Apa yang dapat dipelajari oleh bank dari pelanggaran Departemen Keuangan

Banyak aspek pelanggaran keamanan siber Departemen Keuangan baru-baru ini mengungkapkan Hal-hal yang mengkhawatirkan: fakta bahwa peretas membobol alat yang dimaksudkan untuk mencegah masuknya pelaku kejahatan, fakta bahwa dokumen dicuri, fakta bahwa penyelidik mengira para pelaku bekerja untuk pemerintah Tiongkok.

Ditambah dua hal lagi: para peretas mengintai di dalam komputer Departemen Keuangan tanpa terdeteksi, dalam apa yang disebut sebagai ancaman terus-menerus tingkat lanjut. Dan bank-bank AS juga rentan terhadap serangan serupa.

Berikut adalah beberapa kesimpulan dari pelanggaran Departemen Keuangan bagi bank.

Waspadai ancaman tingkat lanjut yang terus-menerus

“Aktor-aktor negara dan ancaman-ancaman tingkat lanjut memang merupakan vektor ancaman utama bagi sektor keuangan,” kata John Denning, kepala petugas keamanan informasi di Pusat Pembagian dan Analisis Informasi Jasa Keuangan.

Dalam serangan ancaman tingkat lanjut yang terus-menerus, peretas biasanya membobol sistem menggunakan beberapa bentuk rekayasa sosial, kemudian menyuntikkan jenis malware yang sampai sekarang tidak diketahui dan bersembunyi selama berbulan-bulan tanpa diketahui, mengumpulkan informasi dan bersiap mengambil tindakan seperti mencuri data dan dokumen.

“Bagian yang lebih maju berkaitan dengan teknologi, ketekunan, sumber daya, kesabaran, dan dedikasi yang digunakan musuh untuk mencapai target,” kata Samuel Visner, asisten profesor di Universitas Georgetown dan ketua Space Information Sharing and Analysis. Tengah.

Setiap ancaman persisten tingkat lanjut bersifat unik, sehingga jenis serangan ini sulit dideteksi. “Secepat Anda dapat melakukan inokulasi terhadap salah satu kerentanan atau intrusi atau kemampuan malware ini,” kerentanan lain akan muncul atau kerentanan yang sudah ada berubah menjadi sesuatu yang tidak dapat dikenali, kata Hector Falcon, analis utama di Space Information Sharing and Analysis Center.

Kebutuhan untuk mengawasi vendor perangkat lunak pihak ketiga

Para peretas yang menerobos Departemen Keuangan masuk melalui layanan dukungan jarak jauh berbasis cloud BeyondTrust, yang digunakan Departemen Keuangan untuk memberikan dukungan teknis kepada orang-orang akses jarak jauh ke stasiun kerja pengguna akhir. Para penyerang mengakses kunci yang digunakan BeyondTrust untuk mengamankan layanan.

“Dengan akses ke kunci yang dicuri, pelaku ancaman dapat mengesampingkan keamanan layanan, mengakses stasiun kerja pengguna Departemen Keuangan tertentu dari jarak jauh, dan mengakses dokumen tertentu yang tidak rahasia yang dikelola oleh pengguna tersebut,” tulis Aditi Hardikar, asisten sekretaris manajemen di Departemen Keuangan. , dalam sebuah surat kepada Senator Sherrod Brown, D-Ohio, dan Tim Scott, R-South Carolina.

Pemerintah belum mengatakan dokumen apa saja yang diakses atau isi dokumen tersebut.

“Pelajaran yang didapat dari sini, sayangnya, adalah bahwa musuh cerdas dan memutuskan untuk mengejar solusi keamanan, dan begitu mereka mampu mengkompromikan solusi keamanan, mereka kemudian mengejar target yang dituju,” kata Visner.

BeyondTrust mengatakan pihaknya mengidentifikasi dan mengungkapkan kerentanan keamanan kepada klien termasuk Departemen Keuangan pada 8 Desember dan telah menemukan serta menambal kerentanan tersebut. Dia memposting pembaruan pada situasi di halaman web khusus.

Pelajaran lain bagi bank adalah mereka harus sangat mengkhawatirkan rantai pasokan dan vendornya, kata Visner.

Bank telah dibobol melalui penyedia perangkat lunak di masa lalu. Pada bulan Maret 2020, Finastra terkena dengan serangan ransomware yang menyebabkan pemadaman listrik pada beberapa klien bank penyedia perangkat lunak perbankan inti. Pada bulan November 2023, geng ransomware LockBit meretas Infosys McCamish Systems, vendor pihak ketiga yang menyediakan layanan untuk rencana kompensasi yang ditangguhkan Bank of America, dan mengungkap informasi pribadi lebih dari 57.000 Klien Bank Amerika.

“Anda berasumsi Anda memiliki keamanan yang baik karena Anda memiliki pusat operasi keamanan dan Anda memiliki firewall dan Anda memiliki sistem deteksi intrusi dan sistem perlindungan intrusi dan Anda memiliki sistem manajemen peristiwa informasi keamanan dan Anda melakukan korelasi log — Anda’ kami melakukan semua hal ini,” kata Visner. “Tetapi Anda juga membeli layanan dan produk dari pihak lain. Jadi salah satu pertanyaan yang harus Anda tanyakan adalah, apa yang saya ketahui tentang keamanan penyedia saya?”

Penyedia cloud menawarkan menu produk dan layanan kepada klien seperti bank, kata Falcon.

“Tetapi dengan melakukan hal ini, apakah Anda menyerap lanskap ancaman keamanan mereka? Dan jawabannya adalah ya,” kata Falcon. “Anda menyadari betapa aman atau tidaknya mereka terkait dengan port, protokol, teknologi, strategi informasi. Apakah mereka adalah perusahaan yang berbasis di luar negeri yang memanfaatkan perangkat lunak pihak ketiga yang mungkin belum diperiksa untuk terus maju? dan memenuhi intinya?”

Sebagian besar kunci antarmuka pemrograman aplikasi, mekanisme pembagian data antara bank dan pemasok pihak ketiga, tidak dienkripsi, kata Falcon. “Sebagian besar kunci API tidak disimpan dalam brankas atau mekanisme yang aman untuk memperkuat keamanan,” katanya.

Denning mengatakan meskipun bank memiliki regulasi yang ketat dan oleh karena itu diharuskan memiliki keamanan yang kuat, penyedia layanan pihak ketiga seringkali tidak memiliki persyaratan yang sama.

“Namun, bank harus memahami bahwa risiko rantai pasokan mereka sebenarnya adalah risiko mereka sendiri, seperti yang telah ditunjukkan dengan banyaknya insiden pihak ketiga selama beberapa tahun terakhir,” katanya. “Perusahaan tidak bisa lagi mengandalkan kuesioner keamanan standar yang ada di masa lalu dan harus mengambil pendekatan aktif untuk memitigasi risiko pihak ketiga, keempat, dan pihak ketiga sebanyak mungkin.”

Beberapa bank perlu memperhatikan kebersihan dunia maya mereka sendiri, memastikan identitas yang kuat dan manajemen akses serta menerapkan otentikasi multifaktor di seluruh perusahaan, kata Denning.

Mereka juga harus mewajibkan pemasok mereka menerapkan dasar-dasar dunia maya yang sama, katanya.

“Lembaga keuangan yang lebih besar harus memimpin dalam membangun persyaratan keamanan yang kuat ke dalam kontrak jika memungkinkan, memperkuat ketahanan sektor ini dan pada gilirannya memberikan manfaat bagi perusahaan-perusahaan kecil yang tidak memiliki kemampuan untuk menyesuaikan kontrak,” kata Denning.

Ironisnya, hal ini telah dihantam oleh Departemen Keuangan sendiri terhadap bank-bank. Di sebuah laporan tahun 2023Departemen Keuangan menyampaikan beberapa kekhawatiran mengenai penggunaan komputasi awan oleh bank, termasuk kurangnya transparansi di antara penyedia layanan awan, yang menghambat kemampuan bank untuk memantau vendor mereka; kurangnya keahlian komputasi awan di bank komunitas; dan risiko konsentrasi yang disebabkan oleh sedikitnya jumlah penyedia layanan yang melayani sejumlah besar lembaga keuangan.

Percakapan berkala dengan semua penyedia perangkat lunak dan layanan tentang keamanan sangatlah penting. “Penting untuk bertanya kepada penyedia layanan Anda apa yang mereka lakukan, dan mungkin meminta beberapa pengesahan tentang apa yang mereka lakukan,” kata Visner. “Hal ini tidak akan membuat hal ini menjadi mudah. ​​Namun menurut saya secara keseluruhan, membuat semua penyedia layanan Anda peka terhadap masalah keamanan, dan memperkuat rantai pasokan sebanyak mungkin, adalah hal yang berguna.”

Kebutuhan untuk berbagi informasi

Satu hal yang dapat dilakukan bank untuk membantu semua lini dunia maya adalah meningkatkan pertukaran informasi dengan pihak lain, bahkan mengenai insiden keamanan yang tampaknya tidak terlalu serius namun dapat menjadi awal dari serangan yang lebih ganas.

“Ini adalah uji coba senjata,” kata Visner. “Anda tidak boleh menggunakan senjata tersebut sampai Anda mengujinya di berbagai tempat. Pada akhirnya, Anda bahkan mungkin mengujinya pada sasaran langsung.”

Ini termasuk pertukaran informasi lintas sektor, kata Visner. “Mungkin Anda berada di sektor jasa keuangan, namun Anda ingin berbagi informasi dengan sektor TI, atau sektor telekomunikasi, atau sektor lain yang Anda andalkan. Salah satu hal yang kami catat adalah bahwa hampir setiap sektor infrastruktur penting bergantung pada semua sektor lainnya.”

Musuh seperti peretas Tiongkok yang dikatakan berada di balik insiden Departemen Keuangan adalah pihak yang cerdas, kata Visner.

“Jika Anda melihat forensik serangan ini, serangan ini sangat canggih,” kata Visner. “Orang-orang ini tidak bodoh. Jika Anda melepaskan topi moral Anda sejenak, ada banyak hal yang akan Anda kagumi dari apa yang mereka lakukan. Saya memilih untuk tidak melakukannya dalam hal ini. Tapi mereka tidak malas, mereka ‘ mereka tidak bodoh. Mereka tahu apa yang ingin mereka lakukan.”