Langsung ke konten utama

Threat landscape

Apa itu zero-day dan bagaimana cara bertahan menghadapinya?

Ringkasnya

Apa yang membuat sebuah kerentanan disebut zero-day, mengapa menambal saja tidak bisa menghentikannya, dan bagaimana deteksi serta respons membatasi kerusakan saat belum ada perbaikan.

Threat detection solutions

Sebuah kerentanan tidak menunggu patch. Ada rentang waktu, kadang beberapa hari, kadang berbulan-bulan, ketika celah pada perangkat lunak sudah diketahui penyerang tetapi belum diketahui vendor yang bisa memperbaikinya. Selama jendela itu, perangkat lunak berjalan persis seperti biasa, firewall Anda tidak melihat sesuatu yang aneh, dan antivirus Anda tidak punya signature untuk dicocokkan, karena serangan yang perlu dikenalinya belum pernah tercatat. Jeda antara sebuah celah menjadi bisa dipakai dan perbaikannya tersedia itulah yang membuat zero-day berbahaya, dan itu pula sebabnya nasihat umum untuk "tinggal tambal saja" kehabisan jalan.

Apa itu zero-day

Zero-day adalah kerentanan yang sedang dieksploitasi sebelum vendornya punya perbaikan untuknya. Namanya harfiah: vendor punya nol hari untuk menyiapkan patch saat serangan sudah dipakai. Karena celahnya belum diketahui atau belum ditangani, pertahanan yang bergantung pada pengenalan ancaman di awal, termasuk antivirus berbasis signature dan daftar blokir, tidak punya sesuatu untuk dicari.

Istilah ini kerap dipakai secara longgar, padahal perbedaannya penting saat Anda memutuskan cara merespons. Tiga hal yang saling terkait berjalan di bawah label "zero-day" yang sama.

IstilahArtinya
Kerentanan zero-dayCelah mendasar pada perangkat lunak yang belum diperbaiki vendor, dan sering kali belum diketahuinya
Eksploitasi zero-dayTeknik atau kode yang ditulis penyerang untuk memanfaatkan celah itu
Serangan zero-dayPenggunaan nyata eksploitasi itu terhadap target sungguhan selama belum ada patch

Kerentanan adalah kelemahannya, eksploitasi adalah alatnya, dan serangan adalah alat itu yang dipakai. Satu kerentanan bisa melahirkan banyak eksploitasi, dan begitu vendor merilis perbaikan, celah itu bukan lagi zero-day, meski sistem yang belum ditambal tetap terpapar selama tidak ditambal.

  1. 01

    Sebuah celah ada

    Perangkat lunak dirilis dengan cacat yang belum disadari siapa pun. Ia diam di sana, bisa dipakai tetapi belum ditemukan, selama waktu yang dibutuhkan seseorang untuk menemukannya.

  2. 02

    Penyerang menemukannya lebih dulu

    Peneliti yang melaporkannya secara bertanggung jawab memulai proses perbaikan. Penyerang yang menemukannya lebih dulu punya senjata yang belum ada pertahanan disetel untuk menangkapnya.

  3. 03

    Eksploitasi diam-diam

    Penyerang membangun eksploitasi dan memakainya secara selektif. Tidak ada patch untuk diterapkan dan tidak ada signature untuk dideteksi, sehingga penyusupan bisa berjalan tanpa terlihat.

  4. 04

    Pengumuman dan balapan patch

    Vendor mengetahui celahnya dan merilis perbaikan. Bahayanya tidak berhenti di situ: eksploitasi sering berlanjut terhadap sistem yang belum menerapkan patch.

Mengapa menambal saja tidak cukup

Menambal adalah kebiasaan yang benar, dan sebagian besar pelanggaran masih bermula dari celah yang sebenarnya sudah punya perbaikan namun tidak diterapkan. Namun zero-day justru didefinisikan oleh ketiadaan patch. Anda tidak bisa menambal apa yang belum ada patch-nya, sehingga selama jendela itu, disiplin yang paling sering melindungi Anda tidak menawarkan apa pun.

Ini mengubah arti pertahanan. Jika Anda tidak bisa mencegah eksploitasinya, tujuannya berubah menjadi menyadarinya dengan cepat dan mencegahnya mengubah satu mesin yang tersusupi menjadi insiden seluruh perusahaan. Pertahanan bergeser dari menahan penyerang di luar menjadi menangkapnya lebih awal dan menahannya begitu ia berada di dalam. Itu kapabilitas yang berbeda dari manajemen patch, dan itulah yang menentukan bagaimana sebuah zero-day berakhir.

Bagaimana deteksi dan respons membatasi kerusakan

Alasan deteksi bisa bekerja saat pencegahan tidak bisa adalah karena eksploitasi tetap harus melakukan sesuatu. Ia menjalankan kode, menaikkan hak akses, menghubungi server kendali, atau mulai memindahkan data. Signature menggambarkan ancaman yang pernah Anda lihat; deteksi berbasis perilaku mengawasi tindakan-tindakan itu terlepas dari apakah eksploitasi yang mendasarinya pernah tercatat. Itulah perbedaan inti antara antivirus tradisional dan deteksi endpoint modern, yang dibahas di antivirus vs EDR.

Deteksi hanyalah separuhnya. Alert yang tidak ditindaklanjuti tidak mengubah apa pun, sehingga sisi respons sama pentingnya: mengisolasi host yang terdampak, memutus akses penyerang, dan menyelidiki seberapa jauh ia menjangkau sebelum tertangkap. Platform yang lebih luas memperluas pandangan itu ke endpoint, jaringan, dan cloud sehingga satu anomali bisa ditelusuri melalui seluruh lingkungan, yang menjadi bahasan di EDR vs XDR. Benang merahnya adalah kecepatan. Zero-day yang dieksploitasi pukul dua dini hari hanya seburuk waktu yang dibutuhkan seseorang untuk menyadari dan menahannya, dan itu sebabnya sistem yang diawasi mengungguli yang tidak diawasi meski keduanya memakai alat yang sama.

Deteksi berbasis perilaku

EDR menandai apa yang dilakukan sebuah program, bukan sekadar wujudnya. Eksploitasi baru yang menjalankan perintah tak biasa atau menghubungi penyerang tetap memicu alert tanpa melibatkan signature.

Penahanan di dalam jendela

Begitu penyusupan terlihat, mengisolasi mesin yang terdampak mencegah satu host tersusupi menjadi insiden seluruh perusahaan selama perbaikan belum tersedia.

Tim yang mengawasi

Deteksi menghasilkan alert; orang menghasilkan hasil. Analis yang mengawasi sepanjang waktu itulah yang mengubah sinyal dini menjadi insiden yang tertahan, bukan yang terlewat.

Gambaran di Indonesia

Zero-day dipakai terhadap target di mana saja, dan organisasi Indonesia berada di garis tembak yang sama seperti yang lain. Keterpaparan jarang soal dijadikan target khusus. Ia berasal dari kenyataan biasa pada setiap infrastruktur: perangkat lunak yang belum ditambal, layanan yang terhubung ke internet, dan perangkat edge seperti gateway VPN, firewall, dan server email, yang menarik justru karena bisa dijangkau dari luar dan sering ditambal terlambat. Ketika zero-day pada salah satu produk itu diumumkan, sistem yang paling mungkin terkena adalah yang tetap terpapar karena tidak ada yang mengawasinya dengan cermat.

Bagi organisasi di sini, pertanyaan jujurnya bukan apakah zero-day bisa menjangkau Anda, melainkan seberapa cepat Anda tahu bila itu terjadi. Banyak yang beroperasi dengan tim keamanan ramping tanpa pengawasan sepanjang waktu, yang berarti penyusupan yang datang tanpa patch dan tanpa signature bisa berjalan lama sebelum ada yang menyadarinya. Itulah celah yang mengubah peristiwa yang bisa dikelola menjadi pelanggaran yang serius, dan menutupnya adalah soal kapabilitas deteksi, bukan soal geografi.

Posisi Alpha Code

Anda tidak bisa berjanji mencegah setiap zero-day, dan vendor mana pun yang mengklaim sebaliknya sedang menjual hal yang keliru. Yang bisa Anda lakukan adalah memperpendek jarak antara eksploitasi mendarat dan seseorang menghentikannya. SOC-as-a-Service Alpha Code menjalankan deteksi berbasis perilaku yang diawasi analis sepanjang waktu, sehingga eksploitasi tak dikenal yang mulai berperilaku buruk ditangkap dan ditahan alih-alih dibiarkan berjalan. Dipadukan dengan penilaian kerentanan rutin untuk menjaga permukaan serangan yang bisa ditambal tetap kecil, itulah pertahanan realistis terhadap ancaman yang, menurut definisinya, datang sebelum perbaikannya.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Sebuah serangan disebut zero-day ketika ia mengeksploitasi celah perangkat lunak yang belum diperbaiki oleh vendornya. Namanya berasal dari kenyataan bahwa vendor punya nol hari untuk menyiapkan patch. Karena belum ada perbaikan dan tidak ada signature yang menggambarkan serangan itu, pertahanan biasa yang mengandalkan pengenalan ancaman di awal tidak mengenalinya.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.