Kembali ke Dasar: Menghadapi Ancaman yang Semakin Cepat dan Besar
Dengan para penyerang bergerak lebih cepat dan lebih besar dari sebelumnya, dasar-dasar keamanan siber menjadi semakin penting. Unit 42 telah mengumpulkan data dari ratusan insiden di seluruh dunia untuk mengidentifikasi titik lemah dalam postur keamanan yang membuat serangan siber pada tahun 2023 lebih berisiko dan menyakitkan dari yang seharusnya.
Manajemen patch dan kerentanannya yang efektif, visibilitas yang lengkap, serta praktik manajemen identitas yang komprehensif sering kali terasa sulit dicapai. Laporan Respons Insiden 2024 kami mengungkapkan kebutuhan bagi para pembela untuk memprioritaskan dasar-dasar keamanan ini lebih dari sebelumnya.
Manajemen Patch dan Kerentanannya yang Tidak Efektif
Kerentanan pada perangkat lunak dan API adalah sasaran utama bagi aktor jahat. Menurut Laporan Respons Insiden Unit 42, 38% dari pelanggaran yang terjadi pada tahun lalu mengeksploitasi kerentanannya, menggantikan phishing dan rekayasa sosial sebagai vektor serangan utama dalam dua tahun sebelumnya.
Kerentanan dalam perangkat lunak, seperti layanan berbagi file MOVEit, memungkinkan para penyerang melancarkan kampanye intrusi berskala besar. Kami menemukan bahwa lebih dari 85% organisasi memiliki Remote Desktop Protocol (RDP) yang dapat diakses melalui internet selama setidaknya 25% dari satu bulan, yang secara signifikan meningkatkan risiko serangan ransomware.
Organisasi harus memahami permukaan serangan yang menghadap ke internet mereka, yang lebih mudah dikatakan daripada dilakukan.
Kerentanannya yang belum ditemukan (zero-day vulnerabilities) memicu perlombaan antara para aktor ancaman dan pembela (termasuk pengembang, vendor, dan pelanggan) untuk mengeksploitasi atau mengatasi sistem yang terpengaruh. Sayangnya, penyerang memiliki kecepatan di pihak mereka. Pembela harus menunggu pengembang merilis patch, kemudian menguji patch tersebut sebelum menerapkannya pada sistem yang aktif, memastikan patch tersebut tidak merusak hal-hal yang sangat penting.
Kerentanannya ditemukan dengan tingkat yang jauh lebih cepat daripada kemampuan tim paling efisien untuk menambalnya. Menurut NIST, lebih dari 28.000 kerentanannya dilaporkan pada tahun 2023. Ketika kerentanannya diumumkan, penyerang dapat memindai seluruh internet untuk mencari instance yang terekspos dan mengeksploitasinya dalam hitungan jam. Sementara itu, perusahaan rata-rata membutuhkan waktu tiga minggu untuk memperbaikinya.
Patch bukan satu-satunya kerentanannya yang memberikan pintu masuk bagi penyerang. Konfigurasi yang tidak aman pada layanan cloud, infrastruktur, dan sumber daya lainnya dapat memberikan pijakan. Mereka tidak dapat dipatch dengan cara konvensional, dan mereka layak mendapatkan prioritas yang sama.
Walaupun kerentanannya tidak dapat dihindari, respons organisasi tidaklah demikian. Membangun sistem untuk kesadaran dan perbaikan kerentanannya sangat penting untuk kebersihan keamanan yang baik. Sistem ini dimulai dengan inventarisasi aset yang lengkap dan terpelihara, dipadukan dengan pemantauan berkelanjutan pada database CVE.
Namun, menemukan semua kerentanannya yang ada bukanlah hal yang cukup. Tim perlu proses dan alat yang memungkinkan mereka untuk memberi skor dan memprioritaskan kerentanannya yang paling berisiko. Kontrol lain yang menghambat penyerang, seperti segmentasi sistem dan subnet, dapat membuat beberapa kerentanannya menjadi kurang kritis dengan cara memaksakan rintangan atau jalan buntu pada kemajuan penyerang.
Kesenjangan dalam Pemantauan dan Cakupan
Organisasi yang hanya menerapkan kontrol keamanan sebagian atau tidak lengkap memungkinkan penyerang beroperasi dari bagian jaringan yang tidak terlindungi. Bayangkan sebuah kastil yang diperkuat dengan sudut-sudut gelap yang tidak pernah dipatroli; itulah risiko dari penerapan kontrol keamanan yang sebagian.
Lanskap TI modern semakin berkembang kompleks. Organisasi harus menangani berbagai infrastruktur di tempat (on-premises), cloud, lingkungan hibrida, dan bahkan arsitektur multicloud. Keragaman ini membuat penerapan eXtended Detection and Response (XDR) yang konsisten di semua endpoint menjadi tantangan. Tantangan ini diperburuk oleh keragaman perangkat (desktop, laptop, perangkat seluler, dan bahkan produk IoT) yang terhubung ke jaringan.
Kompleksitas ini semakin diperburuk dalam situasi bring-your-own-device (BYOD), di mana endpoint sering kali bergerak keluar-masuk jaringan perusahaan. Selain itu, mengintegrasikan alat XDR dengan infrastruktur keamanan yang ada (misalnya firewall, sistem keamanan informasi dan manajemen peristiwa (SIEM), dan solusi endpoint lainnya) bisa sulit, menciptakan kesenjangan dalam cakupan keseluruhan. Mencapai cakupan penuh sering kali memerlukan tumpukan alat yang kompleks, yang mengarah pada peningkatan biaya, redundansi, dan beban pemeliharaan yang lebih besar.
Untungnya, organisasi dapat mengonsolidasikan alat ke dalam platform keamanan terpadu, seperti solusi Extended Security Intelligence and Automation Management (XSIAM). Platform ini menawarkan pandangan terpusat terhadap peristiwa keamanan di seluruh jaringan, menyederhanakan manajemen, dan mengurangi penyebaran alat.
Memanfaatkan hubungan yang kuat dengan pihak yang dapat membantu membela Anda sangat penting untuk keberhasilan. Mitra-mitra ini dapat mengidentifikasi potensi ketidakpastian melalui strategi dan layanan yang disesuaikan, seperti pemindaian kerentanannya, untuk memastikan cakupan keamanan yang komprehensif di seluruh lingkungan TI. Dengan mengadopsi strategi-strategi ini, organisasi dapat beralih dari kastil yang terlindungi sebagian menuju benteng yang sepenuhnya diperkuat.
Manajemen Identitas dan Akses yang Terlalu Berlebihan
Pencurian kredensial masih meningkat, yang mencakup 20% dari serangan pada tahun lalu, meningkat 4% dibandingkan tahun 2021 dan 13% dibandingkan 2022. Dengan kredensial istimewa di tangan, penyerang dapat menembus sistem, bergerak secara lateral, dan meningkatkan hak akses untuk mencapai aset yang lebih sensitif.
Identitas adalah fondasi dari keamanan yang kuat — mengetahui siapa yang melakukan apa, dan apakah mereka seharusnya melakukannya.
Memperkuat pertahanan terhadap serangan berbasis kredensial lebih dari sekadar menerapkan autentikasi multi-faktor (MFA) dan kontrol dasar lainnya. Tim harus mengembangkan kemampuan untuk menggabungkan titik data dari berbagai sumber, membangun gambaran yang lebih besar dari perilaku yang mungkin menunjukkan pola serangan. Seperti yang ada saat ini, tim keamanan secara universal kesulitan dengan volume data yang dihasilkan oleh alat mereka, dan mereka tidak dapat menganalisis log audit dan mempertahankan aturan korelasi.
Meskipun forensik setelah pelanggaran mungkin menunjukkan pola-pola ini jelas, kenyataannya hal itu tidak selalu demikian.
Ada ketegangan antara keamanan dan produktivitas yang menghalangi tim keamanan untuk memanfaatkan data ini secara efektif. Personel sering kali diberikan hak istimewa yang berlebihan demi kenyamanan dan produktivitas. Namun, mereka tidak selalu dilatih dengan pelatihan keamanan yang lebih mendalam untuk melindungi hak istimewa ini, yang dapat menciptakan sasaran empuk bagi penyerang.
Untuk secara efektif melawan tantangan ini, organisasi dapat menerapkan strategi deteksi yang disederhanakan yang fokus pada mengidentifikasi aktivitas yang tidak biasa dalam sistem mereka:
- Penggunaan Alat yang Tidak Biasa: Pantau lingkungan untuk alat yang tidak dikenal atau versi tidak terduga dari alat yang sudah dikenal. Selidiki ketika personel yang bukan bagian dari TI tiba-tiba menggunakan alat akses jarak jauh.
- Manajemen Akun: Tentukan dan audit protokol untuk pembuatan akun dan terapkan pemberitahuan untuk akun baru yang menyimpang dari konvensi penamaan yang telah ditetapkan. Periksa reaktivasi akun istimewa yang dinonaktifkan dan tetapkan prosedur eskalasi, seperti verifikasi langsung jika diperlukan.
- Pemantauan Desktop Virtual: Pantau perilaku sistem desktop virtual untuk mendeteksi pohon proses yang tidak biasa atau pola penggunaan penyimpanan yang tidak terduga, yang bisa menunjukkan upaya untuk mengatur eksfiltrasi data.
- Periksa Lalu Lintas Keluar: Cari koneksi jaringan yang mirip dengan terowongan terenkripsi, terutama yang berasal dari sistem baru atau yang tidak dikelola, dan penyedia file hosting yang dikenal.
- MFA dan Lainnya: Aktifkan MFA di mana pun memungkinkan dan latih karyawan untuk menolak permintaan MFA yang tidak diminta. Terapkan lapisan verifikasi ekstra untuk perubahan pada akun dengan hak istimewa tinggi.
Organisasi dapat secara signifikan memperkuat pertahanan mereka terhadap pencurian kredensial dan serangan rekayasa sosial dengan menerapkan strategi deteksi yang waspada, protokol autentikasi yang kuat, dan praktik manajemen identitas dan akses (IAM) yang kokoh.
Dapatkan Alat yang Tepat untuk Pekerjaan
Penawaran dari Palo Alto Networks dapat memberdayakan organisasi Anda untuk mengatasi tantangan keamanan utama dan kebersihan keamanan yang buruk:
- Manajemen Patch dan Kerentanannya: Solusi terintegrasi Cortex Xpanse dan Cortex XDR lebih dari sekadar manajemen kerentanannya. Cortex Xpanse secara aktif menemukan dan menghilangkan