Di dunia keamanan siber, istilah “Patch Tuesday, exploit Wednesday” kini bukan cuma lelucon. Sekarang ini, ternyata musuh menggunakan pemecah kode berbasis LLM untuk mengurai patch, menemukan celah yang ada, mengembangkan exploit, dan langsung memindai internet untuk mencari target — semua ini hanya dalam waktu satu hari setelah patch dirilis. Lima bulan lalu, jangka waktu ini bahkan bisa mencapai empat hari.
Permasalahan ini bukanlah tentang metode serangan baru, melainkan kecepatan dalam memperbarui atau patching. Sangat sedikit organisasi yang mampu melakukan patch dalam waktu satu hari. CISA (Cybersecurity and Infrastructure Security Agency) memberikan waktu hingga 30 hari untuk organisasi besar di AS dalam mengatasi celah keamanan yang terhubung ke internet. Jika organisasi Anda menggunakan infrastruktur dari Fortinet, Ivanti, Cisco, atau Microsoft yang terhubung ke internet, pertanyaannya bukan apakah Anda akan diserang, tetapi kapan serangan itu akan datang.
Ini bukan sekadar prediksi. Ini adalah perhitungan sederhana.
Perlindungan Tak Cukup Menutupi Celah
Alasan mengapa organisasi perlu memiliki ketahanan adalah karena perlindungan yang ada sering gagal. Dan ini bukan sekali dua kali, tapi terjadi secara rutin. Tim keamanan tentunya akan bereaksi dengan meningkatkan perlindungan: EDR yang lebih baik, intelijen ancaman yang lebih canggih, dan siklus patch yang lebih cepat. Semua itu penting, tetapi kenyataannya, tidak ada satu pun dari itu yang cukup.
Seluruh insiden yang ditanggapi tim saya menunjukkan bahwa semua perusahaan yang datanya terenkripsi sudah memiliki solusi EDR terkini. Namun, itu tidak membantu.
Terdapat setidaknya delapan metode yang diketahui untuk menghindari alat EDR. Metode paling umum adalah dengan menyebarkan modul kernel yang rentan melalui exploit awal yang dengan mudah melewati batasan deteksi. Ini adalah skenario laporan standar, bukan kasus yang jarang terjadi.
Intelijen ancaman juga memiliki masalah struktural yang sama. Secara definisi, intelijen tentang perilaku musuh selalu terlambat. Bahkan strategi patching yang mengutamakan intelijen ancaman — di mana organisasi memprioritaskan celah yang berdasarkan pada aktivitas exploit yang sudah diketahui — tetap memiliki penundaan. Informasi sering kali datang setelah celah sudah terbuka.
AI juga mempercepat serangan di fenomena phishing, meskipun dengan cara berbeda. AI dapat menganalisis bagaimana individu menyusun email dan menghasilkan peniruan yang cukup meyakinkan untuk menipu rekan-rekannya.
Diskusi yang Harus Dimiliki Organisasi
Perusahaan perlu menerima kenyataan yang menggelisahkan: Serangan akan tetap terjadi, tidak peduli seberapa luar biasa tim keamanan yang dimiliki. Beberapa CISO masih menganut keyakinan sebaliknya. Mereka akan memberitahu dewan bahwa dengan anggaran dan tenaga kerja yang cukup, perusahaan dapat dilindungi. Namun, pelanggaran yang terjadi di perusahaan besar dengan dana melimpah menunjukkan bahwa anggapan tersebut tidak berdasarkan kenyataan.
Banyak pemimpin keamanan masih menghindari diskusi ini dengan bisnis. Padahal, seharusnya mereka memimpinnya. AI tidak memperkenalkan teknik serangan yang benar-benar baru. Ia justru mempercepat teknik yang sudah digunakan musuh. Apalagi jika perlindungan sudah gagal sebelum kehadiran AI, kasus untuk membangun ketahanan yang nyata semakin kuat.
Pemplanning keamanan yang matang dimulai tidak dengan bagaimana mencegah semua serangan, tetapi dengan menerima bahwa beberapa serangan pasti akan berhasil. Diskusi itu bergeser dari harapan yang tidak realistis untuk menutup semua celah menuju bagaimana kita dapat terus beroperasi ketika serangan itu terjadi.
Tiga langkah awal yang dapat diambil:
- Petakan layanan bisnis yang paling kritis beserta infrastruktur yang mendukungnya. Banyak organisasi yang menemukan celah yang tidak mereka sadari ada.
- Periksa apakah konfigurasi jaringan Anda sudah dicadangkan. Banyak organisasi yang tidak melakukannya.
- Simulasikan hilangnya Active Directory dan email perusahaan secara bersamaan. Hasil dari simulasi tersebut akan memberikan wawasan lebih tentang ketahanan Anda dibandingkan audit.
Baik exploit memakan waktu empat hari atau hanya satu hari untuk dikembangkan, strategi ketahanan tetap sama: identifikasi layanan yang paling penting sebelum krisis melanda, jaga agar tetap beroperasi meskipun dalam tekanan, dan bangun kembali kepercayaan di setiap level — jaringan, identitas, akses — sebelum menyatakan lingkungan sudah aman.
Ketika celah dieksploitasi dalam hitungan jam, bukan hari, keamanan bukan lagi sebatas pencegahan. Ini tentang seberapa cepat suatu organisasi dapat beroperasi meski sedang menghadapi kegagalan. Dalam dunia “exploit Wednesday,” ketahanan — bukan kecepatan — yang menentukan siapa yang tetap beroperasi.
