4

Pertahanan Adaptif dan Berlapis (Adaptive and Multi-layered Defense)

Pertahanan adaptif dan berlapis adalah pendekatan keamanan siber yang melibatkan penggunaan beberapa lapis pertahanan untuk melindungi dari berbagai ancaman, dan mengadaptasi pertahanan tersebut sebagai respons terhadap perubahan ancaman dan vektor serangan.

Gagasan di balik pertahanan adaptif dan berlapis adalah bahwa tidak ada satu pun langkah keamanan yang dapat memberikan perlindungan lengkap terhadap semua kemungkinan ancaman. Sebagai gantinya, beberapa lapisan pertahanan digunakan, masing-masing memberikan tingkat perlindungan yang berbeda dan membantu mengurangi berbagai jenis risiko.

Beberapa komponen utama dari pertahanan adaptif dan berlapis dapat mencakup:

  1. Segmentasi Jaringan (Network Segmentation):

Segmentasi jaringan adalah proses membagi jaringan komputer menjadi bagian atau sub-jaringan yang lebih kecil dan lebih mudah dikelola, yang dikenal sebagai segmen atau zona. Setiap segmen kemudian diamankan dengan serangkaian kontrol keamanan dan kebijakan aksesnya sendiri, sehingga mempersulit pengguna yang tidak berwenang atau perangkat lunak berbahaya untuk mendapatkan akses ke data sensitif atau sumber daya penting.

Segmentasi jaringan dapat diimplementasikan dalam beberapa cara, tergantung pada kebutuhan dan persyaratan organisasi. Beberapa teknik segmentasi yang umum meliputi:

  1. Segmentasi Fisik: Ini melibatkan pemisahan secara fisik berbagai bagian jaringan menggunakan router, switch, atau perangkat keras lainnya.
  • Segmentasi Virtual: Ini melibatkan pembuatan segmen logis dalam jaringan menggunakan teknologi jaringan yang ditentukan perangkat lunak (SDN) atau LAN virtual (VLAN).
  • Segmentasi Aplikasi: Ini melibatkan segmentasi jaringan berdasarkan aplikasi atau layanan tertentu, seperti email atau server database.
  • Segmentasi Pengguna: Ini melibatkan segmentasi jaringan berdasarkan peran pengguna atau tingkat akses, seperti memisahkan jaringan karyawan dan tamu.
  • Pertahanan Perimeter (Perimeter Defense):

Pertahanan perimeter adalah strategi keamanan yang digunakan untuk melindungi batas-batas jaringan atau sistem dengan mengontrol aliran data yang masuk dan keluar dari jaringan. Strategi ini melibatkan penerapan langkah-langkah keamanan dan kontrol pada perimeter jaringan untuk mencegah akses yang tidak sah, gangguan, atau serangan.

Perimeter adalah lapisan terluar dari sebuah jaringan, dan biasanya dilindungi oleh kombinasi perangkat keras dan perangkat lunak, termasuk firewall, sistem deteksi dan pencegahan penyusupan, dan firewall aplikasi web. Perangkat-perangkat ini dirancang untuk memeriksa lalu lintas masuk dan keluar, dan memblokir lalu lintas apa pun yang tampak mencurigakan atau berpotensi membahayakan.

Pertahanan perimeter juga melibatkan penggunaan kontrol akses, seperti otentikasi dan otorisasi, untuk memastikan bahwa hanya pengguna dan perangkat yang diotorisasi yang diizinkan untuk mengakses jaringan. Hal ini dapat melibatkan penggunaan nama pengguna dan kata sandi, otentikasi multi-faktor, dan langkah-langkah keamanan lainnya untuk memverifikasi identitas pengguna dan perangkat.

Selain melindungi dari ancaman eksternal, pertahanan perimeter juga dapat membantu mencegah ancaman orang dalam dengan mengontrol aliran data di dalam jaringan. Misalnya, kontrol akses dapat digunakan untuk membatasi akses ke data sensitif atau sistem penting, dan untuk memantau aktivitas pengguna yang berwenang untuk mendeteksi perilaku yang mencurigakan.

  • Perlindungan Titik Akhir (Endpoint Protection):

Perlindungan endpoint adalah strategi keamanan yang dirancang untuk melindungi endpoint, seperti desktop, laptop, perangkat seluler, server, dan endpoint lainnya, dari ancaman siber seperti malware, ransomware, dan jenis serangan lainnya.

Perlindungan endpoint melibatkan penerapan perangkat lunak keamanan dan alat lainnya pada setiap endpoint untuk mendeteksi dan mencegah ancaman siber agar tidak mengganggu perangkat atau jaringan. Ini dapat mencakup perangkat lunak anti-virus dan anti-malware, sistem deteksi dan pencegahan penyusupan, firewall, dan kontrol keamanan lainnya.

Solusi perlindungan titik akhir biasanya menyediakan pemantauan waktu nyata dan deteksi ancaman, serta kemampuan respons otomatis untuk mengidentifikasi dan mengatasi potensi ancaman dengan cepat. Solusi ini juga dapat mencakup fitur-fitur seperti enkripsi data, manajemen perangkat, dan penegakan kebijakan untuk membantu mencegah kehilangan data dan akses yang tidak sah.

Perlindungan titik akhir merupakan aspek penting dari keamanan jaringan, karena titik akhir sering kali menjadi titik masuk untuk serangan siber. Penjahat siber mungkin berusaha mendapatkan akses ke endpoint melalui email phishing, situs web berbahaya, atau metode lain, dan setelah mereka mendapatkan akses, mereka dapat menggunakan endpoint sebagai pintu gerbang ke bagian lain dari jaringan. Perlindungan endpoint membantu mencegah hal ini dengan mendeteksi dan memblokir jenis serangan ini sebelum dapat menyebabkan kerusakan pada jaringan.

  • Manajemen Identitas dan Akses (Identity and Access Management): IAM adalah kerangka kerja keamanan yang membantu organisasi mengelola dan mengontrol akses ke sistem, aplikasi, dan data mereka. Sistem IAM memungkinkan organisasi untuk mendefinisikan dan menerapkan kebijakan untuk akses pengguna ke informasi dan sumber daya, serta melacak aktivitas pengguna untuk memastikan kepatuhan terhadap kebijakan tersebut.

IAM biasanya melibatkan komponen-komponen utama berikut ini:

  1. Identifikasi: Hal ini melibatkan identifikasi pengguna dan kredensial mereka, seperti nama pengguna, kata sandi, atau data biometrik.
  • Autentikasi: Ini melibatkan verifikasi identitas pengguna, biasanya melalui penggunaan kata sandi, data biometrik, atau mekanisme otentikasi lainnya.
  • Otorisasi: Ini melibatkan pemberian atau penolakan akses ke sumber daya tertentu berdasarkan identitas dan hak akses pengguna.
  • Audit dan pemantauan: Hal ini melibatkan pelacakan dan pencatatan aktivitas pengguna untuk mengidentifikasi potensi ancaman atau pelanggaran keamanan.

Sistem IAM dapat membantu organisasi untuk meningkatkan keamanan dengan menyediakan cara terpusat untuk mengelola akses pengguna di berbagai sistem dan aplikasi. Dengan mendefinisikan kebijakan dan peran akses, organisasi dapat memastikan bahwa pengguna hanya memiliki akses ke sumber daya yang mereka butuhkan untuk melakukan pekerjaan mereka, dan bahwa akses ke data sensitif atau rahasia dibatasi hanya untuk pengguna yang berwenang.

Sistem IAM juga dapat membantu organisasi untuk meningkatkan kepatuhan terhadap persyaratan peraturan dan standar industri, seperti Peraturan Perlindungan Data Umum (GDPR) dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Dengan menyediakan catatan aktivitas pengguna yang terperinci, sistem IAM dapat membantu organisasi untuk menunjukkan kepatuhan dan merespons dengan cepat terhadap insiden keamanan.

Secara keseluruhan, IAM merupakan komponen penting dari strategi keamanan yang komprehensif, karena membantu organisasi mengontrol akses ke sumber daya penting mereka dan melindungi dari ancaman orang dalam dan serangan eksternal.

  • Intelijen Ancaman (Threat intelligence):

Intelijen ancaman mengacu pada proses pengumpulan, analisis, dan penggunaan informasi tentang ancaman siber potensial dan yang sudah ada untuk melindungi diri dari ancaman tersebut dengan lebih baik. Intelijen ancaman dapat memberikan wawasan yang berharga bagi organisasi tentang taktik, teknik, dan prosedur (TTP) pelaku ancaman, serta informasi tentang motivasi, target, dan alat mereka.

Intelijen ancaman dapat diperoleh dari berbagai sumber, termasuk intelijen sumber terbuka (OSINT), umpan ancaman komersial, vendor keamanan, serta log dan laporan keamanan internal. Setelah informasi ini dikumpulkan, informasi ini dapat dianalisis dan digunakan untuk mengidentifikasi potensi kerentanan, meningkatkan proses respons insiden, dan mengembangkan langkah-langkah keamanan proaktif.

Ada dua jenis utama intelijen ancaman:

  1. Intelijen ancaman strategis: Ini melibatkan pengumpulan dan analisis informasi tentang tren yang lebih luas dalam lanskap ancaman siber, seperti pelaku ancaman yang muncul, keluarga malware baru, dan teknik serangan yang terus berkembang. Intelijen ancaman strategis dapat membantu organisasi untuk lebih memahami lanskap ancaman secara keseluruhan dan mengidentifikasi area potensi risiko.
  • Intelijen ancaman taktis: Ini melibatkan pengumpulan dan analisis informasi tentang ancaman spesifik yang menargetkan organisasi atau industri, seperti kampanye phishing yang ditargetkan, serangan ransomware, atau ancaman persisten tingkat lanjut (APT). Intelijen ancaman taktis dapat membantu organisasi mengidentifikasi dan merespons ancaman dengan cepat sebelum ancaman tersebut menyebabkan kerusakan.

Intelijen ancaman merupakan komponen penting dari strategi keamanan yang komprehensif, karena membantu organisasi untuk lebih memahami dan merespons lanskap ancaman yang terus berkembang. Dengan menggunakan intelijen ancaman untuk mengidentifikasi potensi risiko dan kerentanan, organisasi dapat mengembangkan langkah-langkah keamanan yang lebih efektif dan mengurangi risiko serangan siber secara keseluruhan.

– Selesai –

lockbit

Lockbit: Ransomware Yang Menghantui Dunia Siber

Lockbit 3.0 adalah jenis ransomware yang dirancang untuk mengenkripsi file di komputer korban dan meminta tebusan sebagai imbalan atas kunci dekripsi. Versi pertama Lockbit ditemukan pada tahun 2019, dan sejak itu, malware ini telah mengalami beberapa pembaruan dan perbaikan.

Ransomware Lockbit 3.0 dikenal dengan algoritme enkripsinya yang canggih dan rumit, yang membuatnya sangat sulit untuk mendekripsi file tanpa kunci dekripsi. Malware ini biasanya menyebar melalui email phishing, tautan berbahaya, atau kerentanan perangkat lunak, dan setelah menginfeksi sistem, dia segera mulai mengenkripsi file.

Lockbit 3.0 unik karena memiliki mekanisme pemerasan dua lapis, yang berarti bahwa dia tidak hanya mengenkripsi file tetapi juga mengancam untuk merilis data yang dicuri jika tebusannya tidak dibayar. Ransomware ini juga memiliki fitur yang disebut “Big Game Hunting,” yang menargetkan organisasi dan perusahaan yang lebih besar, yang menuntut uang tebusan yang lebih tinggi.

Pengembang Lockbit 3.0 beroperasi sebagai model ransomware-as-a-service (RaaS), di mana mereka menyediakan ransomware untuk afiliasi yang kemudian melakukan serangan dan berbagi keuntungan dengan para pengembang. Model ini memungkinkan distribusi ransomware yang lebih luas dan mempersulit pelacakan para penyerang.

  • Ada beberapa insiden dunia maya yang disebabkan oleh ransomware Lockbit, termasuk:
  1. Serangan Badan Perlindungan Lingkungan Skotlandia (SEPA): Pada bulan Desember 2020, Badan Perlindungan Lingkungan Skotlandia (SEPA) terkena serangan ransomware Lockbit 2.0 yang mengenkripsi lebih dari 4.000 file. Para penyerang menuntut uang tebusan sebesar £30 juta sebagai imbalan atas kunci dekripsi dan mengancam akan merilis data sensitif jika uang tebusan tidak dibayarkan. SEPA tidak membayar uang tebusan, dan para penyerang merilis beberapa data yang dicuri di web gelap.
  2. Serangan Ransomware Kesehatan Universitas Utah: Pada bulan Juli 2020, University of Utah Health mengalami serangan ransomware oleh geng ransomware Lockbit. Serangan tersebut menyebabkan rumah sakit mematikan beberapa sistem TI-nya, termasuk email dan sistem catatan pasien, selama beberapa hari. Rumah sakit tidak mengungkapkan jumlah permintaan tebusan atau apakah mereka membayar tebusan.
  3. Serangan Ransomware Kota Tulsa: Pada Mei 2021, Kota Tulsa di Oklahoma terkena serangan ransomware Lockbit yang mengenkripsi file pada sistemnya. Para penyerang meminta tebusan sebesar $8,5 juta sebagai imbalan atas kunci dekripsi, tetapi kota tersebut tidak membayar tebusan dan malah memulihkan sistemnya dari cadangan.

 

Insiden-insiden ini menyoroti dampak destruktif yang dapat ditimbulkan oleh ransomware Lockbit terhadap organisasi dan pentingnya menerapkan langkah-langkah keamanan siber yang kuat untuk mencegah dan mengurangi risiko serangan semacam itu.

Menurut laporan dari perusahaan penanggulangan insiden ransomware Coveware, LockBit bertanggung jawab atas 15% serangan ransomware yang dialami perusahaan di seluruh dunia selama kuartal pertama tahun 2022, urutan kedua setelah ransomware Conti dengan prosentase 16%. Dalam laporan yang lebih baru, perusahaan keamanan siber NCC Group melaporkan bahwa LockBit bertanggung jawab atas 40% serangan ransomware pada bulan Mei 2022, diikuti oleh Conti.

Berdasarkan data dari situs kebocoran data LockBit, hampir setengah dari organisasi yang menjadi korban berasal dari Amerika Serikat, diikuti oleh Italia, Jerman, Kanada, Prancis, dan Inggris. Hal ini disebabkan karena prevalensi asuransi dunia maya dan pendapatan yang lebih tinggi di wilayah Amerika Utara dan Eropa, sebagaimana diungkapkan oleh anggota geng LockBit dalam sebuah wawancara. Industri yang paling terkena dampak adalah layanan profesional dan hukum, konstruksi, pemerintah federal, real estat, ritel, teknologi tinggi, dan manufaktur. Malware ini juga berisi kode yang mencegah eksekusinya pada sistem dengan pengaturan bahasa Eropa Timur.

Para penyerang di balik ransomware Lockbit biasanya meminta pembayaran dalam mata uang kripto seperti Bitcoin sebagai imbalan atas kunci dekripsi. Mereka sering kali memberikan instruksi tentang cara melakukan pembayaran dan cara menerima kunci dekripsi setelah pembayaran dilakukan. Rata-rata, afiliasi LockBit meminta sekitar $85.000 dari setiap korban, 10 – 30% di antaranya diberikan kepada operator RaaS, dan ransomware ini telah menginfeksi ribuan perangkat di seluruh dunia. Lebih dari 20% korban berada di sektor perangkat lunak dan layanan.

Dalam beberapa kasus, ransomware Lockbit juga dapat menghapus atau merusak file untuk lebih meningkatkan tekanan pada korban untuk membayar tebusan. Jumlah waktu yang dihabiskan oleh penyerang LockBit di dalam jaringan sebelum menyebarkan ransomware telah berkembang lebih cepat, dari sekitar 70 hari pada Q4 2021 menjadi 35 hari pada Q1 2022 dan kurang dari 20 hari pada Q2 2022. Ini berarti organisasi memiliki lebih sedikit waktu untuk mendeteksi intrusi jaringan pada tahap awal dan menghentikan penyebaran ransomware.

Hingga saat ini, belum ada laporan spesifik tentang penangkapan yang terkait langsung dengan pelaku ransomware Lockbit. Geng ransomware Lockbit beroperasi menggunakan model ransomware-as-a-service (RaaS), di mana mereka menyediakan ransomware kepada afiliasi yang melakukan serangan. Struktur yang terdesentralisasi ini membuatnya sulit untuk melacak dan menangkap individu di balik serangan ransomware.

Namun, ada beberapa penangkapan penting terhadap pelaku ransomware dalam beberapa tahun terakhir. Beberapa kasus penting hingga tahun 2021:

  1. GandCrab: Pada bulan Juni 2018, pihak berwenang Ukraina dan Rumania, berkolaborasi dengan berbagai perusahaan keamanan siber, telah berhasil melakukan operasi gabungan yang berujung pada penangkapan beberapa individu yang terkait dengan ransomware GandCrab. GandCrab adalah jenis ransomware produktif yang menginfeksi banyak sistem dan memeras jutaan dolar dari para korban.
  2. Evil Corp: Pada bulan Desember 2019, Departemen Kehakiman AS mengumumkan dakwaan terhadap individu-individu yang terkait dengan Evil Corp, sebuah kelompok penjahat siber terkenal yang bertanggung jawab atas pendistribusian Trojan perbankan Dridex dan ransomware WastedLocker. Salah satu anggota utama Evil Corp, Maksim Yakubets, telah ditetapkan sebagai terdakwa, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapannya.
  3. NetWalker: Pada bulan Januari 2021, pihak berwenang Kanada dan Bulgaria berkolaborasi dengan mitra internasional telah berhasil melumpuhkan infrastruktur operasi ransomware NetWalker. Hasilnya, seorang warga negara Kanada yang dikenal sebagai “Sebastian,” yang diduga merupakan bagian dari geng NetWalker, telah ditangkap. Pihak berwenang menyita sejumlah besar mata uang kripto dan infrastruktur yang terkait dengan ransomware.

Perlu dicatat bahwa meskipun penangkapan ini merupakan operasi yang berhasil melawan para pelaku ransomware, perang melawan ransomware masih terus berlangsung, dan para pelaku dan jenis baru terus bermunculan. Lembaga penegak hukum dan perusahaan keamanan siber terus melanjutkan upaya kolaboratif mereka untuk memerangi ancaman ini dan berusaha semaksimal mungkin untuk membawa operator ransomware ke pengadilan.

Mencegah serangan ransomware melibatkan kombinasi tindakan teknis dan non-teknis. Berikut ini adalah beberapa langkah pencegahan yang dapat diambil oleh individu dan organisasi untuk mengurangi risiko ransomware:

  1. Selalu perbarui perangkat lunak dan sistem: Perbarui perangkat lunak dan sistem operasi secara teratur untuk menutup kerentanan yang diketahui, yang dapat dieksploitasi oleh penyerang ransomware.
  2. Gunakan perangkat lunak antivirus dan anti-malware: Instal dan pelihara perangkat lunak antivirus dan anti-malware yang mutakhir untuk mendeteksi dan menghapus ransomware dan perangkat lunak berbahaya lainnya.
  3. Gunakan kata sandi yang kuat dan autentikasi multi-faktor: Gunakan kata sandi yang kuat dan rumit serta aktifkan autentikasi multi-faktor jika memungkinkan untuk mempersulit penyerang mendapatkan akses ke sistem dan data.

4. Cadangkan data penting: Cadangkan file dan data penting secara teratur pada perangkat eksternal atau penyimpanan cloud. Hal ini dapat membantu memulihkan data jika terjadi serangan ransomware.

  1. Berhati-hatilah terhadap email dan tautan yang mencurigakan: Berhati-hatilah saat membuka email atau mengklik tautan dari sumber yang tidak dikenal atau mencurigakan. Jangan mengunduh atau membuka lampiran dari sumber yang tidak dikenal atau mengeklik tautan dalam email atau situs web yang tampak mencurigakan.
  2. Mendidik karyawan: Berikan edukasi kepada karyawan tentang risiko ransomware dan cara mengidentifikasi serta melaporkan aktivitas yang mencurigakan. Berikan pelatihan tentang praktik terbaik untuk keamanan siber dan lakukan kampanye kesadaran rutin.
  3. Menerapkan segmentasi jaringan: Mensegmentasi jaringan dapat membantu menahan infeksi ransomware dan membatasi kerusakan pada jaringan. Ini melibatkan pembagian jaringan ke dalam sub-jaringan yang lebih kecil dengan akses terbatas ke bagian lain dari jaringan.

Dengan menerapkan langkah-langkah pencegahan ini, individu dan organisasi dapat mengurangi risiko serangan ransomware dan melindungi sistem dan data mereka agar tidak disusupi.