Strategi-Strategi untuk Mitigasi Intrusi Siber Bertarget (2/2)

Artikel ini merupakan lanjutan artikel terjemahan dari dokumen “Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details” yang dikeluarkan oleh Australian Signal Directorate (ASD).

Pada artikel sebelumnya (klik di sini untuk membaca), telah dibahas mengenai pendahuluan, tahap-tahap intrusi siber, dan informasi sensitif. Pada artikel ini akan membahas mengenai calon-calon utama target, dasar pemikiran dalam melaksanakan strategi-strategi mitigasi, beserta rincian strategi-strategi mitigasi.

4. CALON-CALON UTAMA TARGET

Istilah “calon-calon utama target” menggambarkan tentang pengguna-pengguna dalam suatu organisasi yang paling mungkin menjadi target sebagai bagian dari tahap pertama intrusi siber bertarget, termasuk:

  • eksekutif-eksekutif senior dan para asistennya
  • staf help desk, admin-admin sistem dan jaringan, dan pengguna-pengguna lain yang memiliki hak istimewa administratif dari suatu sistem operasi atau aplikasi seperti basis data
  • semua pengguna yang memiliki akses ke informasi sensitif, termasuk informasi yang dapat memberikan pemerintah atau organisasi asing keuntungan strategis maupun ekonomi pengguna yang memiliki akses jarak jauh
  • pengguna-pengguna yang mempunyai akses jarak jauh
  • pengguna-pengguna yang pekerjaannya melibatkan interaksi dengan surel-surel yang tidak diminta masyarakat serta pengguna-pengguna internet yang tidak diketahui lainnya; termasuk pengguna-pengguna yang menangangi permintaan Kebebasan Informasi, staf media dan humas, serta tim SDM yang membaca lampiran-lampiran surel seperti lamaran-lamaran pekerjaan

5. DASAR PEMIKIRAN DALAM MELAKSANAKAN STRATEGI-STRATEGI MITIGASI

Organisasi-organisasi Australia yang memiliki akses ke informasi sensitif (termasuk semua lembaga pemerintah federal Australia) memiliki kemungkinan tinggi untuk dijebol oleh intrusi siber berkecanggihan rendah jika postur keamanan organisasi tidak memadai. Selain kerugian yang berdampak pada kesejahteraan ekonomi dan semua warga negara Australia (seperti kerugian yang mencemarkan nama baik suatu organisasi) dapat merusak kepercayaan masyarakat terhadap Pemerintah Australia, dan dengan boros menghabiskan sumberdaya moneter dan pekerja yang langka untuk “membersihkan” intrusi siber intrusi berkecanggihan rendah secara terus menerus.

Sebagian besar organisasi yang memiliki sumber daya moneter dan pekerja yang terbatas membutuhkan manajemen senior agar berkomitmen akan pentingnya melindungi informasi sensitif organisasi. Saat diimplementasikan sebagai suatu paket, empat strategi mitigasi teratas dapat mengatasi semua tiga tahap tingkat tinggi intrusi siber dan merupakan “sweet spotyang memberikan peningkatan besar pada postur keamanan dengan investasi waktu, tenaga dan uang yang relatif kecil.

Setelah organisasi efektif menerapkan empat strategi mitigasi teratas (pertama pada pengguna stasiun kerja yang paling mungkin menjadi target intrusi siber dan kemudian pada semua stasiun kerja dan peladen), strategi mitigasi tambahan kemudian dapat dipilih untuk mengatasi kesenjangan keamanan sampai tingkat risiko residual yang dapat diterima tercapai.

Selain menerapkan strategi-strategi mitigasi, organisasi memerlukan suatu rencana penanggapan insiden dan kemampuan operasional terkait, termasuk pencadangan luring (offline backup) yang dilakukan dan diuji secara rutin agar pulih dari intrusi siber. Mengembangkan dan menerapkan kemampuan ini membutuhkan dukungan dari staf teknikal dan perwakilan bisnis, termasuk pemilik-pemilik data, komunikasi-komunikasi korporat, staf humas dan staf hukum.

Saat teridentifikasi, intrusi siber perlu dipahami dahulu batas kewajarannya sebelum perbaikan dilakukan. Jika tidak, organisasi akan bertindak seperti orang yang sedang bermain whack a mole“. Artinya, di saat organisasi sedang memperbaiki stasiun-stasiun kerja dan peladen-peladen yang terjebol dan juga memblokir akses jaringan ke infrastruktur internet yang dikendalikan oleh musuh siber, musuh yang sama juga sedang menjebol stasiun kerja dan peladen lainnya menggunakan perangkat perusak dan infrastruktur internet yang berbeda untuk menghindari deteksi.

Gambar 5: Foto seseorang yang sedang bermain “whack a mole

Untuk intrusi siber yang berkecanggihan lebih tinggi, ASD dapat membantu instansi pemerintah Australia dalam mengembangkan rencana strategi untuk menahan dan membasmi intrusi siber, dan juga meningkatkan postur keamanan suatu instansi akan persiapan untuk kemungkinan bahwa musuh siber akan tiba-tiba mencoba mendapatkan kembali akses ke stasiun-stasiun kerja dan peladen-peladen instansi.

Organisasi perlu menguji dan memutakhirkan rencana dan kemampuan penanggapan insiden secara rutin, berfokus pada pengurangan durasi waktu yang diperlukan untuk mendeteksi dan menanggapi intrusi maya berikutnya.

Organisasi harus terus menerus melakukan pemantauan dan mitigasi, menggunakan teknik-teknik otomatis untuk menguji dan mengukur efektivitas strategi-strategi mitigasi yang diimplementasikan, serta menerapkan strategi mitigasi tambahan yang diperlukan untuk melindungi informasi, stasiun-stasiun kerja dan peladen-peladen yang telah diidentifikasi sebagai aset-aset penting organisasi. Organisasi yang telah menerapkan solusi-solusi Pencegahan Kehilangan Data (Data Loss Prevention) biasanya sudah mengidentifikasi lokasi informasi yang paling sensitif.

Hilangnya tambalan (patch), kelemahan-kelemahan lain yang terdapat pada stasiun kerja dan peladen, serta upaya intrusi siber yang terdeteksi harus secara rutin dan sistematis dilaporkan sehingga manajer senior memahami ancaman dan dapat membuat keputusan pemulihan resiko yang tepat.

Organisasi yang proaktif akan berinvestasi dalam menemukan intrusi siber baru, bukan hanya sekedar menunggu atau dan mengandalkan produk keamanan untuk mendeteksi intrusi siber. Memanfaatkan akses informasi mengenai tradecraft (metode pengumpulan informasi) dan indikator penjebolan yang dilakukan musuh siber, seperti yang disampaikan kepada instansi-instansi pemerintah Australia melalui portal web OnSecure, dapat membantu organisasi mengidentifikasi intrusi siber.

6. RINCIAN STRATEGI-STRATEGI MITIGASI

Konsep daftar putih merupakan tema utama strategi mitigasi, di mana aktivitas seperti komunikasi jaringan atau eksekusi program ditolak secara bawaan (default), dan hanya aktivitas yang secara eksplisit diizinkan administrator sistem dan jaringan untuk memenuhi kebutuhan bisnis saja yang diperbolehkan. Pendekatan tradisional daftar hitam hanya memblokir sedikit aktivitas yang tidak diinginkan, dan pendekatan ini reaktif, memakan waktu dan memberikan keamanan yang lemah.

Terdapat 35 macam strategi mitigasi yang dibahas ASD, yaitu:

1. Membuat Daftar-putih Aplikasi
2. Melakukan Penambalan (Patch) pada Aplikasi
3. Melakukan Penambalan (Patch) pada Kerentanan-kerentanan Sistem Operasi
4. Membatasi Hak Istimewa Administratif
5. Konfigurasi Penguatan (Hardening) Aplikasi Pengguna
6. Analisis Dinamik secara Otomatis
7. Mitigasi Exploit yang Umum Digunakan pada Sistem Operasi
8. Sistem Pendeteksi/Pencegah Intrusi Berbasis Host
9. Menonaktifkan Akun-akun Administrator Lokal
10. Segmentasi dan Segregasi Jaringan
11. Otentikasi Multi-faktor
12. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Masuk
13. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Keluar
14. Non‐persistent Virtualised Sandboxed Trusted Operating Environment
15.  Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Kejadian Komputer yang Sukses dan Gagal
16. Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Aktivitas Jaringan yang Diperbolehkan dan yang Diblokir
17. Penyaringan Isi Surel
18. Penyaringan Isi Web
19. Pendaftarputihan Ranah (Domain) Web untuk Semua Ranah
20. Memblokir Surel Palsu
21. Manajemen Konfigurasi Stasiun Kerja dan Peladen
22. Perangkat Lunak Antivirus yang Menggunakan Penilaian Reputasi Heuristik dan Berbasis Internet Otomatis
23. Menolak Akses Internet Langsung dari Stasiun-stasiun Kerja
24. Konfigurasi Penguatan Aplikasi Peladen
25. Menegakkan Kebijakan Frasa Sandi (Passphrase) yang Kuat
26. Kontrol Media yang Portable dan Removable
27. Membatasi Akses pada Server Message Block (SMB) dan NetBIOS
28. Edukasi Pengguna
29. Inspeksi Stasiun Kerja akan Berkas-berkas Microsoft Office
30. Perangkat Lunak Antivirus Berbasis Signature
31. Enkripsi TLS antar Peladen Surel
32. Memblokir Usaha-usaha untuk Mengakses Situs Web berdasarkan Alamat IP
33. Sistem Pendeteksi/ Pencegah Intrusi Berbasis Jaringan
34. Membuat Daftar Hitam pada Gerbang Jaringan (Gateway)
35. Menangkap Lalu Lintas Jaringan

Untuk artikel mengenai rincian setiap strategi mitigasi dapat dilihat di kategori Mitigasi 2014.

Demikian, semoga bermanfaat. 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *