Strategi-strategi untuk Mitigasi Intrusi Siber Bertarget

STRATEGI-STRATEGI UNTUK MITIGASI INTRUSI SIBER BERTARGET

merupakan terjemahan dari dokumen “Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details” yang dikeluarkan oleh ASD (Australian Signal Directorate) pada Februari 2014.

Sampul depan dokumen "Strategi-strategi Mitigasi Intrusi Siber Bertarget - Rincian Mitigasi"
Gambar 1: Sampul depan dokumen ASD “Strategi-strategi untuk Mitigasi Intrusi Siber Bertarget – Rincian Mitigasi”

Dokumen tersebut berisi tentang pendahuluan, tahap-tahap intrusi siber bertarget, informasi sensitif, dasar pemikiran melaksanakan strategi-strategi mitigasi, serta rincian dari strategi-strategi mitigasi.

1. PENDAHULUAN

Dokumen ini memberikan informasi lebih lanjut mengenai daftar strategi ASD dalam memitigasi intrusi siber bertarget, termasuk referensi untuk mengontrolnya, di dalam Australian Government Information Security Manual (ISM) yang tersedia di situs http://www.asd.gov.au/infosec/ism/index.htm.

Pembaca sangat disarankan untuk mengunjungi website ASD untuk versi terbaru dari dokumen ini dan juga untuk mendapat informasi tambahan tentang menerapkan strategi mitigasi, yang tersedia di situs http://www.asd.gov.au/infosec/top35mitigationstrategies.htm.

Dokumen ini berfokus utama pada mempertahankan stasiun-stasiun kerja pengguna (user workstations) dan peladen-peladen (servers). Prinsip-prinsip dasar yang diperhatikan oleh panduan dalam dokumen ini berlaku untuk kegiatan keamanan ICT yang lebih luas. Sebagai panduan tambahan untuk penguatan (hardening) khusus perangkat, ASD juga menyediakan panduan untuk menggunakan perangkat mobile (seperti komputer tablet dan telepon pintar) secara aman, yang tersedia di situs http://www.asd.gov.au/publications/csocprotect/enterprise_mobility_bring_your_own_device_byod_paper.htm.

2. TAHAP-TAHAP INTRUSI SIBER BERTARGET

Tidak ada strategi tunggal yang dapat mencegah suatu intrusi siber bertarget. Organisasi seharusnya memastikan bahwa strategi yang mereka pilih mengatasi semua tiga tahap tingkat tinggi dari intrusi siber yaitu:

Tahap

Tindakan

Metodologi

Tahap 1 Pengintaian untuk memilih target pengguna, eksekusi perangkat perusak (malware) dengan teknik intrusi yang dipilih. Membuat situs web perusak, menjebol situs web resmi (dengan teknik “watering hole” atau “drive by download”) atau mengirim surel “spear‐phishing” dengan suatu pranala (hyperlink) atau konten yang berbahaya.
Tahap 2 Propagasi (perambatan) jaringan Menggunakan kredensial akun yang telah dijebol atau menggunakan kerentanan-kerentanan yang dapat dieksploitasi.
Tahap 3 Eksfilterasi data Mengekstraksi data dengan berkas arsip RAR/ZIP, kemungkinan besar dieksfilterasi via Jaringan Pribadi Maya (VPN) atau via koneksi akses jarak jauh lainnya.

2.1. Tahap 1: Eksekusi Kode

Musuh dalam dunia siber (selanjutnya disebut musuh siber) melakukan pengintaian untuk memilih target pengguna dan juga membuat situs web perusak atau menjebol suatu situs web resmi dengan teknik serangan “drive by download” atau “watering hole”.

Teknik serangan “drive by download” dapat membuat pengguna tanpa sadar mengunduh perangkat perusak dari tautan jebakan yang dibuat musuh siber. Dengan teknik serangan “watering hole”, musuh siber akan menerka atau mengamati situs-situs web apa saja yang sering dikunjungi pengguna-pengguna, kemudian menginfeksi satu atau lebih situs-situs web tersebut dengan perangkat perusak. Urutan tahapan dari kedua jenis teknik serangan tersebut dapat dilihat pada gambar 2 dan 3.

Gambar 2 Diagram Tahapan dari Serangan “Drive by Download
Gambar Tahapan dari Serangan "Waterhole"
Gambar 3: Diagram Tahapan dari Serangan “Watering Hole

Selain cara di atas, musuh siber dapat menyerang dengan mengirim surel berbahaya “spear phishing” kepada pengguna yang ditargetkan. Surel tersebut dapat berisi pranala (hyperlink) ke suatu situs web dengan konten berbahaya, atau berisi lampiran surel berbahaya seperti berkas PDF atau dokumen Microsoft Office yang dapat dibentuk menjadi berkas arsip RAR/ZIP. Rincian tahapan dari teknik serangan dapat dilihat pada gambar 4.

Gambar 4: Diagram Tahapan dari Serangan “Spear Phishing

Pengintaian menjadi lebih mudah bagi musuh siber jika nama dan alamat surel pengguna yang ditargetkan tersedia di situs web perusahaan tempat pengguna bekerja, di situs web jejaring sosial; atau jika pengguna menggunakan alamat surel kantor untuk tujuan yang tidak berkaitan dengan pekerjaan.

Perangkat perusak kemudian dieksekusi pada stasiun kerja pengguna dan sering dikonfigurasi supaya bertahan dengan mengeksekusi secara otomatis setiap kali pengguna memulai kembali (restart) dan/ atau masuk (log on) ke stasiun kerjanya. Perangkat perusak berkomunikasi dengan infrastruktur jaringan yang dikontrol oleh musuh siber (biasanya mengunduh perangkat perusak tambahan) memungkinkan musuh siber untuk melakukan kontrol stasiun kerja pengguna dari jarak jauh dan juga melakukan tindakan atau mengakses informasi apapun yang pengguna dapat lakukan.

2.2. Tahap 2: Propagasi Jaringan

Musuh siber umumnya menggunakan kredensial-kredensial akun yang telah mereka jebol atau kerentanan-kerentanan yang dapat dieksploit dalam stasiun-stasiun kerja dan peladen-peladen lain dari perusahaan untuk memropagasi (berpindah ke samping) jaringan demi menemukan dan mengakses informasi sensitif. Propagasi jaringan ini dapat terjadi secara cepat pada jaringan yang segmentasi dan segregasinya tidak memadai, terutama saat dua atau lebih stasiun kerja aau peladen berbagi frasa sandi administrator lokal yang sama. Informasi yang diakses sering kali termasuk berkas Microsoft Office, surel PST Outlook, PDF serta informasi yang tersimpan dalam basis-basis data (databases).

Berikut adalah tipikal informasi sensitif yang musuh siber akses:

  • rincian tentang pengguna termasuk hierarki organisasi, nama-nama pengguna beserta kata sandinya termasuk kredensial untuk akses jarak jauh.
  • informasi sistem termasuk rincian konfigurasi dari stasiun kerja, peladen, dan jaringan.

Frasa-frasa sandi mungkin disimpan sebagai hash kriptografi untuk menggagalkan musuh siber. Namun ternyata tersedia perangkat lunak beserta stasiun kerja tunggal gratis atau layanan komputasi awan untuk umum yang mungkin mampu dengan cepat dan murah memecahkan hash tersebut untuk mendapatkan frasa-frasa sandi. Hash tidak akan mudah dipecahkan jika semua pengguna memilih frasa sandi yang sangat kuat yang di-hash dengan tepat menggunakan algoritma yang kuat secara kriptografi.

Selain cara di atas, musuh siber dapat menggunakan teknik serangan “pass the hash” untuk menghindari kebutuhan membongkar hash dari frasa-frasa sandi. Panduan mitigasi untuk serangan jenis dapat dilihat di situs https://blogs.technet.com/b/security/archive/2012/12/11/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx.

Penggunaan otentikasi single sign‐on dalam suatu organisasi mungkin secara signifikan menguntungkan bagi musuh siber. Namun di sisi lain, penggunaan yang tepat dari otentikasi multi-faktor justru membantu menghalangi musuh siber, terutama jika diimplementasikan untuk akses jarak jauh atau untuk saat pengguna melakukan tindakan hak istimewa seperti mengatur suatu stasiun kerja atau peladen, atau mengakses suatu tempat penyimpanan (repository) informasi sensitif.

2.3. Tahap 3: Eksfilterasi Data

Musuh siber biasanya menggunakan berkas arsip RAR/ZIP untuk mengompres dan mengenkripsi salinan informasi sensitif dari suatu organisasi.

Musuh siber mengeksfilterasi informasi tersebut dari jaringan, kadang dari suatu stasiun kerja tunggal yang “staging” (single “staging” workstation) atau peladen dalam jaringan organisasi. Musuh siber menggunakan protokol dan port jaringan yang tersedia yang diizinkan oleh tembok-api gerbang jaringan (gateway firewall) organisasi, seperti HTTPS/SSL dan HTTP yang terenkripsi, atau dalam beberapa kasus DNS atau surel.

Musuh siber dapat memperoleh kredensial-kredensial akun VPN (atau akses jarak jauh lainnya) dan menggunakan koneksi jaringan yang terenkripsi tersebut untuk mengeksfilterasi informasi, dengan tujuan “mengalahkan” jaringan yang berbasis pemantauan.

Musuh siber mempunyai beberapa stasiun kerja atau peladen dan akun-akun VPN (atau akses jarak jauh lainnya) yang telah mereka jebol dalam jaringan organisasi, yang dijaga sebagai pintu belakang (backdoor) untuk memudahkan pengumpulan dan eksfilterasi informasi lebih lanjut pada intrusi selanjutnya.

3. INFORMASI SENSITIF

Sebagai bagian dari penilaian resiko (risk assessment) yang dilaksanakan oleh perwakilan bisnis dan staf keamanan, organisasi perlu mengidentifikasi jenis dan lokasi informasi sensitif yang disimpan secara elektronis. Untuk tujuan dokumen ini, informasi sensitif mengacu pada informasi yang belum maupun yang sudah diklasifikasi yang diidentifikasi membutuhkan proteksi. Informasi semacam itu mungkin berada dalam berbagai lokasi termasuk dokumen submisi kementerian pemerintahan dan dokumen lainnya yang merincikan rencana pemerintah, dokumen perencanaan strategi, proposal bisnis, tender, notulensi rapat, laporan keuangan dan akuntasi, dokumen resmi, dan kepemilikan hak kekayaan intelektual.

Berdasarkan akses musuh siber terhadap suatu informasi yang spesifik, memikirkan tujuan pengintaian yang dilakukan musuh siber dapat memberikan pengetahuan tentang siapa pengguna organisasi yang kemungkinan akan ditargetkan sebagai bagian dari intrusi siber. Dalam beberapa kasus, penargetan akan dilakukan pada rapat/ pertemuan berikutnya atau pada acara bisnis lainnya yang berhubungan dengan musuh siber.

4. CALON-CALON UTAMA TARGET

Istilah “calon-calon utama target” menggambarkan tentang pengguna-pengguna dalam suatu organisasi yang paling mungkin menjadi target sebagai bagian dari tahap pertama intrusi siber bertarget, termasuk:

  • eksekutif-eksekutif senior dan para asistennya
  • staf help desk, admin-admin sistem dan jaringan, dan pengguna-pengguna lain yang memiliki hak istimewa administratif dari suatu sistem operasi atau aplikasi seperti basis data
  • semua pengguna yang memiliki akses ke informasi sensitif, termasuk informasi yang dapat memberikan pemerintah atau organisasi asing keuntungan strategis maupun ekonomi pengguna yang memiliki akses jarak jauh
  • pengguna-pengguna yang mempunyai akses jarak jauh
  • pengguna-pengguna yang pekerjaannya melibatkan interaksi dengan surel-surel yang tidak diminta masyarakat serta pengguna-pengguna internet yang tidak diketahui lainnya; termasuk pengguna-pengguna yang menangangi permintaan Kebebasan Informasi, staf media dan humas, serta tim SDM yang membaca lampiran-lampiran surel seperti lamaran-lamaran pekerjaan

5. DASAR PEMIKIRAN DALAM MELAKSANAKAN STRATEGI-STRATEGI MITIGASI

Organisasi-organisasi Australia yang memiliki akses ke informasi sensitif (termasuk semua lembaga pemerintah federal Australia) memiliki kemungkinan tinggi untuk dijebol oleh intrusi siber berkecanggihan rendah jika postur keamanan organisasi tidak memadai. Selain kerugian yang berdampak pada kesejahteraan ekonomi dan semua warga negara Australia (seperti kerugian yang mencemarkan nama baik suatu organisasi) dapat merusak kepercayaan masyarakat terhadap Pemerintah Australia, dan dengan boros menghabiskan sumberdaya moneter dan pekerja yang langka untuk “membersihkan” intrusi siber intrusi berkecanggihan rendah secara terus menerus.

Sebagian besar organisasi yang memiliki sumber daya moneter dan pekerja yang terbatas membutuhkan manajemen senior agar berkomitmen akan pentingnya melindungi informasi sensitif organisasi. Saat diimplementasikan sebagai suatu paket, empat strategi mitigasi teratas dapat mengatasi semua tiga tahap tingkat tinggi intrusi siber dan merupakan “sweet spotyang memberikan peningkatan besar pada postur keamanan dengan investasi waktu, tenaga dan uang yang relatif kecil.

Setelah organisasi efektif menerapkan empat strategi mitigasi teratas (pertama pada pengguna stasiun kerja yang paling mungkin menjadi target intrusi siber dan kemudian pada semua stasiun kerja dan peladen), strategi mitigasi tambahan kemudian dapat dipilih untuk mengatasi kesenjangan keamanan sampai tingkat risiko residual yang dapat diterima tercapai.

Selain menerapkan strategi-strategi mitigasi, organisasi memerlukan suatu rencana penanggapan insiden dan kemampuan operasional terkait, termasuk pencadangan luring (offline backup) yang dilakukan dan diuji secara rutin agar pulih dari intrusi siber. Mengembangkan dan menerapkan kemampuan ini membutuhkan dukungan dari staf teknikal dan perwakilan bisnis, termasuk pemilik-pemilik data, komunikasi-komunikasi korporat, staf humas dan staf hukum.

Saat teridentifikasi, intrusi siber perlu dipahami dahulu batas kewajarannya sebelum perbaikan dilakukan. Jika tidak, organisasi akan bertindak seperti orang yang sedang bermain whack a mole“. Artinya, di saat organisasi sedang memperbaiki stasiun-stasiun kerja dan peladen-peladen yang terjebol dan juga memblokir akses jaringan ke infrastruktur internet yang dikendalikan oleh musuh siber, musuh yang sama juga sedang menjebol stasiun kerja dan peladen lainnya menggunakan perangkat perusak dan infrastruktur internet yang berbeda untuk menghindari deteksi.

Gambar 5: Foto seseorang yang sedang bermain “whack a mole

Untuk intrusi siber yang berkecanggihan lebih tinggi, ASD dapat membantu instansi pemerintah Australia dalam mengembangkan rencana strategi untuk menahan dan membasmi intrusi siber, dan juga meningkatkan postur keamanan suatu instansi akan persiapan untuk kemungkinan bahwa musuh siber akan tiba-tiba mencoba mendapatkan kembali akses ke stasiun-stasiun kerja dan peladen-peladen instansi.

Organisasi perlu menguji dan memutakhirkan rencana dan kemampuan penanggapan insiden secara rutin, berfokus pada pengurangan durasi waktu yang diperlukan untuk mendeteksi dan menanggapi intrusi maya berikutnya.

Organisasi harus terus menerus melakukan pemantauan dan mitigasi, menggunakan teknik-teknik otomatis untuk menguji dan mengukur efektivitas strategi-strategi mitigasi yang diimplementasikan, serta menerapkan strategi mitigasi tambahan yang diperlukan untuk melindungi informasi, stasiun-stasiun kerja dan peladen-peladen yang telah diidentifikasi sebagai aset-aset penting organisasi. Organisasi yang telah menerapkan solusi-solusi Pencegahan Kehilangan Data (Data Loss Prevention) biasanya sudah mengidentifikasi lokasi informasi yang paling sensitif.

Hilangnya tambalan (patch), kelemahan-kelemahan lain yang terdapat pada stasiun kerja dan peladen, serta upaya intrusi siber yang terdeteksi harus secara rutin dan sistematis dilaporkan sehingga manajer senior memahami ancaman dan dapat membuat keputusan pemulihan resiko yang tepat.

Organisasi yang proaktif akan berinvestasi dalam menemukan intrusi siber baru, bukan hanya sekedar menunggu atau dan mengandalkan produk keamanan untuk mendeteksi intrusi siber. Memanfaatkan akses informasi mengenai tradecraft (metode pengumpulan informasi) dan indikator penjebolan yang dilakukan musuh siber, seperti yang disampaikan kepada instansi-instansi pemerintah Australia melalui portal web OnSecure, dapat membantu organisasi mengidentifikasi intrusi siber.

6. RINCIAN STRATEGI-STRATEGI MITIGASI

Konsep daftar putih merupakan tema utama strategi mitigasi, di mana aktivitas seperti komunikasi jaringan atau eksekusi program ditolak secara bawaan (default), dan hanya aktivitas yang secara eksplisit diizinkan administrator sistem dan jaringan untuk memenuhi kebutuhan bisnis saja yang diperbolehkan. Pendekatan tradisional daftar hitam hanya memblokir sedikit aktivitas yang tidak diinginkan, dan pendekatan ini reaktif, memakan waktu dan memberikan keamanan yang lemah.

Terdapat 35 macam strategi mitigasi yang dibahas ASD, yaitu:

1. Membuat Daftar-putih Aplikasi
2. Melakukan Penambalan (Patch) pada Aplikasi
3. Melakukan Penambalan (Patch) pada Kerentanan-kerentanan Sistem Operasi
4. Membatasi Hak Istimewa Administratif
5. Konfigurasi Penguatan (Hardening) Aplikasi Pengguna
6. Analisis Dinamik secara Otomatis
7. Mitigasi Exploit yang Umum Digunakan pada Sistem Operasi
8. Sistem Pendeteksi/Pencegah Intrusi Berbasis Host
9. Menonaktifkan Akun-akun Administrator Lokal
10. Segmentasi dan Segregasi Jaringan
11. Otentikasi Multi-faktor
12. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Masuk
13. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Keluar
14. Non‐persistent Virtualised Sandboxed Trusted Operating Environment
15.  Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Kejadian Komputer yang Sukses dan Gagal
16. Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Aktivitas Jaringan yang Diperbolehkan dan yang Diblokir
17. Penyaringan Isi Surel
18. Penyaringan Isi Web
19. Pendaftarputihan Ranah (Domain) Web untuk Semua Ranah
20. Memblokir Surel Palsu
21. Manajemen Konfigurasi Stasiun Kerja dan Peladen
22. Perangkat Lunak Antivirus yang Menggunakan Penilaian Reputasi Heuristik dan Berbasis Internet Otomatis
23. Menolak Akses Internet Langsung dari Stasiun-stasiun Kerja
24. Konfigurasi Penguatan Aplikasi Peladen
25. Menegakkan Kebijakan Frasa Sandi (Passphrase) yang Kuat
26. Kontrol Media yang Portable dan Removable
27. Membatasi Akses pada Server Message Block (SMB) dan NetBIOS
28. Edukasi Pengguna
29. Inspeksi Stasiun Kerja akan Berkas-berkas Microsoft Office
30. Perangkat Lunak Antivirus Berbasis Signature
31. Enkripsi TLS antar Peladen Surel
32. Memblokir Usaha-usaha untuk Mengakses Situs Web berdasarkan Alamat IP
33. Sistem Pendeteksi/ Pencegah Intrusi Berbasis Jaringan
34. Membuat Daftar Hitam pada Gerbang Jaringan (Gateway)
35. Menangkap Lalu Lintas Jaringan

Leave a Reply

Your email address will not be published. Required fields are marked *