Strategi-Strategi untuk Mitigasi Intrusi Siber Bertarget (1/2)

Artikel ini merupakan terjemahan dari dokumen “Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details” yang dikeluarkan oleh ASD (Australian Signal Directorate) pada Februari 2014.

Sampul depan dokumen "Strategi-strategi Mitigasi Intrusi Siber Bertarget - Rincian Mitigasi"
Gambar 1: Sampul depan dokumen ASD “Strategi-strategi untuk Mitigasi Intrusi Siber Bertarget – Rincian Mitigasi”

Dokumen tersebut berisi tentang pendahuluan, tahap-tahap intrusi siber bertarget, informasi sensitif, calon-calon utama target, dasar pemikiran melaksanakan strategi-strategi mitigasi, serta rincian dari strategi-strategi mitigasi.

1. PENDAHULUAN

Dokumen ini memberikan informasi lebih lanjut mengenai daftar strategi ASD dalam memitigasi intrusi siber bertarget, termasuk referensi untuk mengontrolnya, di dalam Australian Government Information Security Manual (ISM) yang tersedia di situs http://www.asd.gov.au/infosec/ism/index.htm.

Pembaca sangat disarankan untuk mengunjungi website ASD untuk versi terbaru dari dokumen ini dan juga untuk mendapat informasi tambahan tentang menerapkan strategi mitigasi, yang tersedia di situs http://www.asd.gov.au/infosec/top35mitigationstrategies.htm.

Dokumen ini berfokus utama pada mempertahankan stasiun-stasiun kerja pengguna (user workstations) dan peladen-peladen (servers). Prinsip-prinsip dasar yang diperhatikan oleh panduan dalam dokumen ini berlaku untuk kegiatan keamanan ICT yang lebih luas. Sebagai panduan tambahan untuk penguatan (hardening) khusus perangkat, ASD juga menyediakan panduan untuk menggunakan perangkat mobile (seperti komputer tablet dan telepon pintar) secara aman, yang tersedia di situs http://www.asd.gov.au/publications/csocprotect/enterprise_mobility_bring_your_own_device_byod_paper.htm.

2. TAHAP-TAHAP INTRUSI SIBER BERTARGET

Tidak ada strategi tunggal yang dapat mencegah suatu intrusi siber bertarget. Organisasi seharusnya memastikan bahwa strategi yang mereka pilih mengatasi semua tiga tahap tingkat tinggi dari intrusi siber yaitu:

Tahap

Tindakan

Metodologi

Tahap 1 Pengintaian untuk memilih target pengguna, eksekusi perangkat perusak (malware) dengan teknik intrusi yang dipilih. Membuat situs web perusak, menjebol situs web resmi (dengan teknik “watering hole” atau “drive by download”) atau mengirim surel “spear‐phishing” dengan suatu pranala (hyperlink) atau konten yang berbahaya.
Tahap 2 Propagasi (perambatan) jaringan Menggunakan kredensial akun yang telah dijebol atau menggunakan kerentanan-kerentanan yang dapat dieksploitasi.
Tahap 3 Eksfilterasi data Mengekstraksi data dengan berkas arsip RAR/ZIP, kemungkinan besar dieksfilterasi via Jaringan Pribadi Maya (VPN) atau via koneksi akses jarak jauh lainnya.

2.1. Tahap 1: Eksekusi Kode

Musuh dalam dunia siber (selanjutnya disebut musuh siber) melakukan pengintaian untuk memilih target pengguna dan juga membuat situs web perusak atau menjebol suatu situs web resmi dengan teknik serangan “drive by download” atau “watering hole”.

Teknik serangan “drive by download” dapat membuat pengguna tanpa sadar mengunduh perangkat perusak dari tautan jebakan yang dibuat musuh siber. Dengan teknik serangan “watering hole”, musuh siber akan menerka atau mengamati situs-situs web apa saja yang sering dikunjungi pengguna-pengguna, kemudian menginfeksi satu atau lebih situs-situs web tersebut dengan perangkat perusak. Urutan tahapan dari kedua jenis teknik serangan tersebut dapat dilihat pada gambar 2 dan 3.

Gambar 2 Diagram Tahapan dari Serangan “Drive by Download
Gambar Tahapan dari Serangan "Waterhole"
Gambar 3: Diagram Tahapan dari Serangan “Watering Hole

Selain cara di atas, musuh siber dapat menyerang dengan mengirim surel berbahaya “spear phishing” kepada pengguna yang ditargetkan. Surel tersebut dapat berisi pranala (hyperlink) ke suatu situs web dengan konten berbahaya, atau berisi lampiran surel berbahaya seperti berkas PDF atau dokumen Microsoft Office yang dapat dibentuk menjadi berkas arsip RAR/ZIP. Rincian tahapan dari teknik serangan dapat dilihat pada gambar 4.

Gambar 4: Diagram Tahapan dari Serangan “Spear Phishing

Pengintaian menjadi lebih mudah bagi musuh siber jika nama dan alamat surel pengguna yang ditargetkan tersedia di situs web perusahaan tempat pengguna bekerja, di situs web jejaring sosial; atau jika pengguna menggunakan alamat surel kantor untuk tujuan yang tidak berkaitan dengan pekerjaan.

Perangkat perusak kemudian dieksekusi pada stasiun kerja pengguna dan sering dikonfigurasi supaya bertahan dengan mengeksekusi secara otomatis setiap kali pengguna memulai kembali (restart) dan/ atau masuk (log on) ke stasiun kerjanya. Perangkat perusak berkomunikasi dengan infrastruktur jaringan yang dikontrol oleh musuh siber (biasanya mengunduh perangkat perusak tambahan) memungkinkan musuh siber untuk melakukan kontrol stasiun kerja pengguna dari jarak jauh dan juga melakukan tindakan atau mengakses informasi apapun yang pengguna dapat lakukan.

2.2. Tahap 2: Propagasi Jaringan

Musuh siber umumnya menggunakan kredensial-kredensial akun yang telah mereka jebol atau kerentanan-kerentanan yang dapat dieksploit dalam stasiun-stasiun kerja dan peladen-peladen lain dari perusahaan untuk memropagasi (berpindah ke samping) jaringan demi menemukan dan mengakses informasi sensitif. Propagasi jaringan ini dapat terjadi secara cepat pada jaringan yang segmentasi dan segregasinya tidak memadai, terutama saat dua atau lebih stasiun kerja aau peladen berbagi frasa sandi administrator lokal yang sama. Informasi yang diakses sering kali termasuk berkas Microsoft Office, surel PST Outlook, PDF serta informasi yang tersimpan dalam basis-basis data (databases).

Berikut adalah tipikal informasi sensitif yang musuh siber akses:

  • rincian tentang pengguna termasuk hierarki organisasi, nama-nama pengguna beserta kata sandinya termasuk kredensial untuk akses jarak jauh.
  • informasi sistem termasuk rincian konfigurasi dari stasiun kerja, peladen, dan jaringan.

Frasa-frasa sandi mungkin disimpan sebagai hash kriptografi untuk menggagalkan musuh siber. Namun ternyata tersedia perangkat lunak beserta stasiun kerja tunggal gratis atau layanan komputasi awan untuk umum yang mungkin mampu dengan cepat dan murah memecahkan hash tersebut untuk mendapatkan frasa-frasa sandi. Hash tidak akan mudah dipecahkan jika semua pengguna memilih frasa sandi yang sangat kuat yang di-hash dengan tepat menggunakan algoritma yang kuat secara kriptografi.

Selain cara di atas, musuh siber dapat menggunakan teknik serangan “pass the hash” untuk menghindari kebutuhan membongkar hash dari frasa-frasa sandi. Panduan mitigasi untuk serangan jenis dapat dilihat di situs https://blogs.technet.com/b/security/archive/2012/12/11/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx.

Penggunaan otentikasi single sign‐on dalam suatu organisasi mungkin secara signifikan menguntungkan bagi musuh siber. Namun di sisi lain, penggunaan yang tepat dari otentikasi multi-faktor justru membantu menghalangi musuh siber, terutama jika diimplementasikan untuk akses jarak jauh atau untuk saat pengguna melakukan tindakan hak istimewa seperti mengatur suatu stasiun kerja atau peladen, atau mengakses suatu tempat penyimpanan (repository) informasi sensitif.

2.3. Tahap 3: Eksfilterasi Data

Musuh siber biasanya menggunakan berkas arsip RAR/ZIP untuk mengompres dan mengenkripsi salinan informasi sensitif dari suatu organisasi.

Musuh siber mengeksfilterasi informasi tersebut dari jaringan, kadang dari suatu stasiun kerja tunggal yang “staging” (single “staging” workstation) atau peladen dalam jaringan organisasi. Musuh siber menggunakan protokol dan port jaringan yang tersedia yang diizinkan oleh tembok-api gerbang jaringan (gateway firewall) organisasi, seperti HTTPS/SSL dan HTTP yang terenkripsi, atau dalam beberapa kasus DNS atau surel.

Musuh siber dapat memperoleh kredensial-kredensial akun VPN (atau akses jarak jauh lainnya) dan menggunakan koneksi jaringan yang terenkripsi tersebut untuk mengeksfilterasi informasi, dengan tujuan “mengalahkan” jaringan yang berbasis pemantauan.

Musuh siber mempunyai beberapa stasiun kerja atau peladen dan akun-akun VPN (atau akses jarak jauh lainnya) yang telah mereka jebol dalam jaringan organisasi, yang dijaga sebagai pintu belakang (backdoor) untuk memudahkan pengumpulan dan eksfilterasi informasi lebih lanjut pada intrusi selanjutnya.

3. INFORMASI SENSITIF

Sebagai bagian dari penilaian resiko (risk assessment) yang dilaksanakan oleh perwakilan bisnis dan staf keamanan, organisasi perlu mengidentifikasi jenis dan lokasi informasi sensitif yang disimpan secara elektronis. Untuk tujuan dokumen ini, informasi sensitif mengacu pada informasi yang belum maupun yang sudah diklasifikasi yang diidentifikasi membutuhkan proteksi. Informasi semacam itu mungkin berada dalam berbagai lokasi termasuk dokumen submisi kementerian pemerintahan dan dokumen lainnya yang merincikan rencana pemerintah, dokumen perencanaan strategi, proposal bisnis, tender, notulensi rapat, laporan keuangan dan akuntasi, dokumen resmi, dan kepemilikan hak kekayaan intelektual.

Berdasarkan akses musuh siber terhadap suatu informasi yang spesifik, memikirkan tujuan pengintaian yang dilakukan musuh siber dapat memberikan pengetahuan tentang siapa pengguna organisasi yang kemungkinan akan ditargetkan sebagai bagian dari intrusi siber. Dalam beberapa kasus, penargetan akan dilakukan pada rapat/ pertemuan berikutnya atau pada acara bisnis lainnya yang berhubungan dengan musuh siber.

Pada artikel selanjutnya (klik di sini untuk membaca), akan dibahas mengenai:

4. Calon-Calon Utama Target
5. Dasar Pemikiran dalam Melaksanakan Strategi-Strategi Mitigasi
6. Rincian Strategi-Strategi Mitigasi

Demikian, semoga bermanfaat. 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *