Strategi 20 # Menangkal Email Palsu

Mitigasi

Menangkal email palsu menggunakan ID pengirim atau menggunakan Sender Policy Framework (SPF) untuk memeriksa email yang masuk dan sebuah catatan “hard fail” SPF untuk membantu mencegah pemalsuan dari domain organisasi anda.

Dasar Pemikiran

SPF atau implementasi alternatif seperti ID Pengirim, membantu dalam pendeteksian email palsu dan mengurangi tingkat keberhasilan dari semacam metode instrusi siber.

Panduan implementasi

  • Konfigurasi catatan SPF untuk domain organisasi anda termasuk subdomainnya, dan konfigurasi sebuah wildcard catatan SPF untuk mencocokkan subdomain yang tidak ada;
  • ID Pengirim adalah sebuah versi alternatif dari SPF yang memeriksa keasilian dari alamat surat elektronik pengirim dimana muncul dan terlihat pada penerima surat elektronik. Implementasi tambahan termasuk DomainKeys Identified Mail (DKIM);
  • Domain‐based Message Authentication, Reporting and Conformance (DMARC) membuat standar bagaimana penerima surat elektronik melakukan otentikasi surat elektronik menggunakna mekanisme SPF dan DKIM;
  • Menolak surat elektronik dari Internet dimana domain organisasi anda sebagai pengirim surat elektronik tersebut.

Informasi lebih lanjut

Pandian lebih lanjut tentang strategi mitigasi email palsu tersedia pada:

http://www.asd.gov.au/publications/csocprotect/spoof_email_sender_policy_framework.html

Kendali ISM : 0574, 1151‐1152, 0861, 1025‐1027, 0561, 1183.

Strategi 19 # Daftar putih domain web untuk semua domain

Mitigasi

Implementasi daftar putih domain web untuk seluruh domain, karena pendekatan ini lebih proaktif dan mendalam dibandingkan sebuah persentase yang kecil dari domain yang jahat.

Dasar Pemikiran 

Mendefinisikan sebuah daftar putih akan membantu menghilangkan mayoritas pengiriman data dan teknik pengiriman data keluar oleh sebuah komputer yang digunakan program jahat.

Panduan implementasi

Mengurangi penolakan user dan kelebihan administratif yang secara potensial berhubungan dengan strategi mitigasi ini, implementasikan sebuah proses yang streamline untuk users dapat dengan mudah dan cepat menambahkan domain ke dalam daftar putih. 

Informasi lebih lanjut

Contoh implementasi dapat dilihat dari

http://whitetrash.sourceforge.net

Kendali ISM: 0263, 0995, 0958.

Strategi 18 #Penyaringan Isi Web

Mitigasi

Melaksanakan isi web dari lalu-lintas data yang masuk dan keluar, buat daftar putih isi web yang diijinkan dari tipe isi web dan menggunakan analisis perilaku, peringkat reputasi berbasis Internet, heuristics dan tandatangan digital.

Dasar Pemikiran

Sebuah situs yang efektif mengurangi resiko dari infeksi sebuah program jahat atau isi web yang tidak sepatutnya untuk diakses, sama halnya untuk mempersulit musuh dunia maya untuk berkomunikasi dengan program jahat milik mereka. Menjelaskan sebuah daftar putih akan membantu penghapusan kebanyakan pengiriman data dan pengiriman data yang tidak sah keluar dari sebuah komputer yang digunakan oleh program jahat.

Panduan Implementasi

  • Miliki kecenderungan untuk menangkal semua isi yang dapat dieksekusi dengan program atau kode tertentu secara defalut dan gunakan sebuah proses untuk dapat mengaktifkan akses yang dipilih secara individual jika terdapat sebuah justifikasi proses bisnis
  • Miliki kecenderungan untuk menangkal akses ke situs dimana penyaringan isi web mempertimbangkan situs tersebut “tidak masuk kateori” atau di dalam sebuah kategori bahwa situs tersebut tidak dibutuhkan untuk tujuan bisnis;
  • Pelarangan ActiveX, Java tujuan   Flash kecuali situs yang masuk kategori daftar putih yang membutuhkan fungsi-fungsi ini secara spesifik untuk tujuan bisnis (misal Flash dibutuhkan untuk menggunakan sebuah situs untuk tujuan bisnis,ijinkan hanya Flash tetapi bukan ActiveX atau Java)
  • Pelarangan HTML inline frame (pemasukan kode HTML ke dalam baris kode HTML sebuah situs) dan kode script java, kecuali untuk situs yang masuk daftar putih, dimana hal ini ideal sampai menantang karena jumlah situs yang banyak yang membutuhkan fungsi tersebut untuk tujuan bisnis,
  • Implementasikan sebuah solusi yang dapat memeriksa lalu-lintas SSL untuk isi/konten yang jahat, terutama komunikasi SSL dengan situs yang tidak dikenal.

Informasi lebih lanjut

Merujuk pada strategi mitigasi #6 ‘Automated dynamic analysis of email and web content run in a sandbox’ untuk rincian mengenai deteksi isi web yang memunculkan perilaku mencurigakan seperti lalu-lintas jaringan atau perubahan pada sistem file atau registry.

Kontrol ISM: 0963,0961,1273,1389,1390

Strategi Mitigasi 17 # Penyaringan Isi Email

Mitigasi

Lakukan penyaringan pada isi email, ijinkan hanya lampiran daftar putih dengan sebuah tipe file dan ekstensi file yang hanya dibutuhkan oleh fungsi bisnis;

Dasar Pemikiran

  • Miliki kecenderungan untuk menganalisis/mengkonversi/dan membersihkan hyperlinks, PDF dan lampiran Microsoft Office untuk melumpuhkan surat elektronik berbahaya;
  • Melarang atau karantina isi email yang tidak dapat diperiksa contohnya seperti arsip file ZIP yang dilindungi dengan parafrase;
  • Menolak email dari internet dimana terdaoat domain organisasi anda sebagai pengirim email;
  • Miliki kecenderungan mengarsip PDF dan lampiran Microsoft Office, dan pindai virus pada arsip tersebut setiap bulan atau beberapa bulan sekali;
  • Miliki kecenderungan untuk karantina lampiran dan melumpuhkan hyperlinks yang ada di dalam surat elektronik dari penyedia webmail yang menyediakan alamat email gratis untuk user Internet anonim, sejak intrusi siber biasanya termasuk penggunaan alamat email yang memiliki kekurangan pada atribusi;

Contoh plugin untuk Microsoft Exchange untuk melakukan sanitasi file PDF tersedia pada:

http://www.asd.gov.au/infosec/top35mitigationstrategies.html

Panduan lebih lanjut tentang mitigasi email jahat tersedia pada

http://www.asd.gov.au/publications/csocprotect/malicious_email_mitigation.html

Kontrol ISM:

0561, 1057, 1234, 1284‐1285, 1288, 0649‐0650, 0651‐0652, 1389.

Strategi Mitigasi 16 #Pencatatan Log Terpusat dan Sinkronisasi Waktu Aktivitas Jaringan

Mitigasi

Lakukan pencatatan log tepusat dan mempunyai fitur sinkronisasi waltu dengan analisis log secara real time dan otomatis, penyimpanan catatan log minimal 18 bulan. Catatan log yang penting antara lain infomasi tentang DNS Server, web proxy yang berisi rincian koneksi termmasuk di dalamnya nilai-nilai dari user-agen, waktu lepas DHCP, catatan log firewall yang berisi rincian lalu-lintas jaringan yang keluar-masuk jaringan organisasi, dan metadata seperti Network Flow Data.

Pencatatan log yang terpusat dan sinkronisasi waktu dan analisis log yang tepat waktu akan meningkatkan kemampuan organisasi secara cepat mengidentifikasi pola perilaku mencurigakan dan log kejadian yang berhubungan dengan perilaku perangkat kerja dan server untuk memudahkan investigasi dan audit apabila terjadi insiden siber.

Panduan Implementasi

Lakukan analisis catatan log secara reguler yang berfokus pada koneksi dan jumlah data yang ditransfer oleh Most Likely Target untuk menandai lalu-lintas internal jaringan yang tidak normal seperti percobaan enumerasi pada jaringan yang dibagi dan informasi user termasuk akun honeytoken. Juga fokus pada lalu-lintas jaringan eksternal yang melewati batas perimeter antara lain:

1. periodic beaconing traffic ;

2. Sesi HTTP dengan rasio yang tidak tepat antara lalu-lintas data yang keluar dan data yang masuk

3. Lalu-lintas HTTP dengan sebuah nilai header “User-Agent” yang tidak berhubungan dengan software asli oleh user organisasi

4. DNS lookups untuk nama domain yang tidak ada dan bukan merupakan kesalahan pengetikan oleh user yang menandakan malware berkomunikasi kepada sebuah domain yang mendaftarkan diri melalui pihak ketiga (cyber adversaries)

5. DNS lookups untuk nama domain yang menggunakan sebuah alamat localhost (127.0.0.1) mencirikan malware dimana cyber adversaries tidak siap untuk berkomunikasi

6. Lalu-lintas data yang besar.

7. Lalu-lintas data diluar jam kerja

8. Koneksi long-lived

Informasi lebih lanjut:

Kontrol ISM : 0120, 0670, 0790, 0380, 0957, 0261, 0109, 0580, 0582‐0583, 0584, 0585, 0586, 0587, 0859, 0987, 0988, 0991, 1032, 0631, 0634, 1176, 1305.