Stategi Mitigasi #15 – Sentralisasi dan Sinkronisasi Logging Waktu pada Event Komputer yang Berhasil Maupun Gagal

Mitigasi

Melakukan sentralisasi dan sinkronisasi logging waktu pada komputer logging yang berhasil maupun gagal, dengan analisa secara real-time dan bekerja secara otomatis, menyimpan logs untuk kurang lebih 18 bulan. Log penting termasuk log yang dibuat oleh produk kemanan, begitu juga dengan log Active Directory event dan log lain yang berkaitan dengan otentikasi pengguna termasuk VPN dan hubungan akses jarak jauh.

Dasar Pemikiran

Sentralisasi dan sinkronisasi logging waktu dan log analisa secara berkala akan menambah kemampuan oraganisasi dalam mengidentifikasi pola secara cepat dari kelakuan yang mencurigakan dan berkorelasi dengan event yang tercatat pada banyak statiun kerja dan peladen, mempermudah dan membuat lebih efektif dalama investigasi dan audit ketika intrusi dunia maya terjadi

Panduan Implementasi

Gunakan solusi dari Security Information and Event Management untuk mengkorelasikan log dari berbagai sumber untuk mengidentifikasi pola dari kelaukan mencurigakan termasuk yang menyimpang dari pola umum yang biasanya digunakan oleh pengguna.

Melakukan analisa log secara berkala harus fokus pada:

  • Target paling mungkin, terutama pengguna yang memiliki hak khusus administrative untuk mengoperasikan sistem atau aplikasi seperti database
  • Aplikasi dari daftar putih log yang tertutup oleh eksekusi program, begitu juga log yang terbuat oleh produk keamanan lain
  • Jeda dalam log dimana seharusnya ada aktivitas periodic. Contoh, tidak hadirnya log antivirus yang seharusnya muncul tiap hari atau log produk keamanan yang biasanya dibuat oleh statiun kerja pengguna yang ada di kantor dan dipercaya menggunakan statiun kerja, secara potensi mengidikasikan bahwa musuh dunia maya mematikan produk keamanan
  • Kegiatan pengguna diluar jam kerja, memungkinkan kegiatan malware yang telah mengambil alih computer pengguna dan tercatat sebagai pengguna
  • Servis atau kunci registry baru atau berubah yang digunakan untuk menjalankan program secara otomatis pada bootup atau login pengguna
  • Berkas yang dapat dieksekusi yang baru atau berubah
  • Akses ke statiun kerja asset kritis dan peladen yang menyimpan atau memproses data sensitive
  • Akses ke berkas dalam jaringan shared group device
  • Otorisasi yang tidak dikenal akan merubah atau mengakases event log
  • Penggunaan alat reconnaissance and network propagation seperti system yang dapat dieksekusi: ipconfig, net, net1, netstat, reg, wmic, powershell, at, schtasks, tasklist, rundll32, gpresult and systeminfo
  • Otentikasi pengguna dan akun kredensial

Ketika melakukan analisa log dari otentikasi pengguna dan menggunakan akun kredensial, terutama focus pada:

  • Otentikasi pengguna dari pengguna yang sedang berlibur atau tidak ditempat
  • Otentikasi pengguna dari statiun kerja lain yang dari yang biasanya, terutama yang berasal dari statiun kerja yang berada diluar lokasi
  • VPN dan hubungan akses jarak jauh dari Negara yang tidak berasosiasi dengan pengguna
  • Satu IP yang berusaha melakukan otentikasi lebih dari satu pengguna
  • VPN dan hubungan akses jarak jauh lain oleh pengguna dengan dua IP berbeda secara bersamaan
  • Gagal login yang dilakukan pada akun dengan hak khusus administrative
  • Akun pengguna yang terkunci karena terlalu banyak memasukkan kata sandi yang salah
  • Akun servis adminisftratif yang log ke dalam statiun kerja atau peladen
  • Pembuatan akun pengguna, atau penghidupan akun yang dimatikan, terutama akun dengan hak khusus administrative
  • Modifikasi kepada sifat akun pengguna, seperti pilihan konfigurasi “menyimpan katakunci dengan enkripsi yang dapat dibalik” atau “kata kunci yang tidak pernah habis waktu hidupnya”

Informasi lebih lanjut

ISM controls: 0120, 0670, 0790, 0380, 0957, 0261, 0109, 0580, 0582‐0583, 0584, 0585, 0586, 0587, 0859, 0987, 0988, 0991, 1032, 0631, 0634, 1176, 1305.

Leave a Reply

Your email address will not be published. Required fields are marked *