Strategi Mitigasi #1 – Daftar-putih aplikasi

Mitigasi

Implementasikan daftar-putih aplikasi yang terdiri dari program-program yang diperbolehkan/terpercaya setidaknya pada stasiun-stasiun kerja yang digunakan oleh Target Utama. Daftar-putih aplikasi ini bertujuan untuk mencegah eksekusi program-program jahat atau program-program yang tidak diinginkan.

Dasar Pemikiran

Implementasi daftar-putih aplikasi dengan konfigurasi yang tepat dapat membantu mencegah eksekusi perangkat lunak yang tidak diinginkan terlepas dari apakah perangkat lunak diunduh dari situs web, diunduh sebagai lampiran surat elektronik, atau diperoleh melalui memori stik USB atau CD/DVD.

Implementasi daftar-putih aplikasi pada peladen yang penting seperti Active Directory dan peladen otentikasi lain dapat membantu mencegah musuh siber menjalankan perangkat jahat untuk memperoleh hash kata sandi. Sebaliknya, jika implementasi ini tidak dilakukan, musuh siber dapat memperoleh hak istimewa tambahan.

Panduan Implementasi

Kemampuan daftar-putih aplikasi dalam memberikan pertahanan terhadap intrusi siber dengan tingkat kecanggihan rendah sampai tinggi bergantung pada produk vendor yang dipilih untuk mengimplementasikan daftar-putih aplikasi, pengaturan konfigurasinya, serta pengendalian hak akses berkas terhadap direktori pengguna (atau mungkin perangkat jahat) yang dapat menulis dan mengeksekusi berkas di dalamnya.

Konfigurasikan mekanisme daftar-putih aplikasi untuk mencegah berjalannya program yang tidak diinginkan apapun ekstensi berkasnya.

Jika memungkinkan, cegah pengguna (atau perangkat jahat yang berjalan sebagai pengguna) untuk menjalankan sistem eksekutabel yang biasa digunakan untuk pengintaian sebagaimana tercantum dalam strategi mitigasi #15 ‘Sentralisasi dan sinkronisasi logging waktu pada computer event yang berhasil maupun gagal’.

Hanya mencegah pengguna memasang aplikasi-aplikasi baru pada stasiun kerjanya bukanlah merupakan penerapan dari daftar-putih aplikasi.

Sangat disarankan untuk menerapkan daftar-putih aplikasi secara bertahap, daripada menerapkannya ke seluruh organisasi sekaligus. Sebagai contoh, setelah pengujian dan pemahaman mekanisme daftar-putih aplikasi dilakukan untuk mencegah positif palsu, satu pendekatan adalah menerapkan daftar-putih aplikasi pada stasiun-stasiun kerja yang digunakan eksekutif senior dan asistennya. Pengguna-pengguna tersebut merupakan Target Utama yang biasanya hanya menjalankan beberapa aplikasi perangkat lunak seperti Microsoft Office, program surat elektronik dan peramban web. Manfaat lainnya adalah ketika pengguna-pengguna ini paham bahwa daftar-putih aplikasi akan melakukan mitigasi bahaya yang diakibatkan ketika mereka mengunduh lampiran surat elektronik yang jahat atau mengunjungi situs web jahat, mereka akan memberikan dukungan lebih untuk proses pemasangan daftar-putih aplikasi pada lebih banyak lagi stasiun kerja pengguna dalam organisasi.

Penerapan daftar-putih aplikasi akan lebih mudah jika organisasi memiliki proses manajemen perubahan yang baik dan oleh karenanya organisasi tahu perangkat lunak apa saja yang dipasang pada stasiun kerja dan peladen. Pengujian awal daftar-putih aplikasi dalam mode “audit”/”logging only” dapat membantu organisasi mengembangkan inventori dari perangkat lunak yang terpasang. Ketika inventori dibangun, daftar-putih aplikasi dapat dikonfigurasikan dengan tepat dalam mode “paksa” untuk mencegah berjalannya program yang tidak diinginkan.

Ketika memasang perangkat lunak baru, hindari pembuatan hash pada berkas-berkas yang tidak bersifat eksekutabel. Sebaliknya jika setiap berkas baru dimasukkan ke dalam daftar-putih, daftar-putih akan menjadi terlalu besar dan jika didistribusikan lewat kebijakan kelompok, akan sangat memperlambat logging pengguna pada stasiun kerjanya.

Installer, atau paket pemasangan, dapat memasang, memodifikasi atau menghapus program. Kerangka kerja installer pada umumnya berisi Windows Installer dan InstallShield. Installer seringkali memuat informasi pemasangan dan berkas-berkas yang akan dipasang dalam satu paket. Berkas-berkas paket Windows Installer memiliki ekstensi penamaan berkas MSI dan pada umumnya disebut sebagai berkas MSI. Berkas MSI pada umumnya digunakan untuk pemasangan tanpa pengawasan atau modifikasi program dalam lingkungan Microsoft Windows.

Titik-akhir proteksi atau perangkat lunak anti-perangkat jahat dari beberapa vendor disertai daftar-putih aplikasi sebagai salah satu fungsionalitasnya.

Informasi Lebih Lanjut

Panduan rinci dari strategi mitigasi Top 4 tersedia di:

http://www.asd.gov.au/infosec/top35mitigationstrategies.htm

Kontrol ISM: 0843, 0845, 0846, 0848, 0849, 0851, 0955, 0956‐0957.

 

Leave a Reply

Your email address will not be published. Required fields are marked *