Pada bulan April, satu kerentanan VPN menyebabkan pelanggaran data di lebih dari tujuh puluh lembaga keuangan yang menjalankan infrastruktur Marquis Software, menurut laporan American Banker mengenai insiden tersebut. Patchnya ada. Institusi-institusi yang terkena dampak kemungkinan besar telah melakukan tes penetrasi baru-baru ini. Hal ini tidak mencegah eksposur yang semakin besar di seluruh portofolio.
Perhitungannya sangat mudah. Uji penetrasi eksternal tahunan standar dilakukan selama dua hingga tiga minggu pengujian aktif. Artinya, sekitar 345 hari realitas operasional tidak tervalidasi.
Mandiant Laporan M-Trends 2026 menempatkan waktu tunggu rata-rata pada tahun 2025 adalah empat belas hari, membalikkan penurunan multi-tahun, dengan rata-rata waktu tunggu pelaku spionase adalah 122 hari.
Laporan Ancaman Global CrowdStrike tahun 2026 menempatkan layanan keuangan di peringkat keempat dalam penargetan intrusi interaktif. Musuh tidak menunggu di antara penilaian tahunan. Model tersebut berasumsi bahwa mereka akan melakukannya.
Regulator Menetapkan Dasar Terhadap Model Ancaman yang Lebih Lambat
PCI DSS, FFIEC, dan NYDFS semuanya mengacu pada pengujian penetrasi dalam persyaratan dan panduannya. Tak satu pun dari mereka menggambarkan irama tahunan sebagai hal yang cukup.
Persyaratan PCI DSS 4.0 11.3.1 mengamanatkan pengujian penetrasi eksternal setelah peningkatan atau modifikasi infrastruktur atau aplikasi yang signifikan. Buku Pedoman Pemeriksaan TI FFIEC menjelaskan pengujian penetrasi sebagai bagian dari manajemen kerentanan yang berkelanjutan, bukan acara tahunan yang terpisah. NYDFS Bagian 500.05 mengamanatkan pengujian tahunan bersamaan dengan kewajiban pemantauan berkelanjutan yang diperkuat dalam amandemen 23 NYCRR 500 tahun 2023.
Masing-masing kerangka kerja ini mengasumsikan pengujian terjadi sebagai respons terhadap perubahan. Dasar peraturan dibuat untuk institusi yang mengalami perubahan signifikan pada siklus rilis triwulanan.
Irama tersebut tidak sesuai dengan infrastruktur perbankan modern. Rilis perbankan digital, migrasi beban kerja cloud, integrasi API fintech, peluncuran portal pihak ketiga, dan integrasi M&A semuanya menghasilkan permukaan serangan yang belum teruji di antara pengujian tahunan.
Pertanyaan kepatuhan bukan lagi apakah lembaga tersebut melakukan pengujian tahun lalu. Apakah lembaga tersebut menguji hal-hal yang benar-benar berubah.
Apa yang Dihasilkan oleh Kesenjangan, Didokumentasikan
Dalam keterlibatan baru-baru ini di sebuah bank regional, penguji Sprocket mengidentifikasi temuan pada portal asal hipotek yang menghadap pelanggan yang dimiliki bank tersebut di subdomain yang dimilikinya. Portal ini dioperasikan oleh vendor platform pihak ketiga, dengan merek bank dan nama host diberikan kepada pemohon. Aset tersebut berada dalam cakupan pengujian eksternal.
Platform mengekspos titik akhir API yang mengembalikan catatan organisasi ketika diberi ID penyewa. Titik akhir tidak memerlukan autentikasi dan sesi apa pun. Kebijakan lintas asal platform memungkinkan situs pihak ketiga mana pun untuk menjalankan permintaan yang sama dari browser pengunjung tanpa interaksi pengguna.
ID penyewa itu sendiri terlihat di file portal yang dapat dilihat publik, sehingga penelepon yang tidak diautentikasi tidak perlu menebaknya. Menambah ID penyewa sebanyak satu akan mengembalikan catatan untuk institusi berikutnya pada platform bersama. Dengan mengulangi rentang tersebut, muncul catatan untuk setiap lembaga keuangan yang berjalan di platform, ditambah penyewa internal vendor itu sendiri.
Catatan yang dikembalikan tidak bersifat umum. Masing-masing berisi nama staf dengan alamat email bisnis, nomor telepon sambungan langsung, jabatan, dan kode internal yang digunakan platform untuk mengaitkan pengajuan peminjam ke personel tertentu.
Kode tersebut memiliki arti yang penting: setiap penelepon yang memiliki kode yang valid dapat mengajukan permohonan calon peminjam atas nama petugas yang ditunjuk terhadap institusi petugas tersebut, dan platform akan menganggap pengajuan tersebut sebagai masukan yang sah ke dalam jalur asal pinjaman.
Bank tidak memperkenalkan eksposur ini. Vendor platform melakukannya. Penilaian eksternal tahunan bank sebelumnya mungkin telah mencakup cakupan hostname pada saat pengujian, namun tidak ada pemindai otomatis yang menampilkan temuan ini.
Untuk menangkapnya, diperlukan penelusuran ID penyewa berurutan terhadap titik akhir yang tidak terdokumentasi dan memvalidasi bahwa catatan yang dikembalikan adalah milik institusi lain, dan catatan tersebut harus dijalankan terhadap penerapan produksi.
Risiko hilir inilah yang membuat temuan ini bersifat regulasi, bukan sekedar teknis. Data milik setiap institusi lain di platform bersama dapat diekstraksi melalui nama host bank.
Setiap insiden penipuan, phishing, atau kepatuhan yang terjadi setelah paparan tersebut akan diarahkan ke institusi yang disebutkan dalam URL, terlepas dari data penyewa mana yang sebenarnya digunakan oleh penyerang.
Pengujian Berkelanjutan Adalah Jawaban Operasional atas Keterlibatan di Atas
Temuan di atas sebagian besar diabaikan dalam model tahunan. Tiga alasan, masing-masing terkait langsung dengan pertunangan.
Aset memasuki jejak eksternal bank ketika vendor memasukkan bank ke platform, bukan ketika pentest bank dicakup. Jika cakupan keterlibatan ditetapkan berdasarkan gambaran infrastruktur dari enam bulan sebelumnya, nama host mungkin tidak dicantumkan. Manajemen permukaan serangan menutup kesenjangan ini dengan memperlakukan host baru dan layanan baru yang terekspos sebagai pemicu pengujian, bukan dengan menunggu diskusi cakupan tahunan berikutnya.
Aset tersebut juga merupakan sesuatu yang secara rutin dikecualikan oleh institusi dari cakupan tahunannya. Portal yang dioperasikan vendor yang berada di subdomain institusi tersebut menempati zona abu-abu dalam melingkupi percakapan.
Mereka bukan aplikasi bank, bank tidak memiliki kode sumber, bank tidak mengontrol rilis, dan vendor memelihara program keamanannya sendiri.
Institusi secara wajar memutuskan bahwa vendor platform bertanggung jawab untuk menguji kodenya sendiri dan mengecualikan nama host dari keterlibatan. Pengintaian eksternal yang terus-menerus tidak menghormati batasan tersebut.
Jika nama host dapat dijangkau di Internet terbuka di bawah domain yang dimiliki bank, maka nama host tersebut adalah bagian dari permukaan serangan eksternal bank, dan penyerang yang menghitung perimeter bank akan menemukannya baik dalam dokumen cakupan terbaru bank yang mencantumkannya atau tidak.
Temuan ini juga memerlukan pengujian aktif pada manusia, bukan keluaran pemindai. Pemindai kerentanan yang menyapu nama host akan melaporkan titik akhir sebagai responsif dan kebijakan CORS sebagai permisif, mungkin menandai header autentikasi yang hilang, dan berhenti di situ.
Ini tidak akan memasukkan ID penyewa, memvalidasi pengembalian data lintas penyewa, atau menyatukan kode atribusi staf ke dalam skenario pemalsuan pengiriman. Otomatisasi memunculkan kemungkinan. Penguji menetapkan apa yang sebenarnya dapat dieksploitasi, dan apa dampak hilirnya jika hal tersebut dapat dieksploitasi.
Keamanan Sproket mengoperasikan model berkelanjutan berdasarkan prinsip ini. Pengesahan berikutnya mencerminkan apa yang diuji terhadap infrastruktur yang ada saat pengujian dijalankan, bukan gambaran singkat dari dua belas bulan sebelumnya.
Kesenjangannya bersifat struktural, bukan masalah irama
Kesenjangan 345 hari bukanlah angka pemasaran. Ini adalah fitur struktural dari model pengujian tahunan. Regulator menulis persyaratan pengujian dengan asumsi institusi akan menguji hal-hal yang berubah, ketika hal itu berubah.
Sebagian besar institusi menguji apa yang ada pada saat penugasan, pada jadwal penugasan yang dicakupnya, dan memperlakukan pengesahan yang dihasilkan sebagai deskripsi eksposur saat ini. Deskripsi tersebut menjadi kurang akurat setiap hari setelah tes selesai.
Institusi yang menutup kesenjangan bukanlah institusi yang melakukan tes lebih sering. Merekalah yang program pengujiannya merespons apa yang sebenarnya dilakukan infrastruktur mereka.
Lihat bagaimana Anda dapat membangun argumen Anda untuk pengujian berkelanjutan di bidang keuangan saat ini.
Disponsori dan ditulis oleh Keamanan Sproket.
