Azura Team • 2025-05-05
Azura Labs, Semarang – Dalam dunia digital yang makin terhubung, ancaman siber juga semakin kompleks. Salah satu jenis serangan yang terus berkembang dan menjadi perhatian utama di tahun 2025 adalah supply chain attack. Serangan ini tidak lagi menyasar target secara langsung, melainkan masuk lewat celah yang sering kali tidak terduga—dari vendor, mitra, hingga software pihak ketiga yang digunakan sehari-hari.
Supply chain attack atau serangan rantai pasok adalah metode peretasan di mana penyerang menyusup ke sistem melalui celah dalam rantai pasokan—misalnya dengan menyisipkan malware ke dalam update software, library open-source, atau layanan cloud yang digunakan oleh target.
Berbeda dengan serangan tradisional yang menyerang satu sistem langsung, supply chain attack mengeksploitasi kepercayaan antara organisasi dan mitra teknologinya. Hal ini membuatnya lebih sulit dideteksi dan bisa berdampak besar secara luas.
Contoh nyatanya? Kita bisa melihat kembali kasus SolarWinds di awal dekade ini, atau serangan 3CX Desktop App dan Open Source Library Poisoning yang makin marak di tahun-tahun terakhir. Bahkan pada 2025, perusahaan cloud besar pun mulai lebih ketat dalam audit karena meningkatnya serangan dari dalam ekosistem mereka sendiri.
Untuk memahami bagaimana supply chain attack bisa masuk ke sistem, berikut adalah alur umumnya:
Penyerang mencari celah di sistem pihak ketiga yang digunakan oleh target, seperti plugin, tools developer, dependency package, atau layanan cloud.
Setelah menemukan celah, pelaku menyusupkan malware atau backdoor ke dalam komponen tersebut. Misalnya, melalui update software yang tampak resmi.
Komponen yang sudah terinfeksi ini kemudian di-deploy oleh perusahaan target karena dipercaya sebagai bagian dari sistem resmi.
Setelah komponen digunakan, malware mulai bekerja—mulai dari mencuri data, membuka akses ke sistem internal, hingga menyebarkan ransomware.
Di tahun 2025, dengan makin banyaknya integrasi AI, IoT, dan cloud-native tools, vektor serangan pun makin luas. Bahkan tools CI/CD dan DevOps pipeline kini jadi target empuk supply chain attack.
Untungnya, meski supply chain attack semakin canggih, upaya pencegahannya juga terus berkembang. Berikut beberapa strategi efektif yang bisa diterapkan:
Jangan asal percaya. Pastikan vendor yang digunakan memiliki standar keamanan yang jelas, seperti ISO 27001 atau SOC 2. Lakukan audit rutin dan minta transparansi terhadap proses keamanan mereka.
Tahun 2025, penggunaan SBOM sudah mulai menjadi standar di banyak industri. SBOM memungkinkan organisasi melacak semua komponen software yang digunakan—termasuk versi dan asalnya—sehingga lebih mudah mendeteksi anomali.
Dalam arsitektur zero trust, tidak ada entitas yang otomatis dipercaya—bahkan komponen internal sekalipun. Semua akses harus diverifikasi terlebih dahulu.
Amankan pipeline pengembangan Anda. Pastikan tidak ada skrip build atau dependency yang bisa diubah oleh pihak tak bertanggung jawab. Gunakan signature digital untuk memastikan integritas.
Gunakan sistem monitoring cerdas berbasis AI untuk mendeteksi aktivitas tidak biasa, seperti update software dari sumber yang mencurigakan atau komunikasi data yang tidak lazim.
Kesadaran keamanan di semua lini penting. Latih tim developer, IT, dan operasional untuk mengenali potensi red flag dalam penggunaan tools pihak ketiga.
Supply chain attack adalah ancaman nyata yang tak bisa dianggap enteng di tahun 2025. Dengan pendekatan yang cerdas dan proaktif—mulai dari audit vendor hingga adopsi arsitektur zero trust—organisasi bisa lebih siap menghadapi jenis serangan ini.
Di era digital saat ini, keamanan tidak hanya soal melindungi sistem internal, tapi juga tentang membangun ekosistem yang aman dan saling terpercaya.
PT. INSAN MEMBANGUN BANGSA
Jl. Lumbungsari V no 3 Kel. Kalicari, Kec. Pedurungan, Kota Semarang, Kode Pos 50198