Laporan FireEye: DwellTime Ancaman Menjadi 24 Hari

Posting : 06 May 2021



FireEye, perusahaan keamanan yang dipimpin intelijen, menerbitkan laporan FireEye Mandiant M-Trends 2021.  Laporan M-Trends 2021 spesialis forensik milik FireEye dikumpulkan dari investigasi aktivitas serangan yang ditargetkan antara 1 Oktober 2019 hingga 30 September 2020. Laporan tahun ini menguraikan detail penting tentang metodologi penyerang dan malware terbaru, pertumbuhan pemerasan multifaset  dan ransomware, mempersiapkan pelaku ancaman UNC2452 / SUNBURST yang diharapkan, ancaman orang dalam yang berkembang, dan tren penargetan industri.

“UNC2452, pelaku ancaman yang bertanggung jawab atas serangan rantai pasokan SolarWinds, mengingatkan kita bahwa pelaku yang sangat disiplin dan sabar tidak dapat diremehkan.  Perhatian aktor ini diberikan pada keamanan operasional, kontra forensik, dan bahkan kontra intelijen membedakannya dari rekan-rekannya.  Pertahanan terhadap aktor ini memang tidak mudah, namun bukan tidak mungkin.  Kami telah belajar banyak tentang UNC2452 dalam beberapa bulan terakhir, dan kami percaya bahwa intelijen akan menjadi keuntungan kami dalam pertemuan di masa depan, "kata Sandra Joyce, Wakil Presiden Eksekutif, Intelijen Ancaman Global, Mandiant.

Selama dekade terakhir, Mandiant telah memperhatikan penurunan tren dalam median waktu tunggu global (didefinisikan sebagai durasi antara dimulainya intrusi dunia maya dan ketika diidentifikasi).  Para peneliti mengungkapkan bahwa 59% organisasi mendeteksi penyerang dalam lingkungan mereka sendiri selama periode tersebut, meningkat 12 poin persentase dari tahun sebelumnya.  Kecepatan mereka melakukannya juga meningkat: waktu tunggu untuk penyerang di dalam jaringan perusahaan turun di bawah satu bulan untuk pertama kalinya dalam sejarah laporan, dengan angka rata-rata global sekarang adalah 24 hari.

Ini sangat kontras dengan 416 hari yang dibutuhkan perusahaan saat laporan pertama kali diterbitkan pada tahun 2011. Ini juga lebih dari dua kali lebih cepat dari tahun sebelumnya (56 hari) dan menunjukkan bahwa deteksi dan respons bergerak ke arah yang benar.  Untuk insiden yang diberitahukan kepada perusahaan secara eksternal, angkanya sedikit lebih tinggi (73 hari) dan untuk serangan yang terdeteksi secara internal lebih rendah (12 hari).  Di Amerika, dwell time turun dari 60 hari pada 2019 menjadi hanya 17 hari pada tahun lalu, sedangkan di APAC (76 hari) dan EMEA (66 hari) angkanya sedikit meningkat.

Lima industri teratas yang paling ditargetkan, secara berurutan, adalah Bisnis dan Layanan Profesional, Ritel dan Perhotelan, Keuangan, Perawatan Kesehatan, dan Teknologi Tinggi.  Pakar Mandiant mengamati bahwa organisasi di industri Ritel dan Perhotelan menjadi target yang lebih besar pada tahun 2020 - masuk sebagai industri yang paling ditargetkan kedua dibandingkan dengan yang ke-11 dalam laporan tahun lalu.

Perawatan kesehatan juga meningkat secara signifikan, menjadi industri ketiga yang paling ditargetkan pada tahun 2020, dibandingkan dengan yang kedelapan dalam laporan tahun lalu.  Peningkatan fokus oleh pelaku ancaman kemungkinan besar dapat dijelaskan oleh peran penting yang dimainkan sektor perawatan kesehatan selama pandemi global.

Namun, faktor utama yang berkontribusi terhadap pengurangan global dalam waktu tunggu mungkin adalah peningkatan serangan ransomware, yang biasanya terjadi dalam jangka waktu yang lebih pendek daripada operasi spionase dunia maya atau pencurian data tradisional.