Munculnya SaaS dan lingkungan kerja berbasis cloud telah mengubah lanskap risiko dunia maya secara mendasar. Dengan lebih dari 90% lalu lintas jaringan organisasi mengalir melalui browser dan aplikasi web, perusahaan menghadapi ancaman keamanan siber yang baru dan serius. Ini termasuk serangan phishing, kebocoran data, dan ekstensi berbahaya. Akibatnya, browser pun menjadi kerentanan yang perlu dilindungi.
LayerX telah merilis panduan komprehensif berjudul “Memulai Program Keamanan Browser Anda” Panduan mendalam ini berfungsi sebagai peta jalan bagi CISO dan tim keamanan yang ingin mengamankan aktivitas browser dalam organisasi mereka; termasuk petunjuk langkah demi langkah, kerangka kerja, dan kasus penggunaan. Di bawah ini, kami menghadirkan sorotan utamanya.
Memprioritaskan Keamanan Browser
Browser kini berfungsi sebagai antarmuka utama untuk aplikasi SaaS, menciptakan peluang jahat baru bagi musuh dunia maya. Risikonya meliputi:
- Kebocoran data – Browser dapat mengekspos data sensitif dengan mengizinkan karyawan mengunggah atau mengunduhnya secara tidak sengaja di luar kendali organisasi. Misalnya, menempelkan kode sumber dan rencana bisnis ke alat GenAI.
- Pencurian kredensial – Penyerang dapat mengeksploitasi browser untuk mencuri kredensial menggunakan metode seperti phishing, ekstensi berbahaya, dan penggunaan ulang kata sandi.
- Akses berbahaya ke sumber daya SaaS – Musuh dapat menggunakan kredensial yang dicuri untuk melakukan pengambilalihan akun dan mengakses aplikasi SaaS dari mana pun mereka berada, tidak perlu menyusup ke jaringan.
- Risiko pihak ketiga – Penyerang dapat mengeksploitasi vendor pihak ketiga, yang mengakses lingkungan internal menggunakan perangkat yang tidak dikelola dengan postur keamanan yang lebih lemah.
Langkah-langkah keamanan jaringan dan titik akhir tradisional tidak cukup untuk melindungi organisasi modern dari ancaman yang ditularkan melalui browser. Sebaliknya, program keamanan browser diperlukan.
Cara Memulai Program Keamanan Browser Anda
Panduan ini menekankan pendekatan strategis dan bertahap dalam menerapkan keamanan browser. Langkah-langkah penting meliputi:
Langkah 1: Pemetaan dan Perencanaan
Untuk memulai program keamanan browser Anda, langkah pertama adalah memetakan lanskap ancaman dan memahami kebutuhan keamanan spesifik organisasi Anda. Hal ini dimulai dengan menilai paparan jangka pendek terhadap risiko yang ditimbulkan oleh browser, seperti kebocoran data, penyusupan kredensial, dan pengambilalihan akun. Anda juga harus mempertimbangkan persyaratan peraturan dan kepatuhan. Penilaian yang terperinci akan membantu mengidentifikasi kerentanan dan kesenjangan yang ada, sehingga Anda dapat memprioritaskan penanganan masalah ini untuk mendapatkan hasil yang lebih cepat.
Setelah risiko jangka pendek dipahami, tetapkan tujuan jangka panjang untuk keamanan browser Anda. Hal ini melibatkan pertimbangan bagaimana keamanan browser terintegrasi dengan tumpukan keamanan Anda yang ada, seperti SIEM, SOAR, dan IdP, dan menentukan apakah keamanan browser menjadi pilar keamanan utama di tumpukan Anda. Analisis strategis ini memungkinkan Anda mengevaluasi bagaimana keamanan browser dapat menggantikan atau meningkatkan langkah-langkah keamanan lainnya di organisasi Anda, membantu Anda mempersiapkan pertahanan Anda di masa depan.
Langkah 2: Eksekusi
Fase eksekusi dimulai dengan mempertemukan pemangku kepentingan utama dari berbagai tim seperti SecOps, IAM, perlindungan data, dan TI, yang akan terkena dampak keamanan browser. Menggunakan kerangka kerja seperti RACI (Responsible, Accountable, Consulted, Informed) dapat membantu menentukan peran masing-masing tim dalam peluncuran. Hal ini memastikan semua pemangku kepentingan terlibat, menciptakan keselarasan dan tanggung jawab yang jelas di seluruh tim. Kolaborasi akan memastikan kelancaran eksekusi dan menghindari pendekatan tertutup terhadap implementasi keamanan browser.
Selanjutnya, rencana peluncuran jangka pendek dan jangka panjang harus ditentukan.
- Mulailah dengan memprioritaskan risiko dan pengguna paling kritis berdasarkan penilaian awal Anda.
- Temukan dan terapkan solusi keamanan browser.
- Peluncuran ini harus mencakup fase percontohan di mana solusi diuji pada pengguna dan aplikasi tertentu, memantau pengalaman pengguna, kesalahan positif, dan peningkatan keamanan.
- Tetapkan KPI dan pencapaian yang jelas untuk setiap fase guna mengukur kemajuan dan memastikan solusinya disesuaikan saat diterapkan di seluruh organisasi.
- Tingkatkan program Anda secara bertahap dengan memprioritaskan aplikasi tertentu, domain keamanan, atau mengatasi kesenjangan dengan tingkat keparahan yang tinggi. Misalnya, Anda dapat memilih untuk fokus pada aplikasi SaaS tertentu untuk perlindungan atau fokus pada kategori luas seperti perlindungan kebocoran data atau ancaman.
- Saat program sudah matang, atasi perangkat yang tidak dikelola dan akses pihak ketiga. Langkah ini memerlukan kepastian bahwa kebijakan seperti akses yang paling tidak memiliki hak istimewa ditegakkan, dan bahwa perangkat yang tidak dikelola diawasi secara ketat.
- Terakhir, nilai keberhasilan keseluruhan program keamanan browser Anda dalam mendeteksi dan mencegah risiko yang dibawa oleh browser. Langkah ini mencakup peninjauan seberapa efektif langkah-langkah keamanan Anda dalam menghentikan ancaman seperti phishing, pencurian kredensial, dan kebocoran data. Solusi keamanan browser yang berhasil harus menunjukkan peningkatan nyata dalam mitigasi risiko, kesalahan positif, dan postur keamanan secara keseluruhan, sehingga memberikan laba atas investasi yang jelas bagi organisasi.
Keamanan Perusahaan yang Tahan Masa Depan
Keberhasilan program keamanan Anda bergantung pada perencanaan jangka pendek dan jangka panjang yang kuat. Organisasi Anda harus meninjau strategi keamanan Anda secara berkala untuk memastikan strategi tersebut mutakhir dan mampu beradaptasi terhadap perubahan ancaman. Saat ini, hal ini berarti berinvestasi pada strategi dan alat keamanan browser. Untuk mempelajari lebih lanjut tentang pendekatan ini dan mendapatkan praktik serta kerangka kerja yang dapat Anda ikuti, baca panduan lengkapnya.