Strategi Mitigasi #12 – Aplikasi Firewall Berbasis Perangkat Lunak, Menghalau Masuknya Lalulintas dalam Jaringan

Mitigasi

Implementasi dari aplikasi firewall berbasis perangakt lunak, menghalau masuknya lalulintas dalam jaringan yang dapat berupa hal perusak atau tidak terotorisasi dan menolak lalu lintas jaringan secara default.

Dasar Pemikiran

Menghalau sambungan jaringan yang tidak diperlukan dan mengurangai potensi serangan yang muncul dengan membatasi pembongkaran ke servis jaringan yang berjalan pada statiun kerja dan peladen, juga dapat mengurangi kemampuan musuh dunia maya untuk merambat sepanjang jaringan organisasi sebagai bagian dari bagian kedua dari intrusi dunia maya,

Panduan Implementasi

Titik akhir perlindungan atau perangkat lunak anti-perangkat perusak dari vendor termasuk aplikasi yang berfungsi sebagai firewall berbasis perangakat lunak.

Informasi lebih lanjut

ISM controls: 0380, 0941, 1017.

Strategi Mitigasi #11 – Otentikasi multi-faktor

Mitigasi

Implementasi otentikasi multi faktor, terutama untuk Target Paling Mungkin, akses jarak jauh, dan ketika pengguna akan melakukan hak khusus (termasuk administrasi sistem) atau mengakses penyimpanan informasi sensitive.

Otentikasi multi-faktor melibatkan pengguna untuk memverifikasi identitatas mereka menggunakan paling sedikit dua dari tiga mekanisme berikut:

  • Sesuatu yang diketahui pengguna, seperti passphrase atau PIN
  • Sesuatu yang dimiliki pengguna, seperti token fisik atau sertifikat perangkat lunak
  • Sesuatu yang membuktikan pengguna, seperti sidik jari

Dasar Pemikiran

Otentikasi multi-faktor membantu mencegah musuh dunia maya untuk merambat sepanjang jaringan organisasi sebagai bagian dari bagian kedua dari intrusi dunia maya,

Jika diimplematiskan secara benar, otentikasi multi-faktor dapat membuat musuh dunia maya, secara signifikan, lebih sulit dalam mencuri kredensial yang sah untuk memfasilitasi aktifitas yang merusak lebih jauh dalam jaringan.

Panduan Implementasi

Mekanisme otentikasi multi-faktor menyediakan berbagai macam level keamanan

  • Token yang terpisah secara fisik dengan nilai yang berdasar waktu, yang tidak terhubung dengan statiun kerja, mungkin menjadi pilihan paling aman bergantung pada kegunaan dan implementasi. Otentikasi multi-faktor debgan token yang terpisah secara fisik dengan nilai beradasar waktu membantu untuk mencegah musuh dunia maya untuk membangun VPN atau hubungan akses jarak jauh ke jaringan organisasi.
  • Kartu pintar mungkin pilihan kurang aman, bergantung pada penggunaan dan implementasi termasuk apakah kartu pintar tetap terhubung dengan statiun kerja, dan juga derajat perangkat lunak yang berjalan pada statiun kerja yang berinteraksi dengan kartu pintar.
  • Perangakat lunak yang berbasi sertifikat yang disimpan dan dilindungi oleh sistem operasi lebih kurang aman. Hal ini dikarenakan musuh dunia maya dapat menyalinnya tanpa memerlukan hak khusus administrative

Amankan peladen yang menyimpan data otentikasi pengguna dan melakukan otentikasi pengguna  karena peladen seperti ini sering di target oleh musuh dunia maya.

Kegunaan dari otentikasi multi-faktor untuk akses jarak jauh tidak mengurangi penggunaan pengguna dalam memasukan passphrase. Musuh dunia maya dapat mengambil passphrase pengguna ketika dimasukkan pada compromised computing device untuk melakukan akses jarak jauh. Passphrase ini mungkin digunakan sebagai bagian dari intrusi dunia maya, conth musuh dunia maya mendapatkan akses gisik ke statiun kerja perusahaan dan melakukan log in sebagai pengguna atau dengan menggunakan passphrase  untuk mengakses resource sensitive perusahaan sebagai bagian dari instrusi dunia maya jarak jauh terhadap jaringan perusahaan. Mitigasi termasuk menggunakan otentikasi multi-faktor untuk semua login pengguna termasuk statiun kerja perusahaan di dalam kantor, atau memastikan passphrase pengguna untuk akses jarak jauh berbeda dengan yang digunakan dari kantor.

Pastikan bahwa akun servis admistratif dan akun lain yang tidak dapat menggunakan otentikasi multi-faktor untuk menggunakan passphrase  yang memenuhi kebutuhan ISM

Informasi lebih lanjut

Panduan lebih jauh dari otentikasi multi-faktor:
http://www.asd.gov.au/publications/csocprotect/multi_factor_authentication.htm

ISM controls: 1039, 1265, 1173, 0974, 1384, 1357.

Strategi 20 # Menangkal Email Palsu

Mitigasi

Menangkal email palsu menggunakan ID pengirim atau menggunakan Sender Policy Framework (SPF) untuk memeriksa email yang masuk dan sebuah catatan “hard fail” SPF untuk membantu mencegah pemalsuan dari domain organisasi anda.

Dasar Pemikiran

SPF atau implementasi alternatif seperti ID Pengirim, membantu dalam pendeteksian email palsu dan mengurangi tingkat keberhasilan dari semacam metode instrusi siber.

Panduan implementasi

  • Konfigurasi catatan SPF untuk domain organisasi anda termasuk subdomainnya, dan konfigurasi sebuah wildcard catatan SPF untuk mencocokkan subdomain yang tidak ada;
  • ID Pengirim adalah sebuah versi alternatif dari SPF yang memeriksa keasilian dari alamat surat elektronik pengirim dimana muncul dan terlihat pada penerima surat elektronik. Implementasi tambahan termasuk DomainKeys Identified Mail (DKIM);
  • Domain‐based Message Authentication, Reporting and Conformance (DMARC) membuat standar bagaimana penerima surat elektronik melakukan otentikasi surat elektronik menggunakna mekanisme SPF dan DKIM;
  • Menolak surat elektronik dari Internet dimana domain organisasi anda sebagai pengirim surat elektronik tersebut.

Informasi lebih lanjut

Pandian lebih lanjut tentang strategi mitigasi email palsu tersedia pada:

http://www.asd.gov.au/publications/csocprotect/spoof_email_sender_policy_framework.html

Kendali ISM : 0574, 1151‐1152, 0861, 1025‐1027, 0561, 1183.

Strategi 19 # Daftar putih domain web untuk semua domain

Mitigasi

Implementasi daftar putih domain web untuk seluruh domain, karena pendekatan ini lebih proaktif dan mendalam dibandingkan sebuah persentase yang kecil dari domain yang jahat.

Dasar Pemikiran 

Mendefinisikan sebuah daftar putih akan membantu menghilangkan mayoritas pengiriman data dan teknik pengiriman data keluar oleh sebuah komputer yang digunakan program jahat.

Panduan implementasi

Mengurangi penolakan user dan kelebihan administratif yang secara potensial berhubungan dengan strategi mitigasi ini, implementasikan sebuah proses yang streamline untuk users dapat dengan mudah dan cepat menambahkan domain ke dalam daftar putih. 

Informasi lebih lanjut

Contoh implementasi dapat dilihat dari

http://whitetrash.sourceforge.net

Kendali ISM: 0263, 0995, 0958.

Strategi 18 #Penyaringan Isi Web

Mitigasi

Melaksanakan isi web dari lalu-lintas data yang masuk dan keluar, buat daftar putih isi web yang diijinkan dari tipe isi web dan menggunakan analisis perilaku, peringkat reputasi berbasis Internet, heuristics dan tandatangan digital.

Dasar Pemikiran

Sebuah situs yang efektif mengurangi resiko dari infeksi sebuah program jahat atau isi web yang tidak sepatutnya untuk diakses, sama halnya untuk mempersulit musuh dunia maya untuk berkomunikasi dengan program jahat milik mereka. Menjelaskan sebuah daftar putih akan membantu penghapusan kebanyakan pengiriman data dan pengiriman data yang tidak sah keluar dari sebuah komputer yang digunakan oleh program jahat.

Panduan Implementasi

  • Miliki kecenderungan untuk menangkal semua isi yang dapat dieksekusi dengan program atau kode tertentu secara defalut dan gunakan sebuah proses untuk dapat mengaktifkan akses yang dipilih secara individual jika terdapat sebuah justifikasi proses bisnis
  • Miliki kecenderungan untuk menangkal akses ke situs dimana penyaringan isi web mempertimbangkan situs tersebut “tidak masuk kateori” atau di dalam sebuah kategori bahwa situs tersebut tidak dibutuhkan untuk tujuan bisnis;
  • Pelarangan ActiveX, Java tujuan   Flash kecuali situs yang masuk kategori daftar putih yang membutuhkan fungsi-fungsi ini secara spesifik untuk tujuan bisnis (misal Flash dibutuhkan untuk menggunakan sebuah situs untuk tujuan bisnis,ijinkan hanya Flash tetapi bukan ActiveX atau Java)
  • Pelarangan HTML inline frame (pemasukan kode HTML ke dalam baris kode HTML sebuah situs) dan kode script java, kecuali untuk situs yang masuk daftar putih, dimana hal ini ideal sampai menantang karena jumlah situs yang banyak yang membutuhkan fungsi tersebut untuk tujuan bisnis,
  • Implementasikan sebuah solusi yang dapat memeriksa lalu-lintas SSL untuk isi/konten yang jahat, terutama komunikasi SSL dengan situs yang tidak dikenal.

Informasi lebih lanjut

Merujuk pada strategi mitigasi #6 ‘Automated dynamic analysis of email and web content run in a sandbox’ untuk rincian mengenai deteksi isi web yang memunculkan perilaku mencurigakan seperti lalu-lintas jaringan atau perubahan pada sistem file atau registry.

Kontrol ISM: 0963,0961,1273,1389,1390

Strategi Mitigasi 17 # Penyaringan Isi Email

Mitigasi

Lakukan penyaringan pada isi email, ijinkan hanya lampiran daftar putih dengan sebuah tipe file dan ekstensi file yang hanya dibutuhkan oleh fungsi bisnis;

Dasar Pemikiran

  • Miliki kecenderungan untuk menganalisis/mengkonversi/dan membersihkan hyperlinks, PDF dan lampiran Microsoft Office untuk melumpuhkan surat elektronik berbahaya;
  • Melarang atau karantina isi email yang tidak dapat diperiksa contohnya seperti arsip file ZIP yang dilindungi dengan parafrase;
  • Menolak email dari internet dimana terdaoat domain organisasi anda sebagai pengirim email;
  • Miliki kecenderungan mengarsip PDF dan lampiran Microsoft Office, dan pindai virus pada arsip tersebut setiap bulan atau beberapa bulan sekali;
  • Miliki kecenderungan untuk karantina lampiran dan melumpuhkan hyperlinks yang ada di dalam surat elektronik dari penyedia webmail yang menyediakan alamat email gratis untuk user Internet anonim, sejak intrusi siber biasanya termasuk penggunaan alamat email yang memiliki kekurangan pada atribusi;

Contoh plugin untuk Microsoft Exchange untuk melakukan sanitasi file PDF tersedia pada:

http://www.asd.gov.au/infosec/top35mitigationstrategies.html

Panduan lebih lanjut tentang mitigasi email jahat tersedia pada

http://www.asd.gov.au/publications/csocprotect/malicious_email_mitigation.html

Kontrol ISM:

0561, 1057, 1234, 1284‐1285, 1288, 0649‐0650, 0651‐0652, 1389.

Strategi Mitigasi 16 #Pencatatan Log Terpusat dan Sinkronisasi Waktu Aktivitas Jaringan

Mitigasi

Lakukan pencatatan log tepusat dan mempunyai fitur sinkronisasi waltu dengan analisis log secara real time dan otomatis, penyimpanan catatan log minimal 18 bulan. Catatan log yang penting antara lain infomasi tentang DNS Server, web proxy yang berisi rincian koneksi termmasuk di dalamnya nilai-nilai dari user-agen, waktu lepas DHCP, catatan log firewall yang berisi rincian lalu-lintas jaringan yang keluar-masuk jaringan organisasi, dan metadata seperti Network Flow Data.

Pencatatan log yang terpusat dan sinkronisasi waktu dan analisis log yang tepat waktu akan meningkatkan kemampuan organisasi secara cepat mengidentifikasi pola perilaku mencurigakan dan log kejadian yang berhubungan dengan perilaku perangkat kerja dan server untuk memudahkan investigasi dan audit apabila terjadi insiden siber.

Panduan Implementasi

Lakukan analisis catatan log secara reguler yang berfokus pada koneksi dan jumlah data yang ditransfer oleh Most Likely Target untuk menandai lalu-lintas internal jaringan yang tidak normal seperti percobaan enumerasi pada jaringan yang dibagi dan informasi user termasuk akun honeytoken. Juga fokus pada lalu-lintas jaringan eksternal yang melewati batas perimeter antara lain:

1. periodic beaconing traffic ;

2. Sesi HTTP dengan rasio yang tidak tepat antara lalu-lintas data yang keluar dan data yang masuk

3. Lalu-lintas HTTP dengan sebuah nilai header “User-Agent” yang tidak berhubungan dengan software asli oleh user organisasi

4. DNS lookups untuk nama domain yang tidak ada dan bukan merupakan kesalahan pengetikan oleh user yang menandakan malware berkomunikasi kepada sebuah domain yang mendaftarkan diri melalui pihak ketiga (cyber adversaries)

5. DNS lookups untuk nama domain yang menggunakan sebuah alamat localhost (127.0.0.1) mencirikan malware dimana cyber adversaries tidak siap untuk berkomunikasi

6. Lalu-lintas data yang besar.

7. Lalu-lintas data diluar jam kerja

8. Koneksi long-lived

Informasi lebih lanjut:

Kontrol ISM : 0120, 0670, 0790, 0380, 0957, 0261, 0109, 0580, 0582‐0583, 0584, 0585, 0586, 0587, 0859, 0987, 0988, 0991, 1032, 0631, 0634, 1176, 1305.

 

Strategi Mitigasi # 34 – Gateway Blacklisting (Daftar Hitam pada Gateway)

Mitigasi

Implementasi daftar hitam pada gateway (gateway blacklisting) untuk membatasi akses ke domain atau alamat IP yang diketahui melakukan kegiatan malicious.

 

Dasar Pemikiran

Daftar hitam pada gateway mengurangi resiko pengguna untuk terkonesi ke domain dan alamat IP yang diketahui merupakan milik cyber adversaries.

 

Panduan Implementasi

Intrusi cyber biasanya melibatkan penggunaan domain dinamis dan domain lainnya yang disediakan gratis kepada pengguna internet yang tidak jelas karena kurangnya atribut yang dimilikinya. Membatasi akses terhadap domain seperti ini setelah memeriksa bahwa organisasi tidak menggunakan akses kepada sebuah situs yang berada dalam naungan domain tersebut.

Strategi Mitigasi #33 – Network‐based Intrusion Detection/Prevention System

Mitigasi

Pengimplementasian sebuah network‐based Intrusion Detection/Prevention System (IDS/IPS) yang menggunakan signature dan heuristics untuk mengidentifikasi anomali yang dijabarkan dalam strategi mitigasi #16 ‘Centralised and time‐synchronised logging of allowed and blocked network activity’.

 

Dasar Pemikiran

Sebuah network‐based Intrusion Detection/Prevention System (IDS/IPS) apabila diimplementasikan dengan benar, selalu menggunakan signature terbaru dan ditunjang oleh proses yang benar, maka akan dapat membantu dalam mengidentifikasi dan dalam merespon intrusi cyber yang telah diketahui profilnya.

 

Panduan Implementasi

Menginspeksi lalulintas pada crossing perimeter boundaries untuk mencari kata kunci yang mengandung tanda klasifikasi (classification marking) yang mengidentifikasikan informasi sensitif, namun perlu diketahui bahwa penyerang biasanya menggunakan kompresi dan atau enkripsi pada data yang akan diselundupkan keluar untuk mengalahkan inspeksi seperti ini.

Strategi Mitigasi #32 – Membatasi usaha untuk mengakses situs web berdasarkan alamat IP.

Mitigasi

Membatasi usaha untuk mengakses situs web berdasarkan alamat IP, bukan berdasarkan nama domain.

 

Dasar Pemikiran

Mitigasi ini memaksa penyerang untuk mendapatkan nama domain baru, sehingga dapat direkam jejaknya untuk mengaudit dan mengidentifikasi intrusi.

 

Panduan Implementasi
Sebuah web server proxy dapat digunakan untuk mengimplementasi mitigasi ini.