Ancaman siber semakin meningkat, dan keamanan siber menjadi hal yang sangat penting bagi operasional bisnis. Seiring dengan meningkatnya anggaran keamanan, para CEO dan dewan direksi menuntut bukti nyata bahwa inisiatif keamanan siber memberikan nilai lebih dari sekadar kepatuhan terhadap peraturan.
Sama seperti Anda tidak akan membeli mobil tanpa mengetahui mobil tersebut telah melalui uji tabrak terlebih dahulu, sistem keamanan juga harus divalidasi untuk memastikan nilainya. Ada peningkatan pergeseran ke arah validasi keamanan karena memungkinkan praktisi siber menggunakan eksploitasi nyata dengan aman di lingkungan produksi untuk menilai efisiensi sistem keamanan mereka secara akurat dan mengidentifikasi area paparan kritis, dalam skala besar.
Kami bertemu dengan Shawn Baird, Associate Director of Offensive Security & Red Teaming di DTCC, untuk membahas cara mengkomunikasikan secara efektif nilai bisnis dari praktik dan alat Validasi Keamanannya kepada manajemen tingkat atas. Berikut adalah penelusuran bagaimana Shawn menyediakan ruang bagi platform validasi keamanan dengan anggarannya yang sudah terbatas dan bagaimana dia menerjemahkan praktik keamanan teknis menjadi hasil bisnis nyata yang telah mendorong keputusan pembelian demi kepentingan timnya.
Harap dicatat bahwa semua tanggapan di bawah ini semata-mata merupakan pendapat Shawn Baird dan tidak mewakili keyakinan atau pendapat DTCC dan anak perusahaannya.
T: Nilai apa yang dibawa oleh Validasi Keamanan ke organisasi Anda?
Validasi Keamanan adalah tentang menguji pertahanan Anda, bukan terhadap risiko teoretis, tetapi teknik serangan sebenarnya di dunia nyata. Ini adalah peralihan dari asumsi keamanan pasif ke validasi aktif terhadap apa yang berhasil. Hal ini menunjukkan sejauh mana sistem kita mampu bertahan terhadap taktik yang sama yang digunakan penjahat dunia maya saat ini.
Bagi kami di DTCC, kami telah melakukan validasi keamanan sejak lama, namun kami mencari teknologi yang dapat berfungsi sebagai penguat kinerja. Daripada hanya mengandalkan teknisi yang mahal dan berketerampilan tinggi untuk melakukan validasi manual di seluruh sistem, kami dapat memfokuskan tim elit kami pada latihan tim merah yang bernilai tinggi dan tertarget. Platform otomatis memiliki konten TTP bawaan untuk melakukan pengujian, yang mencakup teknik seperti Kerberoasting, pemindaian jaringan, brute force, dll, sehingga tim tidak perlu lagi membuatnya. Pengujian dijalankan bahkan di luar jam kerja reguler— jadi kami tidak terbatas pada periode pengujian standar.
Pendekatan ini berarti kami tidak membebani staf keamanan kami dengan tugas yang berulang-ulang. Sebaliknya, mereka dapat fokus pada skenario serangan yang lebih kompleks dan isu-isu penting. Pentera memberi kami cara untuk mempertahankan validasi berkelanjutan secara menyeluruh, tanpa menguras tenaga teknisi kami yang paling terampil dalam tugas-tugas yang dapat diotomatisasi.
Intinya, ini menjadi pengganda kekuatan bagi tim kami. Hal ini sangat bermanfaat untuk meningkatkan kemampuan kita untuk tetap berada di depan ancaman sambil mengoptimalkan penggunaan talenta terbaik kita.
T: Bagaimana Anda membenarkan ROI investasi pada platform Validasi Keamanan Otomatis?
Pertama dan terpenting, kita melihat secara langsung peningkatan produktivitas tim kami. Mengotomatiskan penilaian manual dan tugas pengujian yang memakan waktu adalah sebuah terobosan. Dengan mengalihkan tugas-tugas yang berulang dan membutuhkan banyak upaya ini ke Pentera, teknisi terampil kami dapat fokus pada pekerjaan yang lebih kompleks. Dan tanpa memerlukan jumlah karyawan tambahan, kami dapat memperluas cakupan pengujian secara signifikan.
Kedua, kita mampu mengurangi biaya kontraktor pihak ketiga. Biasanya, kami sangat bergantung pada kontraktor ahli eksternal, yang biayanya mahal dan seringkali cakupannya terbatas. Dengan keahlian manusia yang dibangun dalam platform seperti Pentera, kami mengurangi ketergantungan kami pada keterlibatan layanan yang mahal. Sebaliknya, kami memiliki staf internal – analis dengan keahlian yang lebih sedikit – yang menjalankan pengujian yang efektif.
Akhirnya, ada manfaat yang jelas pengurangan risiko. Dengan terus memvalidasi kondisi keamanan kami, kami dapat secara signifikan mengurangi kemungkinan pelanggaran dan potensi kerugian jika pelanggaran terjadi. Laporan Biaya Pelanggaran Data IBM tahun 2023 menegaskan hal ini, melaporkan pengurangan biaya pelanggaran sebesar 11% untuk organisasi yang menggunakan strategi manajemen risiko proaktif. Dengan Pentera, kami mencapai hal tersebut—paparan yang lebih sedikit, deteksi yang lebih cepat, dan remediasi yang lebih cepat—semuanya berkontribusi pada penurunan profil risiko kami secara keseluruhan.
T: Apa saja hambatan atau hambatan internal yang Anda temui?
Salah satu rintangan utama yang kami hadapi adalah perselisihan dari dewan peninjau arsitektur. Dapat dimengerti bahwa mereka memiliki kekhawatiran mengenai penerapan eksploitasi otomatis di jaringan kami, meskipun platform tersebut 'dirancang aman'. Gagasan untuk menjalankan serangan dunia nyata di lingkungan produksi dapat menjadi hal yang menakutkan, terutama bagi tim yang bertanggung jawab atas stabilitas sistem penting.
Untuk mengatasi hal ini, kami mengambil pendekatan bertahap. Kami memulai dengan menjalankan platform pada permukaan serangan yang lebih kecil, menargetkan sistem yang kurang kritis untuk menunjukkan keamanan dan efektivitasnya. Selanjutnya, kami memperluas penggunaannya selama keterlibatan tim merah, menjalankannya bersamaan dengan proses pengujian kami yang ada. Seiring berjalannya waktu, kami secara bertahap memperluas cakupannya, membuktikan keandalan dan keamanan platform di setiap tahap. Peluncuran bertahap ini membantu membangun kepercayaan tanpa menimbulkan risiko gangguan besar, sehingga kini kepercayaan terhadap platform ini sudah cukup kuat.
Q: Bagaimana cara anda mengalokasikan dananya?
Kami mengalokasikan dana untuk Pentera di bawah item yang sama dengan alat tim merah kami, yang dikelompokkan dengan solusi lain seperti Rapid7 dan pemindai kerentanan. Dengan menempatkannya di samping alat keamanan yang ofensif, proses penganggaran menjadi mudah.
Kami secara khusus melihat biaya yang kami keluarkan untuk menilai kerentanan lingkungan terhadap serangan ransomware. Sebelumnya, kami menghabiskan $150K per tahun untuk pemindaian ransomware, namun dengan Pentera, kami dapat melakukan pengujian lebih sering dengan anggaran yang sama. Realokasi dana ini masuk akal karena memenuhi kriteria utama kami, yang disebutkan sebelumnya: meningkatkan produktivitas dengan meningkatkan kapasitas pengujian kami tanpa perlu merekrut karyawan, dan mengurangi risiko dengan pengujian yang lebih sering dan berskala lebih besar. Menurunkan kemungkinan serangan ransomware dan membatasi kerusakan jika terjadi.
T: Pertimbangan apa lagi yang perlu dipertimbangkan?
Beberapa faktor lain memengaruhi keputusan kami untuk berinvestasi dalam Validasi Keamanan Otomatis. Retensi karyawan merupakan hal yang besar. Seperti yang saya katakan sebelumnya, mengotomatiskan tugas yang berulang membuat para pakar keamanan siber kami tetap fokus pada pekerjaan yang lebih menantang dan berdampak, yang saya yakini telah membantu kami mempertahankan bakat mereka.
Peningkatan dalam operasi keamanan adalah poin lainnya. Pentera membantu kami memastikan kontrol kami disetel dan divalidasi dengan benar, juga membantu koordinasi antara tim merah, tim biru, dan SOC.
Dari sudut pandang kepatuhan, hal ini mempermudah pengumpulan bukti untuk audit – memungkinkan kami menyelesaikan prosesnya jauh lebih cepat dibandingkan sebaliknya. Terakhir, asuransi siber adalah bidang lain di mana Pentera telah menambah nilai finansial dengan memungkinkan kami menurunkan premi.
T: Saran untuk profesional keamanan lain yang mencoba mendapatkan anggaran untuk validasi aman?
Nilai kinerja Validasi Keamanan Otomatis jelas. Kebanyakan organisasi tidak mempunyai sumber daya internal untuk melaksanakan tim merah yang matang. Baik Anda memiliki tim keamanan kecil atau praktik keamanan ofensif yang matang seperti yang kami lakukan di DTCC, kemungkinan besar Anda tidak memiliki sumber daya ahli keamanan yang cukup untuk melakukan penilaian menyeluruh. Jika Anda tidak menemukan apa pun, tidak ada bukti adanya orang dalam yang jahat di jaringan Anda, Anda tidak dapat menunjukkan ketahanan – sehingga lebih sulit untuk mencapai kepatuhan terhadap peraturan.
Dengan Pentera, Anda memiliki TTP bawaan, yang memberi Anda jalur langsung untuk menilai seberapa baik organisasi Anda merespons ancaman. Berdasarkan validasi tersebut, Anda dapat memperkuat infrastruktur dan mengatasi kerentanan yang ditemukan.
Alternatifnya—tidak melakukan apa pun—jauh lebih berisiko. Kerugian akibat pelanggaran dapat mengakibatkan IP dicuri, kehilangan data, dan berpotensi menghentikan operasi. Di sisi lain, biaya alat ini memberikan ketenangan pikiran karena Anda telah mengurangi paparan terhadap ancaman dunia nyata dan kemampuan untuk tidur lebih nyenyak di malam hari.
Tonton webinar lengkap sesuai permintaan bersama Shawn Baird, Associate Director of Offensive Security & Red Teaming di DTCC, dan Pentera Field CISO, Jason Mar-Tang.