bukan berarti tidak bisa. Kesalahan konfigurasi di sistem Anda atau aktivitas pengguna yang tidak biasa sebenarnya dapat menjadi indikator adanya insider threat.

Meski tidak selalu berarti akan terjadi serangan, beberapa indikator berikut patut diwaspadai. Jika organisasi Anda menunjukkan tanda-tanda di bawah ini, waspada, bisa jadi insider threat hanya tinggal menunggu waktu!

1. Perpindahan data yang tidak biasa

Waspadalah jika ada data dalam jumlah besar yang dipindahkan ke lokasi eksternal atau internal. Bisa jadi, data dipindahkan tanpa izin yang sah. Jika iya, maka ini bisa jadi merupakan insider threat.

2. Hak akses yang berlebihan

Jika ada karyawan, vendor, atau partner yang punya akses lebih dari yang seharusnya ke informasi penting, pantau akses tersebut secara rutin dan evaluasi apakah akses yang diberikan sudah tepat. Sebab, hak akses yang berlebihan rawan sekali disalahgunakan oleh orang dalam.

3. Pola akses yang tidak biasa

Ada aktivitas mencurigakan pada sistem penting di luar jam kerja, misalnya saat tengah malam atau hari libur? Meski tidak selalunya, bisa jadi itu adalah insider threat. Apalagi jika aktivitas tersebut dilakukan oleh akun lama atau akun yang sudah usang.

4. Pelanggaran kebijakan keamanan

Insider threat juga bisa diindikasikan dari pelanggaran kebijakan keamanan, misalnya penggunaan password bersama atau percobaan menonaktifkan mekanisme keamanan tertentu.

5. Perubahan sistem yang tidak sah

Awas jika ada perubahan sistem tiba-tiba tanpa izin. Misalnya, instalasi software pihak ketiga, utak-atik konfigurasi, atau perubahan setting pada infrastruktur. Sebab, bisa jadi ada yang sedang mengeksploitasi kerentanan untuk tujuan yang tidak baik.

6. Ketidakpatuhan terhadap prosedur keamanan di organisasi

Karyawan yang tidak mematuhi prosedur keamanan di organisasi bisa menjadi celah terjadinya insider threat. Misalnya, mereka tidak menyelesaikan security training atau tidak mengindahkan prosedur yang ada.


 

Bagaimana cara memitigasi insider threat?

Berikut beberapa langkah penting yang bisa Anda terapkan untuk mencegah dan mengurangi risiko insider threat:

1. Menetapkan baseline behavior untuk individu dan jaringan

Pertama, Anda perlu menetapkan pola perilaku normal dari pengguna dan jaringan. Baseline ini berfungsi sebagai acuan untuk mengidentifikasi aktivitas yang mencurigakan atau tidak biasa. Misalnya, analisis volume perpindahan file di jaringan dan total percobaan akses ke file penting.

2. Melakukan risk assessment berkala

Risk assessment secara menyeluruh perlu dilakukan secara rutin untuk memahami tipe data yang Anda miliki, seberapa penting data tersebut, di mana lokasinya, dan siapa saja yang memiliki akses. Dengan pemahaman tentang data yang komprehensif, Anda bisa menentukan pendekatan keamanan dan kontrol akses yang tepat.

Risk assessment ini juga harus dilakukan oleh vendor yang bekerja dengan organisasi Anda. Hal ini penting untuk menginvestigasi postur keamanan mereka dan membuat organisasi menjadi lebih aman.

3. Mengimplementasikan kebijakan manajemen akun dan password yang ketat

Terapkan multi-factor authentication dan wajibkan penggunaan password yang kuat untuk meningkatkan keamanan jaringan Anda. Selain itu, pastikan sesi pengguna terkunci secara otomatis setelah periode tidak aktif untuk mencegah akses yang tidak sah.

4. Menerapkan prinsip least privilege

Batasi hak akses hanya sebatas yang benar-benar dibutuhkan. Gunakan sistem manajemen akses untuk mencegah akses yang berlebihan dan mengurangi jumlah titik masuk (entry point) yang bisa dimanfaatkan oleh pelaku untuk mengeksploitasi data organisasi.

5. Mengedukasi end user

Selenggarakan pelatihan tentang cybersecurity awareness untuk karyawan Anda secara berkala. Berikan edukasi tentang berbagai jenis serangan siber, termasuk insider threat. Beri tahu mereka semua risikonya, cara mengidentifikasi dan memitigasinya, serta konsekuensi jika melakukannya.

6. Mengaudit, memonitor, dan merekam semua percobaan akses

Catat semua aktivitas terkait akses dan perpindahan file secara menyeluruh. Analisis data ini untuk membentuk baseline perilaku, sehingga Anda bisa mendeteksi penyimpangan dari pola normal dengan lebih efisien.

7. Menerapkan tindakan remediasi otomatis

Gunakan langkah-langkah pencegahan seperti pemblokiran USB, filter email yang ketat, dan pop-up asking konfirmasi ketika mengakses file penting. Hal ini bisa membantu organisasi Anda meningkatkan keamanan dari insider attack.

Selain itu, siapkan juga incident response plan yang bisa membantu merespons insiden dengan cepat, memahami cakupan serangan, serta meminimalkan dampaknya terhadap operasional.


 

Mengapa perlu ManageEngine untuk menangani insider threat?

Solusi SIEM ManageEngine menawarkan berbagai fitur yang penting untuk menangani insider threat, antara lain:

1. User and Entity Behaviour Analytics (UEBA)

ManageEngine Log360 memiliki kapabilitas UEBA yang dilengkapi dengan machine learning untuk membantu mendeteksi insider threat dengan mudah. Kapabilitas ini memiliki fitur baseline yang menentukan standar dari perilaku pengguna dan entitas. Jika ada perilaku yang menyimpang dari baseline tersebut, maka akan tercatat sebagai anomali dan memiliki risk score. Hal ini dapat membantu tim security memprioritaskan ancaman dan memitigasinya.

2. Alert dan notifikasi real-time

Momen awal terjadinya ancaman adalah momen terpenting. Jika terjadi ancaman, Anda harus segera bertindak. Namun, bagaimana cara mengetahui ancaman tersebut saat baru terjadi?

Anda bisa menggunakan kapabilitas alert dan notifikasi real-time dari ManageEngine Log360. Notifikasi ini akan dikirim ke email atau SMS. Alert yang terdapat di Log360 dikategorikan menjadi tiga tingkat keparahan, yaitu Attention, Trouble, dan Critical. Pembagian kategori ini membantu Anda memprioritaskan dan memitigasi ancaman yang lebih berisiko.

3. Dashboard intuitif

Dashboard intuitif membantu Anda mendapatkan informasi mendalam terkait insiden keamanan di organisasi. Pada dashboard ini, Anda bisa melihat semua insiden keamanan yang terjadi. Anda juga bisa menyortirnya berdasarkan prioritas, sumber, dan tingkat keparahan.

4. Workflow otomatis

ManageEngine Log360 dilengkapi dengan fitur workflow yang bisa mengotomatiskan mitigasi ancaman keamanan. Begitu sistem mendeteksi alert, workflow ini akan langsung berjalan dan menjalankan respons yang sesuai terhadap insiden tersebut.

Karena setiap insiden memiliki penanganan yang berbeda-beda, Anda tentu membutuhkan workflow yang berbeda pula. Jangan khawatir, sebab fitur workflow pada Log360 bisa disesuaikan dengan kebutuhan organisasi menggunakan interface drag-and-drop.

5. Monitoring shadow IT

Shadow IT adalah penggunaan aplikasi atau layanan pihak ketiga, terutama yang berbasis cloud, tanpa persetujuan tim IT. Umumnya, karyawan menggunakan aplikasi ini untuk meningkatkan produktivitas, bukan karena berniat melanggar aturan.

Namun, karena tidak melalui proses keamanan standar, aplikasi shadow IT bisa membuka celah risiko, seperti kebocoran data hingga serangan siber yang tidak terdeteksi. Solusi monitoring shadow IT seperti ManageEngine Firewall Analyzer pun jadi penting untuk memantau lalu lintas jaringan, mendeteksi aplikasi tidak sah, dan memunculkan alert ketika karyawan mencoba mengakses aplikasi tersebut.

Baca juga: Best practice untuk strategi monitoring cloud Anda

6. Monitoring penggunaan internet karyawan

Penggunaan internet karyawan yang tidak diawasi dengan benar bisa menyebabkan insider threat. ManageEngine Firewall Analyzer memiliki fitur monitoring penggunaan internet karyawan, yang mencakup situs internet yang diakses, protokol komunikasi yang digunakan, pola dan tren penggunaan selama jam kerja maupun di luar jam kerja, riwayat transaksi internet, serta pola penggunaan firewall rule. Melalui insight tersebut, Anda dapat mengidentifikasi potensi insider threat dengan membatasi akses ke situs berisiko tinggi dan memperkuat aturan firewall.

6. Kebijakan password dan akun

Insider threat bisa datang dari password yang lemah atau akun yang tidak terproteksi dengan baik. Oleh karena itu, Anda perlu menerapkan kebijakan password dan akun yang ketat. ManageEngine ADSelfService Plus bisa melakukannya dengan mewajibkan penerapan multi-factor authentication dan kebijakan password yang kuat.

Selain itu, Anda juga bisa mengunci sesi pengguna jika mereka tidak aktif selama beberapa saat untuk mencegah penyerang menggunakan sesi tersebut dan menyalahgunakannya.

Ingin menerapkan solusi ManageEngine untuk mencegah insider threat di organisasi Anda? Temukan solusi yang sesuai kebutuhan Anda atau jadwalkan sesi demo gratis dengan pakar kami!

Frequently asked questions (FAQ)

Berikut beberapa pertanyaan yang sering diajukan terkait insider threat.

1. Siapa saja yang bisa menjadi insider threat?

Pihak yang bisa menjadi insider threat adalah karyawan aktif, mantan karyawan, vendor dan partner yang bekerja sama dengan organisasi, serta orang luar yang berhasil menyamar sebagai orang dalam.

2. Apa yang membuat insider threat sulit dideteksi?

Insider threat sulit dideteksi karena kebanyakan pelakunya memiliki akses sah dan memahami sistem internal, sehingga tindakan mereka tampak "normal" dan jarang memicu alarm.

3. Apakah semua insider threat dilakukan dengan niat jahat?

Tidak. Banyak kasus insider threat justru terjadi karena kelalaian atau kurangnya kesadaran keamanan dari pihak internal.

4. Kenapa organisasi perlu peduli terhadap insider threat?

Karena insider threat bisa berdampak lebih besar dari serangan luar dan seringkali luput dari sistem keamanan tradisional.

5. Dari mana saja sumber insider threat?

Insider threat bisa muncul dari hak akses yang berlebihan ke resource penting, kelalaian dalam manajemen data sensitif, akun yang diretas, dan minimnya kesadaran terkait keamanan siber.