Diperingatkan sebelumnya—Saya akan menyampaikan beberapa kebenaran pahit di sini.
Pertama, ransomware lazim, dan tidak ada cara untuk sepenuhnya menghilangkan ancaman.
Kedua, pada titik ini, Anda harus beroperasi dengan asumsi bahwa peretas sudah ada di Anda sistem atau dapat dengan mudah mengaksesnya kapan saja. Seharusnya tidak mengejutkan ketika saya memberi tahu Anda bahwa penjahat dunia maya yang canggih di balik ancaman ransomware hari ini telah secara konsisten melewati bahkan keamanan garis depan terbaik — dan untuk sementara waktu sekarang.
Ketiga, penjahat dunia maya mungkin mengetahui sistem dan infrastruktur Anda lebih baik daripada Anda. Begitu masuk, strategi mereka adalah bersembunyi dan tetap tersembunyi sementara mereka belajar sebanyak yang mereka bisa. Kemudian mereka menyerang pada waktu yang optimal untuk menimbulkan kerusakan sebanyak mungkin untuk memastikan bayaran yang besar.
Jadi sekarang apa?
Kabar baiknya adalah ada praktik dan teknologi yang dapat membantu Anda mendeteksi ancaman sebelum pelaku jahat dapat mengambil tindakan. Ada juga strategi yang dapat Anda gunakan untuk mengurangi permukaan serangan sekaligus mencegah gangguan dan penonaktifan skala besar begitu mereka berada di dalam lingkungan Anda. memastikan ketahanan dalam menghadapi ancaman yang selalu ada ini. Mari kita mulai dengan tiga yang pertama.
Dapatkan Kesadaran Infrastruktur Penuh
Attacker mencari tautan terlemah Anda, dan sudut gelap di mana mungkin ada keamanan dan pengawasan terbatas di lingkungan Anda. Jadi, sangat penting untuk menerapkan alat yang memberikan kesadaran infrastruktur penuh dengan menyoroti semua data gelap di lingkungan Anda. Menurut penelitian Veritas Vulnerability Lag yang baru-baru ini diterbitkan (PDF di sini), 35 persen data masih gelap. Itu sangat tinggi. Mulailah bekerja untuk mengetahui data apa yang Anda miliki dan di mana letaknya secepatnya.
Pengingat penting: Selain visibilitas penuh dari segala sesuatu di lingkungan Anda, juga penting untuk memiliki dokumentasi hard-copy yang jelas tentang detail lingkungan Anda, seperti prosedur dan konfigurasi—termasuk alamat IP, kata sandi, dll.—untuk membantu pemulihan. Kehilangan detail ini dapat membuat Anda dan tim Anda tidak dapat pulih dengan cepat dalam kekacauan serangan. Simpan ini di brankas yang diperiksa dan diperbarui secara berkala.
Otomatiskan Peringatan untuk Perilaku Anomali
Implementasikan alat yang dapat memberi Anda deteksi perilaku atau aktivitas anomali yang terkait dengan data dan aktivitas pengguna di seluruh lingkungan Anda. Penting agar kemampuan deteksi dapat berjalan secara mandiri, tanpa memerlukan langkah manual.
Memperingatkan tim Anda tentang sesuatu yang tidak wajar atau tidak biasa akan memberi Anda keunggulan, dan kesempatan untuk bertindak sebelum penjahat dunia maya atau serangan kode berbahaya. Hal ini dapat berupa aktivitas penulisan file yang tidak biasa yang dapat mengindikasikan penyusupan, tetapi juga dapat mendeteksi ekstensi file ransomware yang diketahui, pola akses file, pola lalu lintas, unduhan kode, permintaan akses, lonjakan kapasitas penyimpanan, jalur lalu lintas eksternal, atau bahkan lompatan aktivitas yang tidak biasa dibandingkan dengan pola khas individu.
Misalnya, dalam peretasan SolarWinds yang terkenal, peretas menggunakan pembaruan perangkat lunak reguler untuk menyelipkan beberapa kode berbahaya yang elegan dan inovatif ke banyak jaringan perusahaan, menggunakan perangkat lunak SolarWinds.
Untuk lebih dari sembilan bulan mereka berkeliaran di sekitar perusahaan terkenal dan sensitif, bersembunyi di depan mata sambil mempelajari sistem mereka dan mengumpulkan intelijen. Kesalahan mereka terjadi ketika mereka mulai berkeliaran di sekitar perusahaan keamanan siber FireEye.
Tim keamanan di FireEye melihat aktivitas mencurigakan — seseorang mencoba mendaftarkan telepon kedua ke jaringan perusahaan. Merasa aneh bahwa seorang karyawan akan memiliki dua telepon, mereka langsung bertindak dan memanggil pengguna. Kejutan! Pengguna itu tidak mendaftarkan telepon itu dan tidak tahu siapa yang melakukannya. Berkat kewaspadaan FireEye, yang menyelidiki aktivitas luar biasa, intrusi yang lebih luas terungkap.
Pengingat penting: Lakukan perburuan ancaman dunia maya secara teratur. Lakukan dengan serius dan terapkan protokol untuk menyelidiki perilaku anomali. Sewa agen pihak ketiga untuk mengaudit strategi Anda, periksa pekerjaan Anda, dan temukan kerentanan.
Batasi Akses & Kurangi Permukaan Serangan Anda
Setelah menyelinap ke lingkungan Anda, penjahat dunia maya sering kali mencari informasi rahasia atau kredensial masuk yang memungkinkan mereka bergerak menyamping di lingkungan Anda. Ini berarti bahwa mereka juga dapat memperoleh akses ke sistem pencadangan Anda dan akan berusaha menghilangkan opsi pemulihan.
Ada beberapa hal yang dapat Anda lakukan untuk membantu mengurangi praktik ini:
<
ul>iPastikan tidak ada satu tuhan-admin yang dapat melakukan segalanya.liu
<
ul>iIni juga penting untuk mengunci atau membatasi akses eksekutif, karena mereka sering menjadi sasaran empuk.liu
<
ul>iSama pentingnya, batasi akses admin dan hak istimewa, terutama untuk pencadangan.liu
<
ul>iPraktik umum lainnya adalah menerapkan pendekatan tanpa kepercayaan dengan otentikasi multifaktor (MFA) dan kontrol akses berbasis peran.liu
<
ul>iYang juga penting adalah mengelompokkan atau mengelompokkan jaringan Anda ke dalam beberapa zona jaringan yang lebih kecil dan memastikan akses dikelola dan terbatas, terutama untuk data Anda yang paling penting.liu
<
ul>iBanyak organisasi juga bergerak menuju praktik keamanan tepat waktu di mana akses diberikan ed berdasarkan kebutuhan atau untuk jangka waktu yang telah ditentukan, yang merupakan sesuatu yang perlu dipertimbangkan untuk data penting dan kritis bisnis.
Dengan membangun berbagai penghalang, pelaku jahat akan ditahan dan dicegah untuk bergerak di sekitar lingkungan Anda. Mereka pada dasarnya berhenti di jalurnya. Jadi, berkreasilah—artinya, siapkan sistem yang unik untuk kebutuhan dan persyaratan keamanan Anda.
Ketika Metropolitan Transportation Authority of New York diretas April lalu, penyerang tidak mendapatkan akses apa pun ke sistem yang mengontrol gerbong kereta, juga informasi pelanggan apa pun yang disusupi . Mengapa? Karena mereka memiliki jaringan berlapis-lapis dan tersegmentasi dari lebih dari 18 sistem yang berbeda, hanya tiga di antaranya yang dikompromikan. Berkat sistem yang hebat ini, pelaku ancaman dicegah untuk bergerak di seluruh sistem, peristiwa diisolasi dan sistem dipulihkan dengan cepat.
Pengingat penting: Buat jaringan tertutup yang terlihat persis seperti jaringan produksi Anda, tetapi dengan kredensial manajemen yang berbeda. Bagikan apa pun dengan jaringan produksi Anda kecuali akses ke penyimpanan yang tidak dapat diubah. Anda dapat menggunakan ruang ini untuk memulihkan data dan layanan Anda dan menghapus data Anda dari malware. Ini juga merupakan tempat yang tepat untuk menguji recovery.
Nantikan bagian kedua dalam seri ini, di mana saya akan membahas tiga dari enam langkah teratas yang harus Anda ambil hari ini untuk memastikan ketahanan ransomware di lanskap keamanan siber yang berkembang pesat saat ini.
Sonya Duffin adalah pakar perlindungan data dan ransomware di Veritas Technologies.
Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi situs mikro kami.
Tulis komentar
Bagikan artikel ini:
<
ul>iCloud Securityliu
<
ul>iInfoSec Insiderliu
- iMalware