
Serangan siber tidak selalu dilakukan secara acak. Dalam banyak kasus, pelaku justru memperhatikan kapan sebuah organisasi memiliki tingkat pengawasan yang lebih rendah. Malam hari, akhir pekan, dan periode libur panjang dapat menjadi waktu yang menarik karena jumlah karyawan yang aktif berkurang dan respons terhadap aktivitas mencurigakan mungkin tidak secepat pada jam kerja normal.
Bayangkan sebuah perusahaan yang memiliki tim IT aktif dari Senin sampai Jumat pukul 09.00 hingga 18.00. Selama jam kerja, laporan pengguna dapat diterima dengan cepat, administrator aktif memantau sistem, dan komunikasi antar tim dapat dilakukan dalam waktu singkat. Namun bagaimana jika aktivitas mencurigakan mulai muncul pada Sabtu dini hari?
Sebuah akun administrator melakukan login dari lokasi yang tidak biasa. Tidak lama kemudian, terjadi transfer data dalam jumlah besar. Beberapa sistem mulai mengalami perubahan konfigurasi. Karena tidak ada pengguna yang sedang bekerja, gangguan tersebut mungkin belum langsung dilaporkan.
Ketika tim IT kembali aktif, pelaku bisa saja telah memiliki waktu berjam-jam untuk melakukan berbagai aktivitas di dalam sistem.
Kondisi inilah yang membuat perusahaan mulai memberikan perhatian lebih besar terhadap keamanan sistem di luar jam kerja. Cyber security bukan hanya tentang memasang firewall atau antivirus, tetapi juga memastikan aktivitas mencurigakan dapat diketahui dan ditangani kapan pun terjadi.
Apakah Hacker Benar-Benar Memilih Waktu Tertentu?
Tidak semua serangan siber dilakukan secara manual oleh seseorang yang duduk di depan komputer dan menentukan target satu per satu. Banyak aktivitas serangan berjalan menggunakan tools otomatis yang dapat melakukan scanning, mencoba credential, atau mencari sistem dengan celah keamanan selama 24 jam.
Artinya, ancaman dapat muncul kapan saja.
Namun dari sudut pandang pelaku, waktu ketika organisasi memiliki respons lebih lambat dapat memberikan keuntungan tambahan. Semakin lama aktivitas tidak terdeteksi, semakin banyak waktu yang tersedia untuk memahami lingkungan target dan memperluas akses.
Pelaku tidak selalu langsung mencuri data setelah mendapatkan akses pertama. Dalam beberapa serangan, mereka dapat melakukan reconnaissance internal, mencari akun dengan hak akses lebih tinggi, mempelajari struktur jaringan, dan mengidentifikasi lokasi data penting.
Proses tersebut membutuhkan waktu. Karena itu, keterlambatan deteksi dapat menjadi keuntungan bagi pelaku.
Masalah Utamanya Bukan Jam Serangan, tetapi Waktu Deteksi
Salah satu hal penting dalam cyber security adalah memahami perbedaan antara waktu serangan dan waktu deteksi.
Misalnya, sebuah akun berhasil diambil alih pada pukul 02.00 dini hari. Namun perusahaan baru mengetahui aktivitas tersebut pada pukul 09.00 ketika seorang karyawan melaporkan bahwa akunnya tidak dapat digunakan.
Artinya, terdapat jeda tujuh jam antara aktivitas awal dan respons organisasi.
Dalam periode tersebut, pelaku mungkin telah mencoba mengakses berbagai aplikasi, mencari data, atau menggunakan akun yang telah dikuasai untuk mendapatkan akses tambahan.
Karena itu, perusahaan perlu memperhatikan Mean Time to Detect atau MTTD, yaitu waktu rata-rata yang dibutuhkan untuk mengetahui adanya sebuah insiden.
Semakin cepat ancaman terdeteksi, semakin cepat pula organisasi dapat melakukan investigasi dan mengambil tindakan.
Kenapa Akhir Pekan Bisa Menjadi Waktu yang Berisiko?
Pada akhir pekan, aktivitas pengguna biasanya menurun.
Bagi perusahaan yang tidak beroperasi selama 24 jam, kondisi ini berarti lebih sedikit orang yang menggunakan sistem dan memperhatikan perubahan yang terjadi.
Pada hari kerja, pengguna dapat menjadi salah satu sumber deteksi awal. Misalnya seorang karyawan melihat file berubah, menerima notifikasi login mencurigakan, atau menemukan aplikasi tidak dapat digunakan. Mereka kemudian melaporkan masalah tersebut kepada tim IT.
Saat akhir pekan, mekanisme deteksi dari pengguna ini dapat berkurang.
Jika monitoring dan alerting perusahaan juga belum berjalan dengan baik, aktivitas mencurigakan memiliki peluang lebih besar untuk tidak segera diketahui.
Hari Libur Panjang Menambah Tantangan
Libur panjang menciptakan tantangan tambahan karena periode dengan jumlah staf terbatas berlangsung lebih lama.
Sebagian anggota tim mungkin sedang bepergian, sulit dihubungi, atau tidak memiliki akses ke perangkat kerja.
Masalah menjadi lebih kompleks ketika perusahaan belum memiliki prosedur incident response yang jelas.
Ketika muncul alert keamanan, tim mungkin kebingungan menentukan siapa yang harus dihubungi.
Apakah Network Engineer?
System Administrator?
Tim Cyber Security?
Manager IT?
Jika pembagian tanggung jawab tidak jelas, waktu respons dapat semakin lama.
Karena itu, kesiapan menghadapi insiden tidak hanya berkaitan dengan teknologi, tetapi juga prosedur dan komunikasi antar tim.
Serangan Ransomware Dapat Memanfaatkan Waktu Respons yang Lambat
Ransomware merupakan salah satu ancaman yang dapat menimbulkan dampak besar terhadap operasional perusahaan.
Dalam beberapa skenario serangan, pelaku tidak langsung menjalankan ransomware setelah memperoleh akses.
Mereka dapat terlebih dahulu mempelajari lingkungan target, mencari server penting, menemukan sistem backup, dan mencoba mendapatkan akses dengan hak lebih tinggi.
Setelah memiliki akses yang cukup luas, barulah tahap serangan berikutnya dilakukan.
Jika aktivitas tersebut terjadi ketika respons organisasi lebih lambat, pelaku memiliki waktu tambahan untuk menjalankan aksinya.
Inilah alasan mengapa monitoring dan incident response menjadi sangat penting dalam menghadapi ancaman ransomware.
Login di Luar Jam Kerja Perlu Diperhatikan
Apakah setiap login pada malam hari berarti serangan?
Tentu tidak.
Administrator mungkin melakukan maintenance pada malam hari. Karyawan remote dapat bekerja dari zona waktu yang berbeda. Sistem otomatis juga dapat menggunakan akun tertentu untuk menjalankan proses terjadwal.
Namun aktivitas di luar pola normal tetap perlu dianalisis.
Sebagai contoh, seorang karyawan biasanya login dari Jakarta pada hari kerja. Tiba-tiba akunnya digunakan pada pukul 03.00 dari lokasi yang tidak biasa dan mencoba mengakses banyak sistem dalam waktu singkat.
Satu aktivitas mungkin belum cukup untuk menyimpulkan adanya serangan. Namun kombinasi beberapa indikator dapat menunjukkan adanya risiko yang perlu diperiksa.
Karena itu, konteks menjadi sangat penting dalam proses monitoring keamanan.
Alert Keamanan Tidak Boleh Hanya Masuk ke Email
Salah satu kesalahan yang masih terjadi adalah seluruh alert keamanan hanya dikirim melalui email.
Pada jam kerja, pendekatan ini mungkin masih cukup efektif karena tim IT aktif memeriksa inbox.
Namun bagaimana pada pukul 02.00 dini hari?
Alert dapat masuk dan tidak dibaca hingga beberapa jam kemudian.
Perusahaan perlu menentukan tingkat prioritas setiap alert. Tidak semua notifikasi membutuhkan respons segera, tetapi aktivitas dengan risiko tinggi perlu memiliki mekanisme eskalasi yang jelas.
Misalnya, aktivitas login biasa dapat dicatat untuk dianalisis. Namun jika sistem mendeteksi penggunaan akun administrator dari sumber yang tidak dikenal dan diikuti perubahan konfigurasi penting, alert tersebut perlu mendapatkan perhatian lebih cepat.
Monitoring 24 Jam Bukan Berarti Manusia Harus Menatap Layar Terus
Ketika membahas monitoring selama 24 jam, sebagian orang membayangkan seorang analis keamanan harus duduk di depan puluhan monitor sepanjang malam.
Padahal teknologi modern memungkinkan banyak proses deteksi dilakukan secara otomatis.
Sistem monitoring dapat mengumpulkan log, menganalisis aktivitas, dan memberikan alert ketika kondisi tertentu terdeteksi.
Contohnya ketika terjadi percobaan login gagal dalam jumlah besar, peningkatan trafik yang tidak biasa, perubahan akun administrator, atau aktivitas akses terhadap data sensitif.
Tujuan otomatisasi bukan menggantikan manusia sepenuhnya. Sistem membantu menyaring aktivitas sehingga tim dapat fokus pada kejadian yang memang membutuhkan analisis lebih lanjut.
Pentingnya Memiliki Incident Response Plan
Teknologi deteksi yang baik tidak akan memberikan hasil maksimal jika perusahaan tidak mengetahui apa yang harus dilakukan setelah ancaman ditemukan.
Karena itu, organisasi perlu memiliki Incident Response Plan.
Dokumen tersebut menjelaskan langkah yang perlu dilakukan ketika terjadi insiden keamanan.
Misalnya:
- Siapa yang menerima alert?
- Siapa yang melakukan validasi awal?
- Kapan sebuah sistem perlu diisolasi?
- Siapa yang berwenang mengambil keputusan?
- Bagaimana proses komunikasi dilakukan?
- Bagaimana bukti digital disimpan?
Dengan prosedur yang jelas, tim tidak perlu membuat keputusan dari awal ketika sedang menghadapi situasi darurat.
Kecepatan dan koordinasi menjadi sangat penting karena setiap menit dapat memengaruhi luasnya dampak insiden.
On-Call Team Menjadi Salah Satu Pendekatan
Perusahaan tidak selalu harus memiliki tim cyber security yang bekerja di kantor selama 24 jam.
Salah satu pendekatan yang dapat digunakan adalah sistem on-call.
Dalam sistem ini, anggota tim tertentu memiliki jadwal untuk merespons insiden dengan tingkat prioritas tinggi di luar jam kerja.
Ketika sistem mendeteksi ancaman serius, alert akan diteruskan kepada personel yang sedang bertugas.
Pendekatan ini banyak digunakan dalam pengelolaan infrastruktur maupun keamanan karena membantu organisasi memiliki mekanisme respons tanpa harus membuat seluruh tim bekerja sepanjang malam.
Automation Dapat Membantu Respons Awal
Selain memberikan alert, beberapa sistem keamanan modern dapat menjalankan tindakan otomatis.
Misalnya, ketika sebuah akun menunjukkan aktivitas yang sangat mencurigakan, sistem dapat meminta autentikasi tambahan atau membatasi akses sementara.
Dalam kondisi tertentu, perangkat yang terindikasi mengalami kompromi dapat diisolasi dari jaringan.
Namun otomatisasi perlu dirancang dengan hati-hati.
Kesalahan dalam menentukan aturan dapat menyebabkan pengguna yang sah kehilangan akses atau sistem penting mengalami gangguan.
Karena itu, automation sebaiknya diterapkan berdasarkan tingkat risiko dan melalui proses pengujian yang baik.
Backup Juga Perlu Dipantau Saat Tidak Ada Orang di Kantor
Keamanan di luar jam kerja tidak hanya berkaitan dengan login atau trafik jaringan.
Proses backup juga sering berjalan pada malam hari.
Jika backup gagal selama beberapa hari dan tidak ada yang memperhatikan notifikasi, perusahaan mungkin baru menyadarinya ketika membutuhkan proses recovery.
Lebih berbahaya lagi jika pelaku berhasil menghapus atau mengubah konfigurasi backup tanpa terdeteksi.
Karena itu, keberhasilan proses backup, perubahan konfigurasi, dan aktivitas terhadap penyimpanan cadangan juga perlu dipantau.
Backup bukan hanya proses membuat salinan data. Perusahaan perlu memastikan bahwa salinan tersebut tetap tersedia dan dapat digunakan ketika terjadi insiden.
Jangan Mengabaikan Akun yang Jarang Digunakan
Akun lama atau dormant account dapat menjadi risiko keamanan yang tidak disadari.
Misalnya, akun milik karyawan yang telah berpindah divisi masih memiliki akses ke sebuah server.
Karena akun tersebut jarang digunakan, aktivitas login mungkin tidak langsung diperhatikan.
Jika credential akun berhasil diperoleh pelaku, akun tersebut dapat digunakan sebagai jalur akses tanpa mengganggu aktivitas pengguna aktif.
Audit akun secara berkala membantu perusahaan menemukan akun yang sudah tidak diperlukan dan mencabut akses sebelum disalahgunakan.
Security Awareness Tetap Memiliki Peran
Meskipun artikel ini membahas monitoring dan respons di luar jam kerja, manusia tetap menjadi bagian penting dalam keamanan.
Karyawan perlu memahami bahwa notifikasi login mencurigakan tidak boleh diabaikan hanya karena diterima pada malam hari.
Jika seseorang menerima pemberitahuan bahwa akunnya digunakan dari perangkat yang tidak dikenal, laporan cepat kepada tim IT dapat membantu menghentikan serangan lebih awal.
Security awareness membantu pengguna memahami kapan sebuah aktivitas perlu dilaporkan dan bagaimana cara melaporkannya.
Semakin cepat informasi diterima oleh tim yang tepat, semakin cepat pula proses investigasi dapat dilakukan.
Kenapa Topik Ini Penting Dipelajari?
Ancaman siber tidak mengikuti jam kerja perusahaan.
Server tetap terhubung ke jaringan pada malam hari. Layanan cloud tetap dapat diakses. Website tetap menerima trafik. Akun pengguna tetap dapat menjadi target serangan.
Karena itu, Network Engineer, System Administrator, Cloud Engineer, dan Cyber Security Professional perlu memahami pentingnya monitoring, alerting, dan incident response.
Kemampuan teknis memang penting, tetapi kesiapan organisasi dalam merespons kejadian juga menentukan seberapa besar dampak sebuah serangan.
Perusahaan yang mampu mendeteksi dan merespons ancaman dengan cepat memiliki peluang lebih besar untuk membatasi dampak sebelum insiden berkembang menjadi masalah yang lebih serius.
Kesimpulan
Malam hari, akhir pekan, dan hari libur dapat menjadi periode yang menantang bagi keamanan perusahaan karena jumlah personel aktif dan kecepatan respons mungkin lebih rendah dibanding jam kerja normal. Sementara itu, sistem digital tetap berjalan dan ancaman siber dapat muncul kapan saja.
Masalah utama bukan hanya kapan serangan terjadi, tetapi seberapa cepat organisasi mampu mengetahui dan merespons aktivitas mencurigakan. Monitoring yang berjalan secara berkelanjutan, alert dengan prioritas yang tepat, Incident Response Plan, sistem on-call, serta automation dapat membantu perusahaan mengurangi waktu antara deteksi dan penanganan insiden.
Cyber security tidak berhenti ketika karyawan pulang dari kantor. Infrastruktur tetap aktif selama 24 jam dan perlindungan terhadap sistem perlu dirancang dengan mempertimbangkan kondisi tersebut.
Ingin Belajar Cyber Security dan Infrastruktur IT Lebih Dalam?
Cek pilihan training lengkap di sini:
Training IDN
Info lengkap training dan pendaftaran bisa hubungi admin kami:
Konsultasi Gratis
Alamat:
Jl. Pal Merah Utara II No.245, RT.9/RW.16, Palmerah, Kec. Palmerah, Kota Jakarta Barat, DKI Jakarta, Indonesia, Kode Pos 11480
