CIS Risk Assessment Method (CIS RAM) v2.1

Penyerang mengkompromikan perangkat yang tidak terlacak yang terhubung ke jaringan dan tidak terlihat oleh perangkat keamanan, menggunakannya sebagai pijakan persisten untuk pergerakan lateral.

Kerentanan kritis tetap tidak ditambal pada perangkat yang tidak termasuk dalam inventaris aset, memungkinkan ransomware atau worm menyebar melalui endpoint yang tidak dikelola.

Data sensitif berada pada aset yang tidak tercatat dalam inventaris, menyebabkan paparan PII/PHI yang tidak terlindungi selama pelanggaran data dan sanksi regulasi.

Penyerang atau orang dalam menghubungkan perangkat tidak sah (misalnya, rogue wireless AP, perangkat tethering USB) ke jaringan korporat untuk mencegat lalu lintas atau membuat backdoor.

Perangkat IoT tidak sah dengan kredensial default tetap berada di jaringan tanpa batas waktu, menyediakan vektor serangan persisten yang melewati kontrol keamanan endpoint.

Perangkat pribadi yang tidak dikelola dan terinfeksi malware terhubung ke jaringan perusahaan tanpa karantina atau tinjauan, menyebarkan infeksi ke sistem produksi.

Tanpa pemindaian aktif, perangkat yang dikendalikan penyerang atau host yang dikompromikan tetap tidak terlihat di jaringan, memungkinkan kampanye eksfiltrasi data jangka panjang.

Aset yang menjembatani segmen jaringan tetapi tidak ditemukan oleh alat aktif memungkinkan penyerang berpindah antar zona yang seharusnya terisolasi.

Perangkat lunak berbahaya atau berbackdoor yang diinstal tanpa pelacakan inventaris menghindari tinjauan keamanan, memungkinkan serangan rantai pasok seperti yang terlihat pada kompromi tipe SolarWinds.

Perangkat lunak tanpa lisensi atau bajakan yang diinstal di luar kontrol inventaris memperkenalkan versi trojan atau crack yang mengandung malware tertanam dan pencuri kredensial.

Aplikasi yang diinstal untuk proyek sebelumnya tetapi tidak pernah diinventarisasi tetap ada di sistem dengan kerentanan yang diketahui, menyediakan target eksploitasi mudah bagi penyerang.

Perangkat lunak yang tidak didukung tidak lagi menerima patch keamanan, memungkinkan penyerang mengeksploitasi CVE yang diungkapkan secara publik dengan kode eksploit yang tersedia.

Aplikasi yang tidak didukung dengan kerentanan zero-day tidak akan pernah ditambal oleh vendor, memberikan penyerang kemampuan eksploitasi permanen terhadap sistem tersebut.

Perangkat lunak tidak sah termasuk trojan akses jarak jauh, cryptominer, atau backdoor tetap ada di endpoint karena tidak ada proses untuk mengidentifikasi dan menghapusnya.

Karyawan menginstal klien sinkronisasi cloud atau alat SaaS yang tidak sah yang mengeksfiltrasi data korporat ke penyimpanan cloud yang tidak dikelola di luar visibilitas organisasi.

Penyerang menginstal alat persistensi, keylogger, atau utilitas pergerakan lateral yang tidak terdeteksi karena tidak ada alat otomatis yang memantau instalasi perangkat lunak baru.

Tanpa proses manajemen data, data sensitif menyebar ke lokasi yang tidak terkontrol termasuk drive pribadi, layanan TI bayangan, dan berbagi file yang tidak aman.

Ketiadaan tingkat sensitivitas data dan persyaratan penanganan yang ditetapkan menyebabkan pelanggaran GDPR, HIPAA, atau PCI DSS ketika data yang diregulasi diproses tanpa perlindungan yang sesuai.

Tanpa persyaratan retensi dan pembuangan data, organisasi menyimpan data tanpa batas waktu, secara masif meningkatkan volume dan sensitivitas data yang terpapar selama pelanggaran.

Tanpa inventaris data, organisasi tidak dapat menentukan data sensitif apa yang terpapar dalam pelanggaran, menyebabkan pemberitahuan yang tertunda dan penilaian dampak yang diremehkan.

Data sensitif pada sistem yang dinonaktifkan atau dimigrasikan tidak ditangani dengan benar karena tidak ada inventaris yang melacak di mana data sensitif berada.

Pengguna dengan izin sistem file, basis data, atau aplikasi yang berlebihan mengakses data sensitif di luar kebutuhan mereka, meningkatkan risiko ancaman orang dalam dan radius dampak pelanggaran.

Penyerang yang mengkompromikan satu akun pengguna mendapatkan akses ke sistem file dan basis data yang dibagikan secara luas yang tidak memiliki daftar kontrol akses, memungkinkan pengambilan data yang cepat.

Tanpa daftar kontrol akses yang tepat, pengguna tidak sah atau akun yang dikompromikan dapat memodifikasi data bisnis kritis, catatan keuangan, atau file konfigurasi.

Penyerang mengeksploitasi konfigurasi default bawaan termasuk port terbuka, layanan yang tidak diperlukan, dan pengaturan keamanan yang lemah yang tidak pernah diperkuat sesuai baseline aman.

Seiring waktu, sistem menyimpang dari konfigurasi aman melalui perubahan ad-hoc, memperkenalkan kembali kerentanan yang sebelumnya dimitigasi dan menciptakan postur keamanan yang tidak konsisten.

Ransomware menyebar dengan cepat melalui sistem yang tidak memiliki konfigurasi yang diperkuat, mengeksploitasi protokol yang diaktifkan secara default seperti SMBv1 dan layanan akses jarak jauh yang tidak diperlukan.

Penyerang mendapatkan akses administratif ke router, switch, dan firewall menggunakan kredensial default yang terkenal atau community string SNMP yang tidak pernah diubah dari default vendor.

Perangkat jaringan yang dikonfigurasi tanpa pengerasan keamanan memungkinkan pencerminan lalu lintas, akses VLAN yang tidak sah, atau manipulasi routing yang memungkinkan serangan man-in-the-middle.

Penyerang atau orang dalam yang berbahaya mengakses data sensitif, menginstal malware, atau mengeksekusi perintah pada workstation yang tidak dijaga yang tidak pernah terkunci karena konfigurasi auto-lock yang hilang.

Di ruang kantor bersama atau lokasi publik, sesi idle yang tidak terkunci mengekspos data sensitif di layar dan memungkinkan orang yang lewat berinteraksi dengan sesi aplikasi yang terautentikasi.

Penyerang yang mengkompromikan satu server berpindah secara lateral ke server lain melalui port dan layanan terbuka yang seharusnya diblokir oleh firewall berbasis host, meningkatkan cakupan pelanggaran.

Mantan karyawan, kontraktor, atau pihak ketiga mempertahankan akun aktif yang tidak dilacak dalam inventaris, menggunakannya untuk mengakses sistem dan data setelah otorisasi mereka berakhir.

Akun yang tidak dilacak dalam inventaris mengumpulkan izin seiring waktu melalui perubahan peran tanpa tinjauan, menciptakan akun dengan hak istimewa berlebihan yang mewakili target bernilai tinggi.

Akun bersama atau generik yang tidak tercatat dalam inventaris dikompromikan, dan investigasi tidak dapat mengatribusikan tindakan ke individu tertentu karena kurangnya pelacakan akun.

Penyerang menggunakan kredensial yang bocor dari pelanggaran pihak ketiga untuk mengakses akun perusahaan di mana karyawan menggunakan ulang password yang sama di sistem pribadi dan kerja.

Penyerang melakukan serangan password spraying menggunakan password umum seperti 'Spring2026!' yang memenuhi aturan kompleksitas dasar tetapi dapat diprediksi, mengkompromikan beberapa akun secara bersamaan.

Penyerang yang mendapatkan hash password memecahkan password pendek atau sederhana dengan cepat menggunakan brute force yang dipercepat GPU atau rainbow table, mendapatkan akses ke akun dengan password lemah.

Penyerang mengkompromikan akun dormant melalui credential stuffing atau phishing, menggunakannya untuk akses persisten karena akun tidak aktif jarang dipantau untuk aktivitas mencurigakan.

Akun mantan kontraktor tetap aktif dan tidak dipantau selama berbulan-bulan setelah kontrak berakhir, menyediakan titik masuk jika kontraktor menjadi tidak bersahabat atau kredensial mereka bocor.

Tanpa proses pemberian formal, karyawan baru menerima akses dengan mengkloning izin pengguna lain, mewarisi hak istimewa yang tidak diperlukan yang terakumulasi melalui perubahan peran pengguna tersebut.

Pengguna yang berganti peran mengumpulkan akses dari posisi lama dan baru karena tidak ada proses terstruktur yang memastikan akses sebelumnya ditinjau saat akses baru diberikan.

Karyawan yang diberhentikan mempertahankan akses ke sistem perusahaan selama berhari-hari atau berminggu-minggu setelah kepergian karena tidak ada proses pencabutan, memungkinkan pencurian data atau sabotase sebagai pembalasan.

Akun kontraktor pihak ketiga tetap aktif tanpa batas waktu setelah keterlibatan mereka berakhir karena tidak ada proses pencabutan yang memicu pencabutan penyediaan saat hubungan bisnis berakhir.

Pengguna yang berganti departemen atau peran mempertahankan akses sebelumnya selain izin peran baru, secara bertahap mengumpulkan hak istimewa berlebihan di seluruh perusahaan.

Penyerang menggunakan basis data kredensial yang bocor untuk melakukan upaya login otomatis terhadap aplikasi yang terekspos secara eksternal yang hanya mengandalkan password tanpa MFA.

Kredensial karyawan yang dicuri melalui kampanye phishing memberikan akses langsung ke aplikasi yang terekspos secara eksternal karena tidak ada faktor kedua yang diperlukan untuk autentikasi.

Penyerang melakukan serangan brute-force berkelanjutan terhadap halaman login yang menghadap internet di mana autentikasi faktor tunggal memungkinkan tebakan kredensial tanpa batas dalam skala besar.

Tanpa proses manajemen kerentanan yang terdokumentasi, kerentanan kritis seperti Log4Shell atau MOVEit ditangani secara tidak konsisten, dengan beberapa tim segera melakukan patching sementara yang lain tetap terekspos selama berbulan-bulan.

Ketiadaan proses formal berarti kerentanan ditriase berdasarkan penilaian individual daripada kriteria berbasis risiko, memungkinkan kerentanan tingkat keparahan tinggi pada aset yang menghadap internet tetap ada sementara masalah internal berisiko rendah menghabiskan sumber daya remediasi.

Auditor dan regulator tidak menemukan bukti program manajemen kerentanan yang terstruktur, mengakibatkan kegagalan kepatuhan dan potensi denda di bawah kerangka kerja seperti PCI DSS atau HIPAA yang mewajibkan manajemen kerentanan terdokumentasi.

Penyerang mengeksploitasi kerentanan yang diketahui yang bertahan selama berbulan-bulan karena tidak ada jadwal remediasi berbasis risiko, memungkinkan aktor ancaman mempersenjatai eksploit publik jauh sebelum patch diterapkan.

Tanpa proses remediasi yang terstruktur, patch yang diterapkan secara tergesa-gesa menyebabkan ketidakstabilan sistem dan di-rollback, mengekspos kembali kerentanan sementara organisasi berjuang mencari perbaikan yang stabil.

Kerentanan ditunda secara permanen tanpa penerimaan risiko yang terdokumentasi atau kontrol kompensasi, menciptakan backlog sistem yang tidak ditambal yang terus bertumbuh dan mengumpulkan kelemahan yang dapat dieksploitasi.

Aktor ancaman memanfaatkan alat pemindaian otomatis untuk mengidentifikasi sistem perusahaan yang menjalankan sistem operasi yang tidak ditambal dan menyebarkan ransomware atau cryptominer melalui kerentanan tingkat OS yang diketahui seperti EternalBlue atau PrintNightmare.

Kerentanan yang dapat menjadi worm dalam sistem operasi yang tidak ditambal memungkinkan malware menyebar secara lateral di seluruh jaringan tanpa interaksi pengguna, seperti yang terlihat pada WannaCry dan NotPetya, karena patching OS otomatis tidak tersedia.

Aktor ancaman persisten tingkat lanjut beroperasi tanpa terdeteksi selama berbulan-bulan karena organisasi tidak memiliki persyaratan pencatatan yang terstandarisasi, meninggalkan aset kritis tanpa jejak audit yang diperlukan untuk mengidentifikasi aktivitas berbahaya.

Ketika pelanggaran ditemukan, responden insiden tidak dapat menentukan cakupan, akar penyebab, atau jadwal waktu karena proses manajemen log audit tidak pernah ditetapkan, menghasilkan pengumpulan log yang tidak konsisten dan tidak lengkap di seluruh sistem.

Audit regulasi mengungkapkan bahwa organisasi tidak memiliki proses manajemen log audit formal, mengakibatkan pelanggaran kepatuhan di bawah SOX, HIPAA, PCI DSS, atau GDPR yang memerlukan standar pencatatan dan kebijakan retensi yang terdokumentasi.

Penyerang secara khusus menargetkan aset di mana pencatatan audit dinonaktifkan atau tidak dikumpulkan, mengetahui aktivitas mereka tidak akan meninggalkan jejak forensik, memungkinkan waktu tinggal yang berkepanjangan dan eksfiltrasi data yang tidak terdeteksi.

Orang dalam yang berbahaya atau penyerang eksternal memodifikasi data kritis, konfigurasi, atau kontrol akses pada sistem di mana log audit tidak dikumpulkan, membuat tidak mungkin mendeteksi atau mengatribusikan perubahan yang tidak sah.

Penyerang canggih mengarahkan aktivitas mereka melalui aset tanpa pengumpulan log, menggunakan titik buta ini sebagai area staging untuk pergerakan lateral dan staging data sambil tetap tidak terlihat oleh pemantauan keamanan.

Data log audit kritis secara diam-diam ditimpa atau dibuang ketika tujuan pencatatan kehabisan penyimpanan, menghancurkan bukti serangan yang sedang berlangsung atau catatan yang diperlukan kepatuhan selama periode yang paling dibutuhkan.

Penyerang secara sengaja menghasilkan volume besar entri log untuk menghabiskan penyimpanan yang tersedia, menyebabkan peristiwa audit yang sah dijatuhkan dan menciptakan jendela aktivitas yang tidak dipantau untuk operasi berbahaya mereka yang sebenarnya.

Browser yang usang atau tidak didukung mengandung kerentanan yang diketahui yang ditargetkan exploit kit untuk mengirimkan malware melalui iklan berbahaya, situs web yang dikompromikan, atau serangan watering hole tanpa memerlukan interaksi pengguna selain mengunjungi halaman.

Klien email yang tidak didukung dengan kerentanan rendering atau parsing yang diketahui dieksploitasi untuk mengeksekusi kode berbahaya ketika pengguna mempratinjau atau membuka email yang dibuat khusus, melewati kontrol keamanan berbasis lampiran.

Browser yang usang yang mendukung versi TLS yang deprecated atau cipher suite yang lemah memungkinkan penyerang man-in-the-middle untuk mencegat dan mendekripsi sesi web sensitif, termasuk lalu lintas perbankan, email, dan aplikasi perusahaan.

Malware pada aset perusahaan berkomunikasi dengan domain berbahaya yang diketahui untuk instruksi command-and-control, unduhan payload, dan eksfiltrasi data, dan tanpa penyaringan DNS koneksi ini berhasil tanpa hambatan.

Pengguna mengklik tautan phishing yang menyelesaikan ke domain berbahaya yang diketahui yang meniru halaman login yang sah, dan tanpa pemblokiran tingkat DNS domain ini dapat diakses secara bebas, memungkinkan pengambilan kredensial dalam skala besar.

Aset perusahaan terhubung ke domain yang meng-host skrip cryptomining atau iklan berbahaya yang mengirimkan drive-by download, mengkonsumsi sumber daya dan berpotensi menginstal malware karena tidak ada penyaringan DNS yang memblokir ancaman yang diketahui ini.

Pengguna mengunjungi situs web sah tetapi dikompromikan yang mengalihkan ke URL berbahaya yang meng-host exploit kit, dan tanpa penyaringan URL berbasis jaringan pengalihan berbahaya ini berhasil mengirimkan payload malware.

Kampanye phishing canggih menggunakan domain yang baru dibuat yang meniru portal login korporat, dan tanpa penyaringan reputasi URL dan pemblokiran berbasis kategori situs ini dapat diakses oleh semua pengguna perusahaan.

Tanpa perangkat lunak anti-malware yang di-deploy, aset perusahaan rentan terhadap malware komoditas termasuk ransomware, trojan perbankan, pencuri informasi, dan cryptominer yang secara rutin diblokir oleh solusi AV dasar sekalipun.

Varian ransomware seperti LockBit, BlackCat, atau Cl0p mengeksekusi dan mengenkripsi data pada sistem tanpa perlindungan anti-malware, menyebabkan gangguan operasional dan potensi kehilangan data karena tidak ada perangkat lunak yang mendeteksi atau mencegah proses enkripsi.

Malware pencuri informasi (RedLine, Raccoon, Vidar) mengeksekusi pada endpoint yang tidak terlindungi, mengambil kredensial browser yang tersimpan, cookie sesi, dompet cryptocurrency, dan konfigurasi VPN untuk dijual di pasar dark web.

Perangkat lunak anti-malware dengan basis data signature yang usang gagal mendeteksi varian malware yang baru dirilis yang akan tertangkap oleh signature terkini, meninggalkan endpoint rentan terhadap ancaman yang berusia hari atau minggu.

Varian ransomware baru yang dirilis setelah pembaruan signature terakhir mengeksekusi secara bebas pada endpoint dengan definisi yang usang, mengenkripsi file sebelum mesin anti-malware mengenali pola ancaman.

Perangkat USB yang berisi malware secara otomatis mengeksekusi payload berbahaya ketika dimasukkan ke sistem dengan autorun yang diaktifkan, teknik yang digunakan dalam serangan tertarget (gaya Stuxnet) dan kampanye oportunistik di mana drive USB yang terinfeksi didistribusikan di area publik.

Worm yang menyebar sendiri menyebar di seluruh perusahaan melalui media yang dapat dilepas dengan memanfaatkan fungsionalitas autorun untuk menyalin diri ke setiap perangkat USB yang dimasukkan, kemudian mengeksekusi secara otomatis pada setiap sistem baru yang dihubungkan perangkat.

Penyerang dengan sengaja meninggalkan drive USB yang terinfeksi di tempat parkir, lobi, atau ruang konferensi, dan fungsionalitas autorun menyebabkan payload berbahaya mengeksekusi segera ketika karyawan yang penasaran memasukkan perangkat ke workstation mereka.

Ransomware mengenkripsi data bisnis kritis dan organisasi tidak memiliki proses pemulihan yang terdokumentasi, prioritas pemulihan, atau prosedur yang teruji, mengakibatkan respons yang kacau, downtime yang berkepanjangan, dan potensi kehilangan data permanen.

Insiden besar menghancurkan data di beberapa sistem, dan tanpa proses pemulihan yang terdokumentasi yang mendefinisikan sistem dan set data mana yang harus dipulihkan terlebih dahulu, tim membuang waktu memulihkan sistem prioritas rendah sementara operasi bisnis kritis tetap offline.

Data backup disimpan tanpa enkripsi atau kontrol akses karena dokumentasi proses pemulihan tidak membahas persyaratan keamanan backup, memungkinkan penyerang mengakses data backup sensitif atau mengenkripsi repositori backup.

Kegagalan hardware, korupsi penyimpanan, atau penghapusan tidak sengaja menghancurkan data kritis, dan tanpa backup otomatis yang berjalan pada jadwal yang ditetapkan organisasi tidak dapat memulihkan ke kondisi terkini, mengakibatkan kehilangan data permanen.

Setelah serangan ransomware, organisasi menemukan bahwa backup berusia berminggu-minggu atau berbulan-bulan karena jadwal backup otomatis tidak pernah dikonfigurasi, memaksa pilihan antara membayar tebusan atau menerima kehilangan data yang signifikan.

Proses backup manual dilewatkan selama periode sibuk, transisi staf, atau perubahan organisasi, menciptakan kesenjangan dalam cakupan backup yang baru ditemukan ketika pemulihan data diperlukan selama insiden.

Operator ransomware secara khusus menargetkan sistem backup dan mengenkripsi atau menghapus data backup yang disimpan tanpa perlindungan yang memadai, menghilangkan kemampuan organisasi untuk pulih tanpa membayar tebusan.

Media atau repositori backup yang tidak terenkripsi diakses oleh pihak yang tidak berwenang, mengekspos data sensitif termasuk PII, catatan keuangan, dan kekayaan intelektual yang ada dalam format yang mudah dipulihkan dalam arsip backup.

Penyerang mengeksploitasi kerentanan yang diketahui dalam firmware router, switch, dan firewall yang usang (seperti CVE di Cisco IOS, Fortinet FortiOS, atau Palo Alto PAN-OS) untuk mendapatkan kontrol infrastruktur jaringan dan mencegat, mengalihkan, atau mengganggu semua lalu lintas yang mengalir melalui perangkat yang dikompromikan.

Infrastruktur jaringan yang menjalankan firmware akhir masa pakai yang tidak lagi menerima patch keamanan mengumpulkan kerentanan yang dapat dieksploitasi, dan penyerang yang mengkompromikan perangkat ini mendapatkan akses tingkat jaringan yang persisten yang sulit dideteksi dan diremediasi.

Perangkat jaringan yang menjalankan perangkat lunak yang tidak didukung mengalami masalah stabilitas dan crash yang tidak dapat diselesaikan karena dukungan vendor telah berakhir, menyebabkan outage jaringan yang tidak dapat diprediksi yang mempengaruhi operasi bisnis.

Penyerang yang mengkompromikan satu endpoint bergerak bebas di seluruh jaringan karena tidak ada segmentasi, mengakses basis data, server file, dan sistem kritis yang seharusnya terisolasi dari lalu lintas pengguna umum.

Ransomware menyebar ke setiap sistem yang dapat dijangkau di jaringan karena kurangnya segmentasi tidak menyediakan hambatan untuk penyebaran, mengubah infeksi satu host menjadi peristiwa enkripsi seluruh perusahaan.

Arsitektur jaringan yang tidak menegakkan least privilege memungkinkan pengguna dan sistem mengakses sumber daya jaringan jauh melampaui kebutuhan operasional mereka, memungkinkan penyerang mencapai target bernilai tinggi dari titik masuk yang dikompromikan mana pun.

Penyerang mencegat lalu lintas manajemen perangkat jaringan menggunakan protokol tidak aman (Telnet, HTTP, SNMPv1/v2) untuk menangkap kredensial administratif, kemudian menggunakannya untuk mengonfigurasi ulang perangkat, membuat akses backdoor, atau mengganggu layanan jaringan.

Konfigurasi perangkat jaringan dimodifikasi tanpa kontrol versi, manajemen perubahan, atau jejak audit, dan perubahan yang tidak sah menciptakan celah keamanan seperti aturan firewall yang dibuka, pencatatan yang dinonaktifkan, atau entri rute baru yang mengalihkan lalu lintas.

Penyerang mengkompromikan satu endpoint dan bergerak secara lateral di seluruh jaringan tanpa terdeteksi karena peristiwa keamanan dari sumber yang berbeda tidak dikorelasikan di platform terpusat.

Kampanye eksfiltrasi data bertahan selama berbulan-bulan karena log firewall, endpoint, dan autentikasi ditinjau secara independen daripada dikorelasikan, mencegah analis menghubungkan indikator kompromi terkait.

Analis melewatkan indikator serangan kritis yang terkubur di lusinan sumber log independen, memungkinkan operator ransomware menyelesaikan kill chain mereka sebelum terdeteksi.

Penyerang men-deploy malware fileless menggunakan PowerShell atau WMI yang beroperasi sepenuhnya di memori, menghindari deteksi tingkat jaringan karena tidak ada solusi deteksi intrusi berbasis host yang memantau perilaku proses.

Orang dalam yang berbahaya menginstal alat pengambilan kredensial atau keylogger pada workstation mereka, yang tidak terdeteksi tanpa deteksi intrusi berbasis host yang memantau aktivitas sistem lokal.

Penyerang menginstal rootkit tingkat kernel yang bertahan saat reboot dan menyembunyikan proses berbahaya dari alat OS standar, tetap tidak terlihat tanpa HIDS khusus yang memeriksa integritas sistem.

Penyerang membangun komunikasi C2 terenkripsi melalui HTTPS atau DNS tunneling yang melewati firewall perimeter, tetap tidak terdeteksi karena tidak ada sistem deteksi intrusi jaringan yang memeriksa pola lalu lintas.

Penyerang mengeksploitasi kerentanan dalam layanan internal, dan lalu lintas eksploit melintasi segmen jaringan tanpa memicu peringatan apa pun karena tidak ada NIDS yang di-deploy untuk menganalisis lalu lintas timur-barat.

Kampanye phishing canggih menargetkan karyawan yang tidak menerima pelatihan kesadaran keamanan, mengakibatkan kompromi kredensial luas karena staf tidak dapat mengenali taktik rekayasa sosial.

Karyawan tanpa disadari menginstal malware dengan mengklik tautan berbahaya atau membuka lampiran yang dipersenjatai karena mereka tidak pernah diedukasi tentang praktik komputasi aman melalui program kesadaran formal.

Penyerang menyamar sebagai vendor melalui telepon dan meyakinkan karyawan untuk berbagi kredensial sistem, berhasil karena tidak ada program kesadaran keamanan yang membangun budaya verifikasi dan skeptisisme.

Penyerang mengirim email spear-phishing yang ditargetkan yang menyamar sebagai eksekutif internal, dan penerima memasukkan kredensial pada halaman login palsu karena mereka tidak pernah dilatih untuk mengidentifikasi indikator phishing.

Penyerang menyamar sebagai CEO melalui email dan menginstruksikan staf keuangan untuk mentransfer dana ke akun palsu, berhasil karena karyawan tidak dilatih untuk mengenali pretexting dan memverifikasi permintaan yang tidak biasa.

Orang tidak berwenang mengikuti karyawan melalui pintu yang dikendalikan badge dengan membawa kotak dan tampak membutuhkan bantuan, mendapatkan akses fisik karena staf belum dilatih tentang kesadaran tailgating.

Penyerang menggunakan kredensial yang bocor dari pelanggaran pihak ketiga untuk mengakses akun perusahaan karena karyawan tidak pernah dilatih tentang keunikan password dan bahaya penggunaan ulang kredensial di seluruh layanan.

Penyerang menipu karyawan untuk menyetujui notifikasi push MFA yang palsu karena karyawan tidak pernah dilatih tentang cara kerja serangan kelelahan MFA atau cara mengenali permintaan autentikasi yang tidak sah.

Penyedia layanan dengan akses ke data perusahaan dikompromikan, tetapi organisasi tidak dapat menilai dampak atau merespons secara efektif karena tidak memiliki inventaris penyedia mana yang memiliki akses ke data apa.

Departemen secara independen mengontrak penyedia layanan cloud yang memproses data sensitif, dan tim keamanan tidak menyadari hubungan tersebut karena tidak ada inventaris penyedia layanan terpusat.

Mantan penyedia layanan mempertahankan akses aktif ke sistem perusahaan berbulan-bulan setelah kontrak berakhir karena tidak ada inventaris yang melacak hubungan penyedia atau kontak yang ditunjuk yang bertanggung jawab atas manajemen siklus hidup.

Unit bisnis yang berbeda menerapkan persyaratan keamanan yang bervariasi dan sering kali tidak memadai kepada penyedia layanan karena tidak ada kebijakan manajemen terpadu yang mendefinisikan standar untuk penilaian, pemantauan, dan pencabutan vendor.

Penyedia layanan yang menangani data sensitif yang diregulasi dilibatkan tanpa penilaian keamanan apa pun karena tidak ada kebijakan yang mewajibkan kriteria evaluasi sebelum meng-onboard vendor.

Penyedia layanan yang memproses volume besar data sensitif yang diregulasi diperlakukan dengan pengawasan minimal yang sama seperti vendor pasokan kantor berisiko rendah karena tidak ada sistem klasifikasi yang membedakan tingkat risiko penyedia.

Organisasi gagal dalam audit regulasi karena tidak dapat mendemonstrasikan pengawasan yang sesuai risiko terhadap penyedia layanan yang menangani data kesehatan atau keuangan yang dilindungi, karena tidak ada skema klasifikasi.

Penyedia layanan mengalami pelanggaran yang mempengaruhi data perusahaan tetapi menunda pengungkapan selama berbulan-bulan karena tidak ada persyaratan kontraktual yang mewajibkan pemberitahuan pelanggaran tepat waktu, meninggalkan organisasi tidak mampu merespons.

Beberapa aplikasi yang dikembangkan internal mengandung kategori kerentanan yang sama seperti kelemahan injection dan autentikasi rusak karena tidak ada proses pengembangan aman yang mendefinisikan standar pengkodean atau persyaratan keamanan.

Developer memasukkan library open-source dengan kerentanan kritis yang diketahui ke dalam aplikasi produksi karena proses pengembangan tidak memiliki persyaratan untuk memeriksa keamanan kode pihak ketiga.

Aplikasi dipercepat ke produksi tanpa pengujian keamanan apa pun karena tidak ada proses pengembangan aman formal yang mewajibkan gerbang keamanan dalam pipeline rilis.

Peneliti keamanan mengungkapkan secara publik kerentanan dalam aplikasi organisasi setelah upaya pengungkapan bertanggung jawab gagal karena tidak ada proses untuk menerima dan menriase laporan kerentanan.

Penyerang menemukan dan mengeksploitasi kerentanan yang telah dilaporkan oleh pengguna tetapi tidak pernah diproses karena organisasi tidak memiliki mekanisme penerimaan untuk laporan kerentanan.

Kelas kerentanan yang sama seperti SQL injection berulang di beberapa aplikasi karena kelemahan individual ditambal tanpa menganalisis akar penyebab, memungkinkan kesalahan pengkodean sistemis tetap ada.

Tim pengembangan terus menghasilkan kode dengan kelemahan bypass autentikasi yang sama karena tidak ada analisis akar penyebab yang mengidentifikasi kesenjangan proses atau pengetahuan yang mendasari yang menyebabkan kerentanan berulang.

Library pihak ketiga yang banyak digunakan yang termasuk dalam aplikasi dikompromikan oleh penyerang yang menyuntikkan kode berbahaya ke dalam pembaruan, dan organisasi tidak menyadari karena tidak memiliki inventaris komponen pihak ketiga.

Insiden keamanan meningkat karena tidak ada personel yang ditunjuk untuk mengoordinasikan respons, mengakibatkan pengambilan keputusan ad-hoc, upaya yang terduplikasi, dan waktu tinggal penyerang yang berkepanjangan.

Satu-satunya orang dengan pengetahuan penanganan insiden tidak dapat dihubungi selama serangan ransomware, dan tidak ada cadangan yang ditunjuk, meninggalkan organisasi lumpuh selama jam-jam awal kritis insiden.

Setelah pelanggaran data, organisasi gagal memberitahu badan regulasi yang diperlukan dalam jangka waktu yang diwajibkan karena tidak ada daftar kontak yang dipelihara untuk pihak pelaporan insiden.

Klaim asuransi siber organisasi ditolak karena perusahaan asuransi tidak diberitahu dalam jangka waktu yang diperlukan, karena informasi kontak insiden penyedia asuransi tidak tersedia.

Selama serangan ransomware aktif, jam-jam kritis hilang untuk mengidentifikasi kontak penegak hukum yang tepat karena tidak ada daftar kontak yang dibuat sebelumnya untuk pelaporan insiden keamanan.

Karyawan mengamati indikator kompromi tetapi tidak melaporkannya karena tidak ada proses pelaporan perusahaan yang mendefinisikan bagaimana, kapan, atau kepada siapa insiden harus dilaporkan.

Karyawan melaporkan dugaan pelanggaran kepada manajer langsung mereka alih-alih tim keamanan, dan informasi membutuhkan waktu berhari-hari untuk mencapai orang yang tepat karena tidak ada proses pelaporan formal.

Selama pelanggaran signifikan, upaya respons tidak terkoordinasi karena tidak ada proses yang terdokumentasi yang mendefinisikan peran, tanggung jawab, jalur eskalasi, atau rencana komunikasi, menyebabkan penghancuran bukti dan akses penyerang yang berkepanjangan.

Kerentanan kritis yang dapat dieksploitasi di jaringan, aplikasi, dan layanan perusahaan tetap tidak ditemukan karena tidak ada program pengujian penetrasi untuk secara proaktif mengidentifikasinya sebelum penyerang melakukannya.

Organisasi hanya mengandalkan pemindaian kerentanan otomatis, yang melewatkan rantai serangan kompleks dan kelemahan konfigurasi yang hanya akan diungkap oleh program pengujian penetrasi terstruktur.

Organisasi gagal memenuhi persyaratan regulasi atau kontraktual untuk pengujian penetrasi karena tidak ada program dengan cakupan, frekuensi, dan proses remediasi yang ditetapkan.

Penyerang mengeksploitasi layanan yang menghadap eksternal yang salah konfigurasi yang akan teridentifikasi melalui pengujian penetrasi eksternal, mendapatkan akses awal ke jaringan perusahaan.

Informasi yang tersedia secara publik seperti kredensial yang terekspos, dokumen internal, atau detail infrastruktur dimanfaatkan oleh penyerang karena tidak ada pengujian penetrasi eksternal dengan fase pengintaian yang mengidentifikasi paparan.

Penyerang menemukan titik masuk eksternal yang terlewat seperti endpoint VPN lama atau subdomain yang terlupakan yang tidak dicakup kontrol keamanan perimeter, karena tidak ada pengujian penetrasi eksternal yang memetakan permukaan serangan penuh.

Penyerang mengeksploitasi kerentanan yang diidentifikasi dalam pengujian penetrasi tetapi tidak pernah diremediasi karena tidak ada proses untuk melacak dan memprioritaskan remediasi temuan pentest.

Temuan pengujian penetrasi kritis diprioritaskan rendah oleh tim pengembangan yang fokus pada fitur karena tidak ada kebijakan organisasi yang mewajibkan jadwal remediasi berdasarkan keparahan temuan.