Month: June 2026

Kemajuan Artificial Intelligence (AI) telah membawa perubahan besar dalam dunia keamanan siber. Jika sebelumnya tim Security Operations Center (SOC) harus menginvestasikan waktu berjam-jam untuk menyelidiki insiden, mengumpulkan bukti, dan menjalankan tindakan mitigasi secara manual, kini AI mampu melakukan sebagian besar proses tersebut hanya dalam hitungan detik. Namun muncul pertanyaan penting: apakah setiap keputusan keamanan boleh dijalankan secara otomatis tanpa pengawasan manusia? Artikel Abnormal AI berjudul “Why Automated Response Needs a Safety Harness” memberikan pandangan yang menarik mengenai masa depan keamanan siber berbasis AI. Menurut Abnormal AI, tantangan terbesar bukan lagi apakah AI mampu membuat keputusan keamanan yang tepat, melainkan bagaimana organisasi memastikan keputusan tersebut tidak menimbulkan dampak yang lebih besar daripada ancaman yang ingin dihentikan. Era Baru: Dari Detection Menuju Autonomous Response Selama bertahun-tahun, keamanan siber berfokus pada kemampuan mendeteksi ancaman. Evolusinya dapat digambarkan sebagai berikut: Generasi Keamanan Fokus Utama Security Monitoring Mengumpulkan log dan alert Threat Detection Mengidentifikasi ancaman Automated Triage Mengurangi beban analis AI-Assisted Investigation Mempercepat analisis Autonomous Response Melakukan tindakan otomatis Saat ini banyak vendor keamanan mulai mengembangkan sistem yang tidak hanya mendeteksi ancaman, tetapi juga dapat mengambil tindakan secara otomatis seperti: Menonaktifkan akun pengguna. Memblokir akses aplikasi. Menghapus email berbahaya. Mengisolasi endpoint. Mengubah kebijakan akses. Mereset kredensial pengguna. Tujuannya jelas: memperpendek waktu respons dari jam atau hari menjadi menit bahkan detik. AI Bukan Lagi Tantangan Utama Menurut Abnormal AI, banyak orang beranggapan bahwa tantangan terbesar dalam automated response adalah kemampuan AI memahami ancaman. Kenyataannya justru berbeda. Model AI saat ini sudah cukup mampu untuk menerjemahkan sinyal insiden menjadi rekomendasi kebijakan keamanan seperti Conditional Access Policy, Risk-Based Authentication, atau kontrol akses lainnya. Tantangan sesungguhnya muncul setelah kebijakan tersebut akan diterapkan ke lingkungan produksi. Dengan kata lain: Membuat aturan otomatis relatif mudah. Menerapkannya secara aman adalah bagian yang sulit. Apa yang Bisa Salah? Bayangkan sistem AI mendeteksi aktivitas mencurigakan pada akun CFO perusahaan. AI kemudian secara otomatis: Menonaktifkan akun CFO. Memblokir akses Microsoft 365. Menghapus hak administratif. Menghentikan seluruh sesi login aktif. Secara teknis, tindakan tersebut mungkin benar jika akun benar-benar dikompromikan. Namun bagaimana jika ternyata itu adalah false positive? Akibatnya bisa sangat besar: Operasional bisnis terganggu. Keputusan penting tertunda. Tim eksekutif kehilangan akses. Produktivitas perusahaan menurun. Inilah alasan mengapa automated response memerlukan safety harness atau mekanisme pengaman. Empat Pilar Safety Harness Abnormal AI mengidentifikasi beberapa komponen penting yang harus ada sebelum organisasi mempercayakan tindakan keamanan kepada AI. 1. Validasi Sebelum Eksekusi Sebelum kebijakan diterapkan, sistem harus memverifikasi dampaknya terhadap lingkungan nyata. Misalnya: Siapa saja yang akan terpengaruh? Apakah ada pengguna sah yang akan terblokir? Apakah akses bisnis penting akan terganggu? Validasi harus dilakukan terhadap kondisi aktual organisasi, bukan hanya berdasarkan logika aturan yang dibuat AI. 2. Pembatasan Blast Radius Tidak semua tindakan memiliki tingkat risiko yang sama. Jenis Tindakan Tingkat Risiko Mengarantina email phishing Rendah Mereset password pengguna Sedang Menonaktifkan akun eksekutif Tinggi Mengubah kebijakan tenant global Sangat Tinggi Menghapus akses administrator Sangat Tinggi Semakin luas dampaknya, semakin besar kebutuhan akan persetujuan manusia sebelum tindakan dijalankan. 3. Rollback Otomatis Setiap keputusan otomatis harus memiliki mekanisme pembatalan. Jika sistem mendeteksi bahwa tindakan yang dilakukan menghasilkan banyak false positive, maka kebijakan tersebut harus dapat: Dicabut otomatis. Dikembalikan ke kondisi sebelumnya. Dibatalkan tanpa intervensi kompleks. Abnormal AI menekankan pentingnya Time-to-Live (TTL) dan self-revert mechanism pada setiap kontrol otomatis. Contoh Mekanisme Rollback Tindakan Rollback Password Reset Pemulihan akun Email Quarantine Restore email Account Disable Reactivate account Policy Block Remove policy Session Termination Re-authentication 4. Human Approval untuk Aksi Kritis Tidak semua keputusan boleh diserahkan sepenuhnya kepada AI. Beberapa tindakan harus tetap melibatkan manusia: Penetapan hak administrator. Penghapusan akun permanen. Perubahan kebijakan keamanan global. Break-glass access. Akses terhadap sistem kritis perusahaan. Abnormal AI menyebutkan bahwa kontrol dengan dampak besar harus tetap berada di bawah otorisasi manusia. Behavioral Baseline: Fondasi yang Sering Dilupakan Salah satu poin paling menarik dari artikel ini adalah pentingnya behavioral baseline. AI tidak dapat memutuskan apakah suatu aktivitas berbahaya tanpa mengetahui bagaimana perilaku normal pengguna tersebut. Contohnya: Aktivitas Normal atau Tidak? Login jam 22:00 Tergantung pengguna Download 500 file Tergantung peran Login dari luar negeri Tergantung kebiasaan Mengakses database produksi Tergantung jabatan Karena itu, sebelum otomatisasi diterapkan, organisasi harus memiliki pemahaman yang kuat mengenai perilaku normal setiap identitas. Abnormal AI menjelaskan bahwa baseline perilaku memungkinkan sistem melakukan simulasi terhadap aturan baru dan melihat siapa saja yang akan terdampak jika kebijakan tersebut diterapkan. Pendekatan Bertahap Lebih Aman Abnormal AI juga merekomendasikan pendekatan bertahap dalam implementasi automated response. Tahapan Maturitas AI Security Response Tahap Karakteristik Shadow Mode AI hanya memberikan rekomendasi Human Approval AI menyarankan, manusia menyetujui Limited Automation Otomatis untuk risiko rendah Autonomous Response Otomatis dengan guardrail Adaptive Autonomous Security AI menyesuaikan respons secara dinamis Pendekatan ini memungkinkan organisasi membangun kepercayaan terhadap AI secara bertahap tanpa mengorbankan stabilitas operasional. Relevansi bagi Perusahaan di Indonesia Banyak perusahaan di Indonesia saat ini sedang mengadopsi: Microsoft 365 Google Workspace Cloud-native workloads Identity Security AI-powered SOC Security Automation Dengan meningkatnya volume alert dan keterbatasan sumber daya keamanan, otomatisasi menjadi kebutuhan yang hampir tidak terhindarkan. Namun organisasi perlu menghindari kesalahan umum yaitu mengotomatiskan proses yang belum matang. Mengotomatisasi proses yang buruk hanya akan mempercepat munculnya masalah yang lebih besar. Karena itu, perusahaan sebaiknya memastikan: Data keamanan berkualitas tinggi. Baseline perilaku yang akurat. Proses incident response yang matang. Mekanisme rollback yang jelas. Pengawasan manusia pada keputusan kritis. Kesimpulan Masa depan keamanan siber memang mengarah pada autonomous response, di mana AI tidak hanya mendeteksi ancaman tetapi juga mengambil tindakan secara otomatis. Keuntungan utamanya sangat besar: respons lebih cepat, beban SOC berkurang, dan risiko serangan dapat ditekan sebelum berkembang menjadi insiden besar. Namun kemampuan mengambil tindakan bukanlah satu-satunya ukuran keberhasilan. Yang lebih penting adalah memastikan tindakan tersebut aman, dapat dipertanggungjawabkan, dan mudah dibatalkan ketika terjadi kesalahan. Inilah yang dimaksud dengan safety harness—lapisan pengaman yang memastikan AI tidak hanya bertindak cepat, tetapi juga bertindak dengan tepat. Bagi organisasi modern, tujuan akhirnya bukan sekadar membangun SOC yang otomatis, melainkan membangun SOC yang cerdas, terkendali, dan dapat dipercaya. Dalam dunia keamanan siber, kecepatan memang penting, tetapi kontrol tetap menjadi fondasi utama. Abnormal Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia,…

Setiap tahun, laporan Verizon Data Breach Investigations Report (DBIR) menjadi salah satu referensi utama bagi para CISO, praktisi keamanan siber, dan pengambil keputusan TI di seluruh dunia. Edisi 2026 menjadi sangat menarik karena menunjukkan perubahan besar dalam pola serangan siber global. Untuk pertama kalinya dalam 19 tahun sejarah laporan tersebut, eksploitasi kerentanan berhasil menggeser pencurian kredensial sebagai metode utama yang digunakan penyerang untuk memperoleh akses awal ke organisasi. Artikel Abnormal AI yang membahas Verizon 2026 DBIR Key Takeaways menyoroti bagaimana kombinasi AI, eksploitasi kerentanan, risiko pihak ketiga, dan identitas digital telah mengubah lanskap ancaman secara fundamental. Organisasi tidak lagi dapat mengandalkan pendekatan keamanan tradisional yang hanya berfokus pada perimeter atau perlindungan endpoint. Kini, kecepatan deteksi dan respons menjadi faktor penentu keberhasilan pertahanan siber. Gambaran Umum Verizon DBIR 2026 Verizon menganalisis lebih dari 31.000 insiden keamanan dan lebih dari 22.000 pelanggaran data yang terkonfirmasi dari berbagai industri dan 145 negara. Temuan tersebut memberikan gambaran yang sangat jelas mengenai arah evolusi serangan siber saat ini Statistik Utama Verizon DBIR 2026 Temuan Nilai Eksploitasi kerentanan sebagai initial access 31% Keterlibatan pihak ketiga dalam pelanggaran 48% Kenaikan third-party breaches 60% YoY Pengguna AI reguler di lingkungan kerja 45% Penggunaan Shadow AI 67% Keberhasilan phishing berbasis mobile dibanding email 40% lebih tinggi Remediasi KEV yang berhasil diselesaikan 26% Median waktu patching 43 hari 1. Kerentanan Kini Menjadi Pintu Masuk Utama Serangan Salah satu perubahan paling signifikan adalah bergesernya metode akses awal penyerang. Selama bertahun-tahun, pencurian username dan password mendominasi sebagian besar pelanggaran data. Namun kini eksploitasi kerentanan menempati posisi pertama dengan kontribusi 31% dari seluruh insiden. AI mempercepat proses identifikasi dan eksploitasi kerentanan sehingga waktu yang tersedia bagi tim keamanan untuk melakukan patching menjadi semakin pendek. Perbandingan Initial Access Vector Metode Status 2025-2026 Vulnerability Exploitation Naik tajam Credential Abuse Turun Phishing Stabil Social Engineering Tetap tinggi Third-Party Access Meningkat Organisasi kini harus memprioritaskan Exposure Management dan Continuous Vulnerability Assessment dibandingkan hanya mengandalkan patching berkala. 2. Kecepatan Penyerang Mengalahkan Kecepatan Patching DBIR menunjukkan fakta yang mengkhawatirkan: hanya sekitar 26% Known Exploited Vulnerabilities (KEV) yang berhasil diremediasi sepenuhnya sepanjang tahun. Sementara itu, median waktu perbaikan meningkat menjadi 43 hari. Gap yang Semakin Melebar Faktor Kondisi Saat Ini Waktu eksploitasi Jam hingga hari Waktu patching Puluhan hari Jumlah kerentanan Terus meningkat Kemampuan tim keamanan Terbatas Kondisi ini menciptakan apa yang disebut banyak analis sebagai Remediation Gap, yaitu kesenjangan antara kecepatan serangan dan kecepatan perbaikan. 3. Third-Party Risk Menjadi Ancaman yang Sulit Dikendalikan Salah satu temuan paling mengejutkan adalah meningkatnya pelanggaran yang melibatkan pihak ketiga hingga 48% dari seluruh breach yang dianalisis. Angka ini naik sekitar 60% dibanding tahun sebelumnya. Saat ini perusahaan tidak hanya harus mengamankan sistem internal, tetapi juga: Vendor software Cloud provider SaaS provider Konsultan eksternal Mitra integrasi API partner Bentuk Third-Party Breach Tipe Risiko Contoh Vendor Software Kerentanan produk pihak ketiga Hosted Data Provider Kebocoran data cloud provider Connected Vendor Vendor menjadi jalur masuk lateral movement OAuth Integrations Penyalahgunaan token akses Temuan ini memperkuat pentingnya Zero Trust dan Third-Party Risk Management dalam strategi keamanan modern. 4. Shadow AI Menjadi Ancaman Baru dari Dalam Organisasi Adopsi AI meningkat sangat cepat. DBIR menemukan bahwa 45% karyawan secara aktif menggunakan AI dalam pekerjaan mereka, sementara 67% mengakses layanan AI menggunakan akun non-perusahaan. Fenomena ini melahirkan risiko baru yang disebut Shadow AI. Risiko Shadow AI Risiko Dampak Upload source code Kebocoran IP Upload dokumen internal Data exposure Penggunaan akun pribadi Hilangnya kontrol perusahaan Browser AI Extension Pengumpulan data sensitif Prompt berisi data pelanggan Pelanggaran regulasi Menurut DBIR, Shadow AI kini menjadi salah satu penyebab utama pelanggaran data non-malicious yang berasal dari internal organisasi. 5. Mobile Social Engineering Lebih Efektif daripada Email Kesadaran pengguna terhadap email phishing mulai meningkat. Akibatnya, penyerang mulai mengalihkan fokus ke perangkat mobile. DBIR menunjukkan bahwa serangan berbasis SMS dan voice phishing memiliki tingkat keberhasilan sekitar 40% lebih tinggi dibandingkan phishing email tradisional. Evolusi Teknik Social Engineering Teknik Efektivitas Email Phishing Menurun SMS Phishing (Smishing) Meningkat Voice Phishing (Vishing) Meningkat Pretexting Sangat efektif Mobile-Based Attacks Sangat tinggi Hal ini menunjukkan bahwa perlindungan email saja tidak lagi cukup untuk menghadapi ancaman modern. 6. AI Tidak Menciptakan Serangan Baru, Tetapi Mempercepat Semuanya Salah satu kesimpulan menarik dari DBIR adalah bahwa AI belum menciptakan banyak teknik serangan baru. Sebaliknya, AI digunakan untuk mempercepat dan memperbesar skala serangan yang sudah ada. Penyerang menggunakan AI untuk: Menulis malware Mengembangkan exploit Menulis email phishing Melakukan reconnaissance Membersihkan jejak serangan Mengotomatisasi kampanye serangan Dampak AI terhadap Siklus Serangan Aktivitas Sebelum AI Dengan AI Vulnerability Discovery Minggu Jam Malware Development Hari Menit Reconnaissance Manual Otomatis Phishing Campaign Terbatas Massal Exploit Generation Lambat Sangat cepat Akibatnya, organisasi harus mulai mengadopsi pendekatan keamanan yang lebih adaptif dan otomatis untuk menghadapi ancaman yang bergerak dengan kecepatan mesin. Kesimpulan Verizon DBIR 2026 mengirimkan pesan yang sangat jelas: ancaman siber bergerak lebih cepat daripada kemampuan banyak organisasi untuk meresponsnya. Untuk pertama kalinya, eksploitasi kerentanan menjadi metode akses utama, third-party risk mencapai hampir setengah dari seluruh pelanggaran, dan Shadow AI menciptakan risiko baru yang sebelumnya tidak pernah diperhitungkan. Bagi para CISO dan tim keamanan, fokus tidak lagi cukup pada perlindungan perimeter, antivirus, atau sekadar kepatuhan regulasi. Prioritas baru harus mencakup visibilitas menyeluruh terhadap aset, percepatan patch management, pengelolaan identitas modern, kontrol terhadap penggunaan AI, serta pemantauan risiko pihak ketiga secara berkelanjutan. Dalam dunia yang semakin dipercepat oleh AI, organisasi yang mampu mendeteksi, memprioritaskan, dan merespons ancaman lebih cepat daripada penyerang akan menjadi pihak yang bertahan. Mereka yang masih mengandalkan pendekatan keamanan reaktif berisiko tertinggal dalam perlombaan yang kini berlangsung dalam hitungan jam, bukan lagi minggu atau bulan. Abnormal Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Abnormal. Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.

Selama bertahun-tahun, strategi keamanan siber berfokus pada perlindungan identitas manusia. Organisasi menerapkan Multi-Factor Authentication (MFA), Single Sign-On (SSO), Privileged Access Management (PAM), hingga berbagai solusi Identity Threat Detection and Response (ITDR) untuk melindungi akun karyawan. Namun lanskap ancaman telah berubah secara signifikan. Saat ini, perusahaan modern memiliki jumlah identitas non-manusia (Non-Human Identities/NHI) yang jauh lebih banyak dibandingkan identitas manusia. Service account, API key, OAuth token, workload identity, container identity, hingga AI agent kini menjadi tulang punggung operasional cloud dan otomatisasi digital. Sayangnya, identitas-identitas ini juga menjadi target baru bagi penyerang. Artikel Abnormal AI “The Identity Attack Nobody Sees Coming: Lateral Movement via NHI” menyoroti bagaimana penyerang tidak lagi harus mencuri akun administrator untuk menyebarkan serangan. Sebaliknya, mereka cukup menemukan satu NHI yang memiliki akses luas untuk bergerak secara lateral ke berbagai sistem tanpa memicu alarm keamanan tradisional. Konsep ini menjadi salah satu ancaman identitas paling berbahaya di era cloud dan AI saat ini. Apa Itu Non-Human Identity (NHI)? Secara sederhana, NHI adalah identitas digital yang digunakan oleh aplikasi, layanan, sistem otomatis, atau mesin untuk saling berkomunikasi dan mengakses sumber daya. Contohnya meliputi: Service accounts API keys OAuth tokens Kubernetes workload identities Cloud service identities CI/CD pipeline credentials AI agents dan autonomous systems Berbeda dengan akun manusia, NHI sering bekerja 24 jam sehari tanpa interaksi pengguna. Karena sifatnya yang otomatis, banyak organisasi memberikan hak akses yang lebih luas daripada yang sebenarnya diperlukan. Kondisi inilah yang sering dimanfaatkan penyerang. Contoh Non-Human Identities di Lingkungan Modern Jenis NHI Fungsi Service Account Menjalankan aplikasi dan layanan API Key Menghubungkan aplikasi OAuth Token Otorisasi layanan cloud Container Identity Akses workload Kubernetes CI/CD Credential Deployment otomatis AI Agent Identity Menjalankan tugas berbasis AI Memahami Lateral Movement Melalui NHI Dalam serangan tradisional, penyerang biasanya: Mengkompromikan endpoint. Mencuri kredensial pengguna. Meningkatkan hak akses. Bergerak ke sistem lain. Namun pada lingkungan cloud modern, jalurnya jauh lebih sederhana. Setelah memperoleh satu API key atau service account yang valid, penyerang dapat menggunakan hubungan kepercayaan (trusted relationships) yang sudah ada antar sistem untuk berpindah dari satu layanan ke layanan lain. Aktivitas tersebut sering kali terlihat sebagai komunikasi normal antar aplikasi. Siklus Serangan NHI-Based Lateral Movement Tahap Aktivitas Penyerang Initial Access Mengompromikan aplikasi atau workload Credential Discovery Mencari token atau API key Permission Enumeration Memetakan hak akses Lateral Pivot Mengakses sistem lain menggunakan NHI Privilege Expansion Mengambil akses yang lebih tinggi Data Access Mengakses data sensitif Persistence Mempertahankan akses jangka panjang Yang membuat serangan ini berbahaya adalah seluruh aktivitas menggunakan kredensial yang sah dan dipercaya oleh sistem. Mengapa Sulit Dideteksi? Sebagian besar solusi keamanan masih berfokus pada aktivitas pengguna manusia. Ketika seorang karyawan login dari lokasi yang tidak biasa, sistem akan memberikan peringatan. Namun ketika sebuah service account mengakses database atau API yang memang biasa diaksesnya, aktivitas tersebut dianggap normal. Masalahnya, penyerang juga dapat menggunakan identitas yang sama. Aktivitas yang Tampak Normal tetapi Berbahaya Aktivitas Terlihat Sah? Service account mengakses database Ya API key menghubungi layanan cloud Ya Token OAuth mengakses SaaS Ya Workload berpindah antar service Ya AI agent menggunakan tool internal Ya Karena semua aktivitas tersebut menggunakan jalur komunikasi resmi, firewall dan solusi keamanan tradisional sering kali gagal membedakan antara operasi normal dan aktivitas penyerang. Cloud dan AI Memperbesar Risiko Pertumbuhan cloud-native architecture dan AI agents memperluas permukaan serangan secara signifikan. Dalam lingkungan modern: Satu aplikasi dapat menggunakan puluhan API. Satu workload dapat memiliki beberapa token akses. AI agent dapat mengakses berbagai sistem secara otomatis. Satu NHI dapat memiliki hubungan kepercayaan dengan banyak layanan lain. Setiap hubungan tersebut berpotensi menjadi jalur lateral movement baru jika tidak dikendalikan dengan baik. Bahkan penelitian keamanan terbaru menunjukkan bahwa AI agent dapat melakukan perpindahan lateral menggunakan akses yang memang diberikan kepadanya tanpa memicu kontrol keamanan tradisional. Faktor yang Memperbesar Risiko NHI Faktor Dampak Overprivileged Accounts Hak akses terlalu luas Static Credentials Token berlaku terlalu lama Orphaned Identities Identitas tidak terkelola API Sprawl Terlalu banyak integrasi AI Agent Autonomy Akses lintas sistem otomatis Poor Visibility Sulit memetakan hubungan akses Mengapa Least Privilege Menjadi Sangat Penting? Mayoritas serangan lateral movement berhasil bukan karena adanya kerentanan teknis, melainkan karena hak akses yang terlalu luas. Misalnya: Service account untuk monitoring memiliki akses database produksi. API key pengujian masih aktif di lingkungan produksi. Workload cloud dapat mengakses layanan yang tidak berkaitan dengan tugasnya. Jika satu identitas dikompromikan, seluruh rantai akses tersebut dapat digunakan oleh penyerang untuk memperluas jangkauan serangan. Prinsip Pertahanan Modern Kontrol Tujuan Least Privilege Membatasi hak akses Zero Trust Memverifikasi setiap koneksi Identity Governance Mengelola seluruh identitas NHI Discovery Menemukan seluruh NHI Credential Rotation Mengurangi risiko token bocor Behavioral Analytics Mendeteksi penyimpangan aktivitas Continuous Monitoring Mengawasi aktivitas secara real-time Dari Identity Security Menuju Identity Behavior Security Salah satu pesan utama dari pendekatan Abnormal AI adalah bahwa organisasi tidak cukup hanya mengetahui identitas apa yang ada di lingkungan mereka. Mereka juga harus memahami bagaimana identitas tersebut berperilaku. Misalnya: Service account biasanya mengakses tiga aplikasi tertentu. API key hanya digunakan pada jam deployment. AI agent hanya berinteraksi dengan tool tertentu. Ketika pola tersebut berubah secara drastis, sistem dapat mendeteksi kemungkinan kompromi meskipun kredensial yang digunakan masih valid. Pendekatan berbasis perilaku inilah yang semakin penting dalam menghadapi serangan lateral movement modern. Relevansi bagi Perusahaan di Indonesia Perusahaan di Indonesia saat ini semakin mengandalkan: Microsoft Azure Amazon Web Services (AWS) Google Cloud Platform (GCP) Kubernetes SaaS Business Applications AI dan automation platform Setiap teknologi tersebut menciptakan ratusan hingga ribuan NHI yang harus dikelola. Tanpa visibilitas yang memadai, organisasi dapat memiliki jalur akses tersembunyi yang memungkinkan penyerang berpindah dari satu sistem ke sistem lain tanpa terdeteksi. Karena itu, strategi keamanan modern harus memperlakukan NHI sebagai aset kritis yang setara dengan akun administrator manusia. Kesimpulan Lateral movement tidak lagi hanya terjadi melalui akun pengguna yang dicuri. Di era cloud, otomatisasi, dan AI, Non-Human Identities telah menjadi target yang jauh lebih menarik bagi penyerang karena sering kali memiliki akses luas, kredensial jangka panjang, dan pengawasan yang lebih rendah. Ketika satu service account, API key, atau token berhasil dikompromikan, penyerang dapat memanfaatkan hubungan kepercayaan antar sistem untuk bergerak secara diam-diam menuju aset yang lebih bernilai….

Banyak perusahaan menginvestasikan waktu dan biaya yang besar untuk proses rekrutmen. Mulai dari verifikasi identitas, pemeriksaan riwayat pekerjaan, validasi referensi, hingga background check dilakukan untuk memastikan bahwa kandidat yang diterima dapat dipercaya. Namun, sebuah pertanyaan penting muncul: apakah seseorang yang lolos background check pasti tidak akan menjadi ancaman bagi perusahaan? Artikel Abnormal AI berjudul “The Insider Threat That Passed the Background Check” mengangkat realitas baru dalam dunia keamanan siber. Ancaman tidak selalu datang dari peretas eksternal yang mencoba membobol sistem dari luar. Dalam banyak kasus, risiko terbesar justru berasal dari individu yang telah memiliki akses sah ke lingkungan perusahaan, baik sebagai karyawan, kontraktor, vendor, maupun pihak ketiga yang dipercaya organisasi. Di era cloud, SaaS, dan kerja jarak jauh, insider threat berkembang menjadi salah satu tantangan keamanan paling kompleks karena pelakunya sering kali menggunakan kredensial dan akses yang valid, sehingga aktivitas mereka terlihat normal di mata sistem keamanan tradisional. Evolusi Insider Threat di Era Digital Dahulu insider threat identik dengan karyawan yang secara sengaja mencuri data perusahaan. Kini definisinya jauh lebih luas. Ancaman internal dapat berasal dari: Karyawan yang tidak puas. Pegawai yang akan resign. Kontraktor dengan akses berlebihan. Vendor pihak ketiga. Akun yang telah dikompromikan penyerang. Identitas palsu yang berhasil masuk ke organisasi. Remote worker yang menyembunyikan identitas sebenarnya. Jenis Insider Threat Modern Jenis Ancaman Karakteristik Malicious Insider Sengaja mencuri atau menyalahgunakan data Negligent Insider Melakukan kesalahan yang membuka risiko Compromised Insider Akun diambil alih pihak luar Third-Party Insider Vendor atau kontraktor dengan akses internal False Identity Insider Individu yang masuk menggunakan identitas palsu Yang menarik, sebagian besar individu tersebut dapat saja melewati proses rekrutmen dan pemeriksaan latar belakang tanpa menimbulkan kecurigaan. Risiko baru muncul setelah mereka memperoleh akses ke sistem perusahaan. Mengapa Background Check Memiliki Keterbatasan? Background check pada dasarnya bersifat historis. Proses ini memeriksa apa yang telah dilakukan seseorang di masa lalu. Namun keamanan modern membutuhkan kemampuan untuk menjawab pertanyaan yang berbeda: Apa yang sedang dilakukan pengguna saat ini? Perbedaan ini sangat penting karena: Background Check Behavioral Monitoring Berfokus pada masa lalu Berfokus pada aktivitas saat ini Dilakukan sebelum bekerja Berjalan secara berkelanjutan Mengukur reputasi Mengukur perilaku Bersifat statis Bersifat dinamis Tidak mendeteksi perubahan perilaku Dapat mendeteksi anomali secara real-time Seseorang yang memiliki riwayat bersih saat direkrut belum tentu tidak akan melakukan tindakan berisiko enam bulan atau dua tahun kemudian. Faktor ekonomi, tekanan pekerjaan, konflik internal, maupun kompromi akun dapat mengubah profil risiko seseorang secara drastis. Ancaman yang Sulit Terlihat oleh Sistem Tradisional Salah satu alasan insider threat sangat berbahaya adalah karena pelaku menggunakan akses yang memang diberikan oleh perusahaan. Misalnya: Mengakses file menggunakan akun resmi. Mengunduh dokumen menggunakan laptop perusahaan. Mengirim email dari mailbox yang sah. Membuka aplikasi yang memang digunakan setiap hari. Bagi firewall, antivirus, maupun sistem autentikasi tradisional, aktivitas tersebut tampak legal. Tidak ada malware, tidak ada eksploitasi kerentanan, dan tidak ada login mencurigakan. Aktivitas yang Tampak Normal Tetapi Berisiko Aktivitas Terlihat Normal? Berpotensi Berbahaya? Download ribuan file sekaligus Ya Ya Mengakses data sensitif di luar jam kerja Ya Ya Forward email ke akun pribadi Ya Ya Membuat mailbox rule baru Ya Ya Mengakses sistem yang tidak biasa digunakan Ya Ya Karena itulah banyak organisasi mulai mengadopsi pendekatan keamanan berbasis perilaku (behavior-based security) untuk melengkapi kontrol keamanan tradisional. Behavioral AI: Mendeteksi Risiko yang Tidak Terlihat Abnormal AI menekankan pentingnya memahami perilaku normal setiap pengguna sebelum dapat mendeteksi ancaman internal secara efektif. Pendekatan ini bekerja dengan membangun baseline terhadap: Pola login pengguna. Jam kerja normal. Lokasi akses yang biasa digunakan. Aplikasi yang sering diakses. Pola komunikasi email. Volume transfer data. Interaksi dengan vendor dan pihak eksternal. Ketika terjadi penyimpangan signifikan, sistem dapat memberikan peringatan meskipun pengguna masih menggunakan kredensial yang valid. Contoh Deteksi Berbasis Perilaku Perilaku Normal Anomali yang Terdeteksi Login dari Jakarta Login mendadak dari negara lain Download 20 file/hari Download 2.000 file dalam satu jam Email ke vendor tetap Email ke domain yang belum pernah digunakan Aktivitas jam kerja Aktivitas intensif tengah malam Akses satu departemen Akses lintas sistem yang tidak biasa Pendekatan ini membantu organisasi mendeteksi ancaman yang tidak dapat diidentifikasi melalui pemeriksaan identitas semata. Kasus Baru: Ancaman dari Identitas yang Tampak Sah Salah satu tren yang mulai mendapat perhatian global adalah penggunaan identitas palsu untuk mendapatkan pekerjaan remote di perusahaan teknologi. Dalam beberapa kasus yang diteliti industri keamanan, pelaku berhasil: Membuat identitas profesional yang meyakinkan. Lolos proses wawancara. Mendapatkan laptop perusahaan. Memperoleh akses resmi ke sistem internal. Secara administratif mereka adalah karyawan yang sah. Namun tujuan sebenarnya bisa berupa pencurian data, pengumpulan informasi strategis, atau aktivitas spionase digital. Ancaman seperti ini hampir mustahil dicegah hanya melalui pemeriksaan latar belakang tradisional. Strategi Modern Menghadapi Insider Threat Perusahaan perlu menggeser paradigma dari trust once, trust forever menjadi continuous verification. Kerangka Perlindungan Insider Threat Modern Lapisan Keamanan Fungsi Background Check Verifikasi sebelum perekrutan Identity Management Pengelolaan akses pengguna MFA Penguatan autentikasi Least Privilege Access Membatasi hak akses Behavioral Analytics Mendeteksi anomali Insider Threat Monitoring Mengawasi aktivitas berisiko Incident Response Merespons ancaman dengan cepat Model ini memungkinkan organisasi tidak hanya mengetahui siapa yang memiliki akses, tetapi juga memahami bagaimana akses tersebut digunakan setiap hari. Relevansi bagi Perusahaan di Indonesia Seiring meningkatnya penggunaan Microsoft 365, Google Workspace, layanan cloud, dan sistem kerja hybrid, risiko insider threat juga meningkat di Indonesia. Perusahaan kini mengelola: Data pelanggan. Informasi keuangan. Rahasia dagang. Dokumen strategis. Data operasional. Seluruh aset tersebut dapat diakses oleh ribuan identitas digital setiap hari. Oleh karena itu, organisasi perlu melengkapi proses HR dan governance dengan kemampuan pemantauan perilaku yang berkelanjutan. Kesimpulan Background check tetap merupakan komponen penting dalam proses perekrutan dan manajemen risiko. Namun di era digital modern, pemeriksaan latar belakang hanyalah langkah awal, bukan garis akhir keamanan. Ancaman internal saat ini tidak selalu berasal dari individu dengan riwayat buruk. Bahkan karyawan yang tampak ideal dan lolos seluruh proses seleksi dapat menjadi sumber risiko melalui kesalahan, penyalahgunaan akses, kompromi akun, atau perubahan perilaku yang tidak terduga. Karena itu, organisasi perlu menggabungkan kontrol identitas, prinsip least privilege, serta analitik berbasis perilaku untuk memperoleh visibilitas yang lebih dalam terhadap aktivitas pengguna. Di dunia keamanan siber modern, pertanyaan yang…

Dalam beberapa tahun terakhir, Identity Security Posture Management (ISPM) menjadi salah satu kategori keamanan siber yang berkembang paling pesat. Banyak organisasi berinvestasi besar untuk memperkuat identitas digital, menghilangkan akun berisiko, menerapkan Multi-Factor Authentication (MFA), serta mengurangi hak akses yang berlebihan. Secara teori, langkah-langkah tersebut seharusnya mampu menurunkan risiko serangan siber secara signifikan. Namun kenyataannya, berbagai insiden kebocoran data besar masih terus terjadi. Bahkan perusahaan yang telah menerapkan praktik keamanan identitas terbaik tetap menjadi korban kompromi akun, Business Email Compromise (BEC), phishing canggih, hingga pencurian data internal. Artikel Abnormal AI berjudul “ISPM Stops Where the Breach Starts” menyoroti fakta penting bahwa ISPM memang mampu memperbaiki postur keamanan identitas, tetapi tidak dirancang untuk menghentikan serangan yang sedang berlangsung. Dengan kata lain, ISPM membantu mengurangi risiko sebelum serangan terjadi, tetapi ketika penyerang berhasil memperoleh akses yang sah, organisasi membutuhkan lapisan pertahanan lain yang mampu mendeteksi perilaku mencurigakan secara real-time. Evolusi Serangan Siber Berbasis Identitas Dulu, penyerang berusaha menembus firewall atau mengeksploitasi kerentanan sistem. Kini pendekatannya jauh lebih sederhana: mencuri identitas pengguna. Menurut berbagai studi keamanan identitas, sebagian besar pelanggaran data modern melibatkan kredensial yang dicuri, penyalahgunaan hak akses, atau eskalasi privilese. Identitas telah menjadi perimeter keamanan baru di era cloud dan SaaS. Pergeseran Fokus Serangan Era Keamanan Target Utama Penyerang Infrastruktur Tradisional Server dan jaringan Era Cloud Awal Aplikasi dan workload Era SaaS Modern Identitas pengguna Era AI dan Otomasi Human & Non-Human Identities Masa Kini Perilaku dan kepercayaan pengguna Karena itulah banyak organisasi mulai mengadopsi ISPM untuk memperoleh visibilitas terhadap identitas manusia maupun non-manusia (machine identities) yang tersebar di berbagai platform cloud dan SaaS. Apa yang Sebenarnya Dilakukan ISPM? Secara sederhana, ISPM bertugas mengidentifikasi kelemahan dalam pengelolaan identitas sebelum kelemahan tersebut dimanfaatkan oleh penyerang. Kemampuan utama ISPM meliputi: Menemukan akun yang tidak digunakan. Mengidentifikasi hak akses berlebihan. Memastikan MFA diterapkan. Menemukan akun dengan privilese tinggi. Mengawasi perubahan konfigurasi identitas. Mengurangi risiko credential sprawl. Memberikan skor risiko identitas. Fungsi Utama ISPM Area Manfaat Discovery Menemukan seluruh identitas digital Risk Assessment Mengukur tingkat risiko akses Governance Memastikan kebijakan akses diterapkan Compliance Mendukung audit dan regulasi Remediation Mengurangi eksposur risiko Dengan kemampuan tersebut, ISPM sangat efektif untuk memperbaiki “kondisi kesehatan” lingkungan identitas organisasi. Namun ada satu keterbatasan mendasar. Di Mana ISPM Berhenti? ISPM berfokus pada siapa yang memiliki akses dan apakah akses tersebut seharusnya dimiliki. Tetapi ketika akun yang sah digunakan oleh pihak yang tidak sah, situasinya berubah. Misalnya: Karyawan tertipu phishing dan menyerahkan kredensial. Akun Microsoft 365 berhasil diambil alih. Token OAuth dicuri. Penyerang menggunakan sesi login yang valid. Akun internal digunakan untuk mengirim email berbahaya. Dalam skenario tersebut, konfigurasi identitas mungkin terlihat sempurna. MFA aktif, hak akses sudah dibatasi, dan tidak ada misconfiguration yang terdeteksi. Namun serangan tetap berlangsung menggunakan identitas yang sah. Inilah yang dimaksud Abnormal AI ketika menyatakan bahwa ISPM berhenti tepat di titik ketika pelanggaran keamanan dimulai. Mengapa Serangan Modern Sulit Dideteksi? Penyerang modern tidak selalu meninggalkan indikator teknis yang mencurigakan. Sebaliknya, mereka berusaha terlihat seperti pengguna normal. Contohnya: Aktivitas Penyerang Terlihat Normal? Login menggunakan akun sah Ya Mengirim email dari mailbox asli Ya Mengakses aplikasi yang biasa digunakan korban Ya Menggunakan browser umum Ya Memanfaatkan sesi autentikasi aktif Ya Karena aktivitas tersebut tampak legal, sistem keamanan tradisional sering gagal membedakan antara pengguna asli dan penyerang. Dari Identity Security Menuju Behavioral Security Untuk mengatasi masalah tersebut, pendekatan keamanan mulai bergeser menuju Behavioral AI. Alih-alih hanya memeriksa identitas, sistem menganalisis perilaku pengguna secara menyeluruh: Siapa yang biasanya dihubungi? Jam berapa pengguna bekerja? Lokasi login yang umum digunakan? Pola komunikasi email seperti apa yang biasa terjadi? Aplikasi apa yang sering diakses? Ketika terjadi penyimpangan signifikan, sistem dapat mendeteksi adanya kompromi meskipun kredensial yang digunakan valid. Perbandingan Pendekatan Aspek ISPM Behavioral AI Security Fokus Konfigurasi identitas Aktivitas identitas Waktu Deteksi Sebelum serangan Saat serangan berlangsung Deteksi Misconfiguration Sangat baik Terbatas Deteksi Account Takeover Terbatas Sangat baik Deteksi BEC Terbatas Sangat baik Analisis Konteks Rendah Tinggi Pendekatan Keamanan yang Lebih Lengkap Organisasi modern tidak lagi dapat mengandalkan satu teknologi saja. Keamanan identitas memerlukan pendekatan berlapis. Strategi Modern Identity Defense Lapisan Tujuan IAM Mengelola identitas MFA Memperkuat autentikasi ISPM Mengurangi risiko identitas ITDR Mendeteksi ancaman identitas Behavioral AI Mengidentifikasi perilaku abnormal Incident Response Menghentikan serangan aktif Pendekatan berlapis ini memungkinkan organisasi tidak hanya memperbaiki postur keamanan, tetapi juga menghentikan serangan yang berhasil melewati lapisan pencegahan awal. Relevansi bagi Perusahaan di Indonesia Banyak organisasi di Indonesia saat ini sedang menjalankan transformasi digital melalui Microsoft 365, Google Workspace, cloud computing, serta berbagai aplikasi SaaS. Di saat yang sama, jumlah identitas digital meningkat drastis, termasuk akun pengguna, service account, API key, hingga AI agent. Tantangan terbesar bukan lagi sekadar mengelola akses, melainkan memahami bagaimana identitas tersebut digunakan setiap hari. Organisasi yang hanya berfokus pada governance dan compliance berisiko melewatkan serangan yang memanfaatkan kredensial sah. Karena itu, investasi pada ISPM sebaiknya dipandang sebagai fondasi keamanan identitas, bukan tujuan akhir. Lapisan deteksi berbasis perilaku dan respons otomatis perlu hadir untuk menutup celah yang tidak dapat dijangkau oleh ISPM. Kesimpulan ISPM merupakan langkah penting dalam membangun keamanan identitas modern. Teknologi ini membantu organisasi menemukan kelemahan akses, mengurangi hak istimewa berlebihan, dan memperkuat tata kelola identitas secara menyeluruh. Namun ISPM bukanlah solusi untuk menghentikan serangan yang sedang berlangsung. Ketika penyerang berhasil menggunakan kredensial yang valid, keamanan harus beralih dari sekadar memverifikasi identitas menuju pemahaman terhadap perilaku. Di sinilah Behavioral AI, Identity Threat Detection and Response (ITDR), serta analitik berbasis konteks menjadi pelengkap yang sangat penting. Bagi organisasi modern, pertanyaannya bukan lagi “siapa yang memiliki akses?”, melainkan “apakah pengguna yang sedang beraktivitas benar-benar bertindak seperti dirinya sendiri?”. Jawaban atas pertanyaan itulah yang akan menentukan kemampuan perusahaan dalam menghentikan pelanggaran data sebelum berubah menjadi krisis bisnis yang besar. Abnormal Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Abnormal. Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.