Seorang karyawan Sophos menjadi korban phishing — tetapi kami berhasil menangkis ancaman tersebut dengan proses pertahanan menyeluruh.
Jika Anda bekerja di bidang keamanan siber, Anda mungkin sudah sering mendengar pepatah klasik tentang serangan siber:
“Bukan soal jika, tetapi kapan.”
Namun, mungkin ada cara berpikir yang lebih tepat: meskipun pelatihan, pengalaman, dan pemahaman terhadap teknik rekayasa sosial dapat membantu, siapa pun tetap bisa tertipu oleh jebakan yang dirancang dengan baik. Setiap orang — termasuk peneliti keamanan — memiliki kerentanan yang dapat dimanfaatkan, tergantung pada situasi, waktu, dan keadaan yang tepat.
Perusahaan keamanan siber pun tidak kebal terhadap hal ini. Pada Maret 2025, seorang karyawan senior Sophos menjadi korban phishing dan tanpa sadar memasukkan kredensialnya ke halaman masuk palsu. Hal ini memungkinkan penyerang untuk melewati autentikasi multi-faktor (MFA) dan mencoba — namun gagal — menembus jaringan internal kami.
Kami telah menerbitkan analisis akar penyebab eksternal (Root Cause Analysis / RCA) terkait insiden ini di Sophos Trust Center, yang menjelaskan detailnya secara mendalam. Namun, insiden tersebut juga memunculkan beberapa pelajaran menarik yang layak untuk dibagikan.
1. Ancaman Bypass MFA Semakin Umum
Bypass MFA kini menjadi teknik yang makin sering digunakan. Seiring meluasnya penerapan autentikasi multi-faktor, para pelaku ancaman pun beradaptasi. Kini, beberapa framework phishing dan layanan phishing-as-a-service bahkan sudah dilengkapi dengan kemampuan untuk melewati MFA — hal ini semakin memperkuat argumen untuk memperluas adopsi passkey yang lebih aman.
2. Tujuan Kami Bukan Sekadar Mengklaim “Kami Aman”
Kami membagikan insiden ini bukan untuk menyoroti bahwa kami berhasil menggagalkan serangan — karena itu memang bagian dari pekerjaan kami — tetapi karena insiden ini menjadi contoh yang baik tentang proses pertahanan menyeluruh dari ujung ke ujung, lengkap dengan sejumlah pelajaran penting yang bisa diterapkan siapa pun.
3. Tiga Kunci Utama Respons Kami: Kontrol, Kolaborasi, dan Budaya
Kontrol
Sistem keamanan kami dibangun dengan lapisan pertahanan berlapis (defense-in-depth) — tujuannya adalah menciptakan ketahanan terhadap kesalahan manusia atau kegagalan kontrol sebelumnya. Prinsip utamanya sederhana: ketika satu kontrol gagal, lapisan berikutnya akan mengambil alih, memberikan perlindungan di sepanjang rantai serangan siber (cyber kill chain).
Dalam insiden ini, seperti dijelaskan dalam RCA, terdapat beberapa lapisan kontrol yang berperan — mulai dari keamanan email, MFA, Conditional Access Policy (CAP), manajemen perangkat, hingga pembatasan akun. Meski pelaku berhasil melewati sebagian lapisan, kontrol berikutnya segera aktif untuk menghentikan mereka.
Namun, kami tidak berhenti di situ. Setelah ancaman berhasil digagalkan, kami melakukan investigasi mendalam, menganalisis kinerja setiap kontrol, dan meninjau penyebab bypass yang terjadi. Untuk kontrol yang berhasil bekerja, kami bertanya pada diri sendiri: “Bagaimana pelaku bisa mencoba melewati ini di masa depan?” — dan kemudian kami memperkuatnya.
Kolaborasi
Tim internal kami — mulai dari Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR), hingga tim IT internal — bekerja sama secara erat dalam mengeliminasi ancaman.
Masing-masing tim berkontribusi sesuai keahliannya, berbagi data, temuan, dan wawasan secara real time. Kami juga terus memperkuat kemampuan pengumpulan intelijen dan mempercepat alur umpan balik — tidak hanya di dalam organisasi, tetapi juga bersama komunitas keamanan global.
Kami percaya, intelijen yang dapat dioperasionalkan (dapat digunakan secara langsung untuk pertahanan) adalah kunci utama untuk melindungi ekosistem kami di masa depan. Walaupun kami merespons insiden ini dengan baik, selalu ada ruang untuk menjadi lebih baik lagi.
Budaya
Kami membangun budaya keamanan yang berfokus pada solusi, bukan kesalahan.
Di Sophos, kami tidak menghukum atau menyalahkan karyawan yang tanpa sengaja mengklik tautan phishing.
Dalam kasus ini, karyawan yang menjadi korban langsung melapor secara terbuka kepada rekan dan tim keamanan bahwa mereka telah tertipu. Dalam banyak organisasi lain, hal ini mungkin jarang terjadi karena rasa takut atau malu. Ada pula yang memilih diam dengan harapan masalah akan hilang dengan sendirinya — padahal hal itu justru memperburuk keadaan.
Di Sophos, setiap orang — tanpa memandang jabatan atau senioritas — didorong untuk segera melapor jika mencurigai adanya aktivitas tidak biasa. Kami memahami bahwa siapa pun bisa tertipu oleh taktik rekayasa sosial pada waktu dan kondisi yang tepat.
Sering kali dikatakan bahwa “manusia adalah mata rantai terlemah dalam keamanan.”
Kami melihatnya berbeda: manusia juga garis pertahanan pertama.
Mereka berperan penting dalam memberi tahu tim keamanan, memvalidasi peringatan otomatis, atau bahkan menjadi pihak pertama yang mendeteksi serangan ketika kontrol teknis belum bereaksi.
Kesimpulan
Penyerang berhasil menembus perimeter kami, namun kombinasi antara kontrol yang berlapis, kolaborasi antar tim, dan budaya keamanan yang sehat membuat mereka tidak bisa bergerak jauh sebelum kami menyingkirkan mereka sepenuhnya.
Melalui tinjauan pasca-insiden yang kami lakukan, kami memperkuat postur keamanan kami untuk menghadapi serangan berikutnya dengan kesiapan lebih baik.
Dengan membagikan pelajaran ini secara terbuka dan transparan, baik di sini maupun melalui RCA yang kami publikasikan, kami berharap organisasi lain juga dapat memperkuat pertahanannya — karena di dunia keamanan siber, kita semua belajar bersama.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!