Karena garis antara lingkungan kerja dan rumah terus memudar, begitu pula pemisahan antara perangkat yang terhubung perusahaan dan pribadi. Ini mengungkap tantangan keamanan siber baru yang akan membutuhkan respons terkoordinasi dari semua orang termasuk pekerja rumahan, kata Greg Day, VP dan CSO EMEA, Palo Alto Networks .
IoT non-bisnis membanjiri jaringan bisnis
Pertumbuhan dalam pekerjaan rumahan dan hibrid menyebabkan perangkat yang terhubung ke konsumen menyimpang ke jaringan bisnis dalam jumlah yang lebih besar. Selama dua tahun sekarang, kami telah melacak tren ini sebagai bagian dari studi keamanan IoT yang mencakup 18 negara di EMEA, APAC, dan Amerika.
Dalam studi tahun 2021, 78% pengambil keputusan TI secara global (di antara mereka yang organisasinya memiliki perangkat IoT yang terhubung ke jaringannya) melaporkan peningkatan perangkat IoT non-bisnis yang terhubung ke jaringan perusahaan oleh pekerja jarak jauh pada tahun lalu. Di beberapa pasar seperti AS, laporannya bahkan lebih tinggi dengan 84% mengatakan telah terjadi peningkatan.
Ketika Anda memeriksa hal-hal non-bisnis apa yang sedang dihadapi, variasinya cukup mencolok. Secara global perangkat terhubung non-bisnis yang paling umum dilaporkan adalah monitor medis yang dapat dipakai diikuti oleh bola lampu pintar, peralatan gym yang terhubung, mesin kopi, konsol game, dan bahkan pengumpan hewan peliharaan termasuk di antara daftar perangkat paling aneh yang ditemukan. Sebagian alasannya adalah karena meningkatnya kebiasaan bekerja dari rumah (WFH) bertepatan dengan boomingnya perangkat rumah pintar, serta berbagai perangkat yang dapat dikenakan untuk kebugaran dan kesehatan.
Kelemahan dan ancaman keamanan siber
Meskipun perangkat IoT yang tidak biasa mungkin menjadi bacaan yang menyenangkan, mereka menghadirkan tantangan keamanan yang berkembang bagi tim keamanan siber. Penyerang hanya membutuhkan satu karyawan untuk memiliki satu perangkat rentan yang dapat dieksploitasi. Banyak perangkat IoT konsumen datang dengan fitur keamanan yang buruk atau sayangnya tidak ada. Memang, seberapa besar Anda dapat mengharapkan tingkat keamanan tingkat perusahaan di perangkat pintar yang harganya kurang dari $100 (€88,59). Demikian pula, praktik pengkodean yang baik yang dianut oleh perusahaan perangkat lunak dewasa biasanya memiliki prioritas yang lebih rendah, dan perbaikan bug bisa berjalan lambat.
Pakar intelijen ancaman seperti tim Unit 42 kami sendiri melaporkan serangan yang menargetkan kerentanan di perangkat kantor pusat. Ini termasuk kelemahan keamanan serangan varian Mirai di berbagai perangkat IoT rumahan pada Februari 2021. Kekhawatiran terbesar adalah bagaimana perangkat terhubung non-bisnis yang disusupi digunakan untuk meluncurkan serangan ransomware yang lebih serius. Musim panas ini, Unit 42 mengungkapkan bukti tentang bagaimana geng ransomware tampaknya berinvestasi dalam alat yang menggunakan varian ransomware eCh0raix untuk menargetkan pekerja rumahan dengan perangkat NAS. Motivasi serangan ini mungkin menggunakan perangkat yang terhubung ke rumah yang dieksploitasi sebagai batu loncatan dalam serangan rantai pasokan terhadap perusahaan besar yang dapat menghasilkan uang tebusan yang sangat besar.
Akibatnya, perangkat IoT konsumen bisa menjadi masalah besar bagi bisnis; ini adalah sesuatu yang diakui responden dalam penelitian kami. Secara global, sebagian besar pembuat keputusan TI (81%) yang organisasinya memiliki perangkat IoT yang terhubung ke jaringannya melaporkan bahwa pekerjaan jarak jauh selama pandemi COVID-19 mengakibatkan peningkatan risiko dari perangkat IoT yang tidak aman di jaringan bisnis organisasi mereka. Lebih dari tujuh dari sepuluh (78%) peningkatan risiko ini telah diterjemahkan ke dalam peningkatan jumlah insiden keamanan IoT.
Baik pekerjaan di rumah maupun peningkatan perangkat IoT tidak akan hilang sehingga ada tekanan yang meningkat untuk meninjau keamanan siber IoT. Memang, hampir semua responden (96% pada tahun 2021 dan 95% pada tahun 2020) pada survei IoT global kami menunjukkan bahwa organisasi mereka memerlukan peningkatan dalam pendekatan mereka terhadap keamanan IoT. Pada tahun 2021, 25% menyarankan perombakan total adalah yang terbaik.
Bagaimana pekerja WFH dapat membantu
Perlu ada pendekatan tiga arah dengan keamanan siber IoT yang ditingkatkan mulai dari rumah.
Organisasi perlu mendidik dan mengamanatkan staf WFH mereka untuk meningkatkan standar kebersihan keamanan siber rumahan dimulai dari router mereka. Beberapa perintah dasar harus mencakup perubahan pengaturan keamanan default dan kemudian mengenkripsi jaringan rumah hanya dengan memperbarui pengaturan router ke WPA3 Personal atau WPA2 Personal. Pekerja WFH juga harus ditugasi untuk melakukan audit terhadap apa yang terhubung dan menonaktifkan perangkat apa pun yang tidak digunakan secara rutin.
Ada langkah lain yang harus diambil. Karyawan WFH juga harus memanfaatkan fitur segmentasi mikro yang biasanya ditemukan di firmware sebagian besar router Wi-Fi. Hal ini memungkinkan pengguna untuk menjaga jaringan terpisah, satu untuk tamu dan perangkat IoT dan satu lagi digunakan untuk tujuan perusahaan.
Segmentasi jaringan adalah kunci untuk kebersihan dunia maya yang baik secara keseluruhan di perusahaan dan di rumah. Menurut survei IoT, 51% pengambil keputusan TI (yang memiliki perangkat IoT yang terhubung ke jaringan organisasi mereka) menunjukkan bahwa perangkat IoT tersegmentasi pada jaringan yang terpisah. Mereka terpisah dari yang mereka gunakan untuk perangkat bisnis utama dan aplikasi bisnis (misalnya, sistem SDM, server email, sistem keuangan). Namun, mengkhawatirkan bahwa sejumlah besar pengambil keputusan TI global ( satu dari lima) mengakui perangkat IoT tidak tersegmentasi pada jaringan terpisah dari yang mereka gunakan untuk perangkat utama dan aplikasi bisnis utama. Di beberapa pasar, seperti Inggris, hasilnya bahkan lebih buruk, dengan satu dari tiga tidak mengakui adanya segmentasi sama sekali.
Terakhir, organisasi harus menjauh dari model koneksi hub and spoke, di mana semuanya melalui satu pipa keamanan dan di mana pekerja rumahan terhubung kembali ke bisnis melalui VPN. Dalam ekosistem terhubung yang beragam saat ini, keamanan satu ukuran tidak berfungsi. Terlalu sering pengguna mencari tombol OFF pada VPN mereka untuk mengaktifkan layanan bisnis inti seperti konferensi. Dalam pekerjaan kapan saja di mana saja dengan segala sesuatu di dunia, keamanan cyber edge harus beradaptasi dengan kesadaran kontekstual, untuk memungkinkan keamanan yang tepat yang transparan bagi pengguna dan mengoptimalkan pengalaman, sehingga mereka tidak merasa perlu untuk menonaktifkannya.
Menerapkan tanpa kepercayaan
Untaian lain dari keamanan siber IoT yang diperkuat terletak di dalam perusahaan itu sendiri dan bagaimana perangkat IoT yang nakal diawasi dan dicegah agar tidak terhubung ke jaringan.
Organisasi harus menggunakan kebijakan akses yang paling tidak memiliki hak istimewa untuk menghentikan perangkat yang tidak sah terhubung ke jaringan mereka. Mereka seharusnya hanya mengizinkan perangkat dan pengguna yang disetujui untuk mengakses apa yang diperlukan. Memanfaatkan Zero Trust adalah cara terbaik untuk memastikan bahwa perangkat ini tidak akan menimbulkan paparan data atau berdampak negatif terhadap kelangsungan bisnis.
Khusus untuk keamanan IoT, organisasi memerlukan solusi pemantauan waktu nyata yang terus-menerus menganalisis perilaku perangkat IoT yang terhubung ke jaringan. Ini berusaha untuk mengetahui yang tidak diketahui, menemukan jumlah pasti perangkat yang terhubung ke jaringan Anda, termasuk yang Anda ketahui dan tidak Anda ketahui dan yang terlupakan. Inventaris aset IoT kemudian dapat memanfaatkan investasi firewall yang ada untuk secara otomatis merekomendasikan dan menegakkan kebijakan keamanan. Ini akan didasarkan pada tingkat risiko dan tingkat perilaku tidak tepercaya yang terdeteksi di perangkat tersebut. Solusi titik dapat memperluas jaringan perusahaan dan menghadirkan manajemen kebijakan keamanan terpadu dan secure access service edge (SASE) kepada karyawan WFH:ini adalah cara Anda mengaktifkan keamanan kontekstual.
Jangan menunggu solusi hukum
Pada akhirnya, risiko keamanan perangkat IoT apa pun dapat dikurangi dengan gelombang peraturan baru untuk membuat produsen dan distributor membangun keamanan yang lebih kuat sejak awal. Namun, undang-undang ini di UE dan negara-negara seperti Inggris, hanya pada tahap awal dan tidak mungkin memiliki dampak nyata selama beberapa tahun. Tanggung jawab untuk meningkatkan keamanan IoT akan berada di pundak karyawan dan organisasi mereka.
Mempertimbangkan pentingnya perangkat IoT bagi cara kita bekerja dan bermain, inilah saatnya bagi organisasi untuk mengubah cara mereka merespons keamanan siber secara tradisional dan menciptakan budaya kesehatan siber proaktif yang meluas dari c-suite hingga semua karyawan. Pergeseran ini akan memungkinkan investasi dan fokus pada praktik kebersihan dunia maya yang akan membantu menggagalkan serangan dunia maya dan mengurangi potensi dampak insiden dunia maya melalui bisnis yang tidak bersalah atau perangkat pribadi yang terhubung.
Penulisnya adalah Greg Day, VP dan CSO EMEA, Palo Alto Networks.
