Membantu perusahaan memprioritaskan investasi keamanan siber mereka
Keamanan

Membantu perusahaan memprioritaskan investasi keamanan siber mereka


Dengan mengumpulkan data sensitif secara aman dari serangan dunia maya, platform SCRAM CSAIL dapat mengukur tingkat risiko organisasi dan menyarankan cara memprioritaskan investasi keamanan. Kredit: Chelsea Turner

Salah satu alasan serangan dunia maya terus berkembang dalam beberapa tahun terakhir adalah karena kita tidak pernah benar-benar belajar banyak tentang bagaimana itu terjadi. Perusahaan takut bahwa melaporkan serangan akan menodai citra publik mereka, dan bahkan mereka yang melaporkannya tidak membagikan banyak detail karena mereka khawatir pesaing mereka akan mendapatkan wawasan tentang praktik keamanan mereka.

“Ini benar-benar hadiah bagus yang kami berikan kepada penjahat dunia maya,” kata Taylor Reynolds, direktur kebijakan teknologi di MIT’s Internet Policy Research Initiative (IPRI). “Dalam dunia yang ideal, serangan ini tidak akan terjadi berulang kali, karena perusahaan akan dapat menggunakan data dari serangan untuk mengembangkan pengukuran kuantitatif risiko keamanan sehingga kami dapat mencegah insiden semacam itu di masa mendatang.”

Dalam ekonomi di mana sebagian besar industri mengencangkan ikat pinggang mereka, banyak organisasi tidak tahu jenis serangan mana yang menyebabkan kerugian finansial terbesar, dan oleh karena itu bagaimana cara terbaik menggunakan sumber daya keamanan yang langka.

Tetapi platform baru dari Laboratorium Ilmu Komputer dan Kecerdasan Buatan (CSAIL) MIT bertujuan untuk mengubah itu, mengukur risiko keamanan perusahaan tanpa mengharuskan mereka untuk mengungkapkan data sensitif tentang sistem mereka kepada tim peneliti, apalagi pesaing mereka.

Dikembangkan oleh Reynolds bersama ekonom Andrew Lo dan kriptografer Vinod Vaikuntanathan, platform ini membantu perusahaan melakukan banyak hal:

  • mengukur seberapa aman mereka;
  • memahami bagaimana keamanan mereka dibandingkan dengan sesama; dan
  • mengevaluasi apakah mereka membelanjakan jumlah uang yang tepat untuk keamanan, dan jika dan bagaimana mereka harus mengubah prioritas keamanan khusus mereka.

Tim menerima data internal dari tujuh perusahaan besar yang rata-rata mempekerjakan 50.000 karyawan dan pendapatan tahunan sebesar $ 24 miliar. Dengan mengumpulkan 50 insiden keamanan berbeda yang terjadi di perusahaan secara aman, para peneliti dapat menganalisis langkah-langkah spesifik mana yang tidak diambil yang dapat mencegahnya. (Analisis mereka menggunakan sekumpulan hampir 200 tindakan keamanan mapan yang disebut sebagai Pusat Sub-Kontrol Keamanan Internet.)

“Kami mampu melukiskan gambaran yang sangat menyeluruh dalam hal kegagalan keamanan yang paling merugikan perusahaan,” kata Reynolds, yang ikut menulis makalah terkait dengan profesor Lo dan Vaikuntanathan, mahasiswa pascasarjana MIT Leo de Castro, Principal Research Scientist Daniel J. Weitzner, Ph.D. mahasiswa Fransisca Susan, dan mahasiswa pascasarjana Nicolas Zhang. “Jika Anda seorang kepala petugas keamanan informasi di salah satu organisasi ini, akan menjadi tugas yang berat untuk mencoba mempertahankan segalanya sepenuhnya. Mereka perlu tahu ke mana mereka harus mengarahkan perhatian mereka.”

Tim tersebut menyebut platform mereka “SCRAM,” untuk “Pengumpulan dan Pengukuran Risiko Cyber ​​yang Aman.” Di antara temuan lainnya, mereka menentukan bahwa tiga kerentanan keamanan berikut memiliki total kerugian terbesar, masing-masing lebih dari $ 1 juta:

Kegagalan dalam mencegah serangan malware

Serangan malware, seperti yang terjadi bulan lalu yang dilaporkan memaksa perusahaan perangkat yang dapat dikenakan Garmin untuk membayar tebusan $ 10 juta, masih merupakan metode teruji dan benar untuk mendapatkan kendali atas data konsumen yang berharga. Reynolds mengatakan bahwa perusahaan terus berjuang untuk mencegah serangan semacam itu, mengandalkan pencadangan data mereka secara teratur dan mengingatkan karyawan mereka untuk tidak mengklik email yang mencurigakan.

Komunikasi melalui port yang tidak sah

Anehnya, tim menemukan bahwa setiap perusahaan dalam studi mereka mengatakan bahwa mereka, pada kenyataannya, telah menerapkan langkah keamanan untuk memblokir akses ke port yang tidak sah — padanan digital dari perusahaan yang mengunci semua pintu mereka. Meski begitu, serangan yang melibatkan akses ke pelabuhan-pelabuhan ini menyebabkan kerugian biaya tinggi yang besar.

“Kerugian bisa muncul meski ada pertahanan yang dikembangkan dan dipahami dengan baik,” kata Weitzner, yang juga menjabat sebagai direktur MIT IPRI. “Penting untuk disadari bahwa meningkatkan pertahanan umum yang ada tidak boleh diabaikan demi perluasan ke area pertahanan baru.”

Kegagalan dalam manajemen log untuk insiden keamanan

Setiap hari perusahaan mengumpulkan “log” terperinci yang menunjukkan aktivitas dalam sistem mereka. Petugas keamanan senior sering membuka log ini setelah serangan untuk mengaudit insiden tersebut dan melihat apa yang terjadi. Reynolds mengatakan bahwa ada banyak cara perusahaan dapat menggunakan pembelajaran mesin dan kecerdasan buatan secara lebih efisien untuk membantu memahami apa yang terjadi — termasuk, yang terpenting, selama atau bahkan sebelum serangan keamanan.

Dua area utama lainnya yang memerlukan analisis lebih lanjut termasuk melakukan inventarisasi perangkat keras sehingga hanya perangkat resmi yang diberi akses, serta pertahanan batas seperti firewall dan proxy yang bertujuan untuk mengontrol arus lalu lintas melalui batas jaringan.

Tim mengembangkan platform agregasi data bersama dengan pakar kriptografi MIT, menggunakan metode yang ada yang disebut komputasi multi-pihak (MPC) yang memungkinkan mereka melakukan penghitungan pada data tanpa mereka sendiri dapat membaca atau membukanya. Setelah menghitung temuannya yang dianonimkan, sistem SCRAM kemudian meminta setiap perusahaan yang berkontribusi untuk membantunya membuka kunci hanya jawaban menggunakan kunci kriptografi rahasia mereka sendiri.

“Kekuatan dari platform ini adalah memungkinkan perusahaan untuk menyumbangkan data terkunci yang jika tidak maka akan terlalu sensitif atau berisiko untuk dibagikan dengan pihak ketiga,” kata Reynolds.

Sebagai langkah selanjutnya, para peneliti berencana untuk memperluas kumpulan perusahaan yang berpartisipasi, dengan perwakilan dari berbagai sektor berbeda yang mencakup listrik, keuangan, dan bioteknologi. Reynolds mengatakan bahwa jika tim dapat mengumpulkan data dari lebih dari 70 atau 80 perusahaan, mereka akan dapat melakukan sesuatu yang belum pernah terjadi sebelumnya: menempatkan angka dolar aktual pada risiko kegagalan pertahanan tertentu.


Mencegah serangan keamanan dunia maya terletak pada investasi strategis pihak ketiga, demikian temuan penelitian


Informasi lebih lanjut:
Mengamankan Agregasi dan Pengukuran Risiko Cyber: scram.mit.edu

Disediakan oleh Massachusetts Institute of Technology

Kisah ini diterbitkan ulang atas izin MIT News (web.mit.edu/newsoffice/), situs populer yang meliput berita tentang penelitian, inovasi, dan pengajaran MIT.

Kutipan: Membantu perusahaan memprioritaskan investasi keamanan siber mereka (2020, 4 September), diakses 27 November 2020 dari https://techxplore.com/news/2020-09-companies-prioritize-cybersecurity-investments.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : SGP Prize