Mempertahankan Aset yang Tidak Anda Ketahui Terhadap Serangan Siber

Kembali di tahun 90-an, kita semua biasa membangun firewall besar di sekitar sistem kita dan menghabiskan sumber daya kita sehari-hari mencari lubang untuk ditambal. Secara teori, tembok yang tidak dapat ditembus di sekeliling semua yang Anda miliki adalah ide bagus, karena melindungi bahkan hal-hal yang telah Anda lupakan.
Namun, jika tembok adalah satu-satunya pertahanan Anda, tembok itu harus 100 persen sempurna, 100 persen dari waktu. . Dan jika Anda pernah memiliki rumah, Anda tahu bahwa semua dinding akan retak seiring waktu. Belum lagi, perimeter perusahaan saat ini melibatkan cloud dan aset seluler dan jarak jauh juga, dan mungkin ada aset tersembunyi yang tidak Anda sadari.
Kesempurnaan tidak boleh menjadi prasyarat untuk keamanan siber yang baik. Saya berpendapat, Anda tidak perlu tahu tentang semua yang Anda miliki untuk melindunginya. Aset dapat dikelompokkan dan dikategorikan sedemikian rupa sehingga prosedur keamanan memperhitungkan kelemahan perimeter dan visibilitas.
Pikirkan tentang semua cara Anda membangun kontrol keamanan yang memengaruhi seluruh kelompok hal:

<

ul>

  • Jika aturan keluar Anda adalah default-deny, Anda masih dapat menangkap perangkat yang disusupi , bahkan jika Anda tidak tahu bagaimana hal itu sampai di sana.
    liu

    <

    ul>iJika semua pengembang Anda dilatih untuk membangun gambar default, panduan pengerasan dan pencatatan Anda mungkin diikuti, bahkan jika mereka menerapkan menggunakan token Amazon Web Services (AWS) yang salah.
    liu

      iJika seluruh perusahaan Anda menerima pengingat phishing, itu mungkin meminta pengguna untuk mengambil tindakan pencegahan bahkan jika HR lupa memberi mereka pelatihan keamanan individu baru mereka.

    Kami ​​memiliki semua jenis pertahanan yang berfungsi bahkan di hadapan kesalahan atau kesalahan yang tidak diketahui. Jalur Internal Anda 
    Sistem Anda sangat kompleks. Jadi jika saya berpikir seperti seorang penyerang, mencoba untuk memahami keseluruhan dari permukaan serangan adalah non-starter. Saya tidak perlu tahu semua aset Anda atau segala sesuatu tentang strategi keamanan Anda. Saya harus memikirkan apa target yang paling menggoda — jalan menuju sukses — sebagai titik masuk untuk memecahkan permukaan serangan.
    Inilah cara Anda harus berpikir tentang melindungi sistem Anda: Temukan jalur yang ada antara permukaan serangan Anda dan aset sensitif, dan menghabisi mereka. Jika jalur membawa Anda ke fungsi kritis, hambatan lawan Anda di sana dan kubur mereka di brankas dan peringatan. Dengan cara ini, ketika penyerang memanfaatkan jalur itu, Anda akan tahu jauh sebelum mereka dapat mengekstrak data.
    Tidak ada formula ajaib untuk mengkategorikan aset Anda dan bagaimana Anda melindunginya. Ada banyak cara untuk mengkategorikannya, dan cara yang benar bergantung sepenuhnya pada konteks organisasi Anda. Di Randori, kami mencoba melatih diri sendiri dan orang lain untuk mengelompokkan aset ke dalam kelompok fungsional: Kami melihat mana yang mewakili “jalur” bagi penyerang, dan kemudian menentukan berapa banyak kebijakan yang harus kami buat di sekitar mereka untuk memastikan kami merasa nyaman dengan ” coverage.”

    Bagaimana Saya Mengkategorikan Aset untuk Pertahanan Siber?
    Salah satu cara untuk membaginya adalah dengan mengkategorikan aset berdasarkan apa yang perlu dibicarakan dengan internet dan apa yang tidak. Kemungkinan besar, sebagian besar aset Anda yang terhubung ke internet adalah komponen aplikasi atau perangkat lunak sebagai layanan (SaaS) yang tidak Anda gunakan, atau tidak perlu Anda gunakan. Jika Anda memiliki alat yang menyediakan transfer file dan VPN dan Anda hanya menggunakan VPN, matikan fitur transfer file.
    Anda dapat mematikan fitur ini dan melupakannya. Jika seorang karyawan datang kepada Anda dan mengatakan bahwa mereka membutuhkannya untuk melakukan pekerjaan mereka, cukup nyalakan kembali (default-deny, siapa saja?).
    Kemudian ada kategori berikutnya: Hal-hal yang terlihat dari luar dan diperlukan untuk operasi perusahaan, seperti situs web perusahaan Anda atau protokol akses jarak jauh. Ini tidak diragukan lagi beberapa jalur paling menonjol antara permukaan serangan Anda dan permata mahkota Anda. Mereka dimaksudkan untuk menjadi – bagaimana lagi karyawan Anda akan mengakses sesuatu? Aset ini harus diamankan dengan banyak pemantauan dan peringatan, dan harus ada DMZ (zona demiliterisasi) di sekitarnya.

    Ketahui Yang Penting dan Lupakan Selebihnya
    Anda mungkin telah membuat DMZ di jaringan Anda— tempat Anda meletakkan aset yang diperlukan dapat diakses melalui internet dan diawasi secara ketat. Situs web perusahaan Anda hidup di server dengan sendirinya yang benar-benar terisolasi dari bisnis inti Anda. Setiap kali Anda juga mendapatkan VPN atau alat akses jarak jauh, itu masuk ke DMZ Anda, di mana Anda memiliki segmentasi dan pemantauan yang berat.
    Apa pun di DMZ sengaja diimplementasikan dengan hak istimewa paling rendah, dan dengan DMZ (atau bahkan lebih dalam di jaringan Anda), layanan apa pun mewarisi segmentasi, dan beberapa visibilitas atau pemantauan. Ada beberapa cara kecil, tapi saya tekankan ini kecil karena Anda harus memiliki pemantauan menyeluruh pada mereka. Setiap lapisan yang lebih dalam ke lingkungan Anda harus mewarisi lebih banyak pertahanan, dan membutuhkan lebih banyak kegagalan agar pelanggaran terjadi.
    Segmentasi dan pengerasan mengurangi opsi lawan Anda. Membatasi aktivitas normal antara aset jika memungkinkan (seperti antara DMZ dan jaringan inti Anda) menciptakan peluang untuk deteksi.
    Tim keamanan adalah penasihat di sini, dan membuat kebijakan untuk mencoba mewarisi pertahanan. Di Randori, ketika pengembang bereksperimen dengan kode, saya ingin mereka “mengkode dengan aman”, tetapi saya juga ingin pekerjaan yang belum selesai atau prototipe mewarisi beberapa pertahanan, bahkan jika kesalahan dibuat. Jadi kami mengelola beberapa lapisan tambahan sederhana: Semuanya disebarkan tanpa akses internet langsung. Pengembang dapat melakukan pekerjaan mereka, tetapi bahkan jika mereka secara tidak sengaja menonaktifkan autentikasi di aplikasi yang mereka buat, aplikasi tersebut masih “dipertahankan” oleh lapisan sistem masuk tunggal (SSO).

    Akan Selalu Ada Tidak Diketahui & Aset yang Dapat Anda’ t See
    Jika Anda mendapatkan scan Qualys dan melaporkan kembali 3 juta kerentanan pada permukaan serangan Anda, Anda tidak dapat berbuat banyak dengan itu karena Anda tidak dapat mengirimkan 3 juta patch. Tetapi jika Anda tahu kerentanan mana yang ada di segmen yang penting dan telah mewarisi perlindungan yang tidak memadai, maka Anda dapat memprioritaskan mana yang harus ditangani.
    Jika server aplikasi yang diizinkan untuk mentransmisikan DMZ Anda belum ditambal, Anda akan ingin memperbaikinya terlebih dahulu. Punya server aplikasi internal yang hanya dapat diakses oleh pengguna internal terbatas? Mungkin abaikan yang itu untuk saat ini. Jika ada tempat untuk panik tentang kerentanan yang tidak diketahui, kemungkinan besar server aplikasi mentransmisikan DMZ Anda dan bukan internal Anda. Kita semua juga tahu bahwa bayangan TI adalah masalah besar (sekitar 40 persen dari pengeluaran TI), dan idealnya Anda d menggunakan platform manajemen serangan-permukaan untuk membantu Anda menemukan kejutan di jaringan Anda. Tetapi ketika Anda merencanakan postur keamanan Anda, Anda perlu berasumsi bahwa masalah bayangan ini akan terus ada, dan pastikan bahwa satu atau dua kejutan ini tidak menjadi berita utama Associated Press.
    Seseorang akan selalu “memasang sesuatu ke internet .” Jika DMZ Anda memerlukan kontrol akses jaringan (NAC), menolak akses ke jaringan internal secara default dan menghasilkan peringatan ke penyedia layanan keamanan terkelola (MSSP) atau tim TI Anda, maka “menghubungkan sesuatu ke internet” membutuhkan lebih dari satu kegagalan untuk menciptakan risiko pelanggaran yang berarti.
    Intinya: Anda harus merancang sistem keamanan Anda dengan asumsi bahwa penyerang dapat merusak aset apa pun dan memiliki kontrol, hak istimewa, dan fungsinya. Anda dapat mempertahankan aset, bahkan saat Anda tidak mengetahuinya, dengan mempraktikkan pertahanan secara mendalam — mengetahui apa yang penting, dan menerapkan banyak kontrol yang berbeda tanpa satu titik kegagalan.
    David “moose” Wolpoff adalah CTO di Randori.

    Nikmati wawasan tambahan dari komunitas InfoSec Insider Threatpost dengan mengunjungi situs mikro kami.
    Tulis komentar
    Bagikan artikel ini:

  • Cloud Securityliu

    <

    ul>iInfrastruktur Kritisliu

    <

    ul>iInfoSec Insiderliu

    <

    ul>iKeamanan Selulerliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: