Trace Id is missing

Identitas adalah medan pertempuran baru

Unduh
Bagikan
Seorang laki-laki dan wanita duduk menghadap meja dan menggunakan laptop.

Cyber Signals Edisi 1: Dapatkan wawasan tentang perkembangan ancaman cyber dan langkah yang harus diambil untuk melindungi organisasi Anda dengan lebih baik.

Ada ketidaksesuaian yang mengkhawatirkan antara protokol keamanan sebagian besar organisasi dan ancaman yang mereka hadapi. Meskipun penyerang mencoba memaksa masuk ke dalam jaringan, taktik pilihan mereka cukup sederhana, yaitu menebak kata sandi untuk masuk yang lemah. Perlindungan keamanan dasar seperti autentikasi multifaktor cukup efektif untuk melawan 98 persen serangan. Namun, hanya 20 persen organisasi yang menerapkannya secara penuh (Laporan Pertahanan Digital Microsoft, 2021).

Dalam edisi 1, Anda akan mempelajari tren keamanan terkini dan rekomendasi dari peneliti dan ahli Microsoft, termasuk:

  • Siapa  yang menggunakan serangan berbasis identitas dan kata sandi.
  • Apa yang harus dilakukan untuk melawan serangan tersebut, termasuk strategi titik akhir, email, dan identitas.
  • Kapan  harus memprioritaskan tindakan keamanan yang berbeda.
  • Di mana  jenis ransomware masuk dan tersebar dalam jaringan, dan cara menghentikannya.
  • Mengapa  perlindungan identitas masih menjadi persoalan terbesar, tetapi juga menjadi peluang terbesar untuk meningkatkan keamanan Anda.

Pelaku negara bangsa melipatgandakan upaya hanya untuk mendapatkan akses ke blok penyusun identitas

Serangan cyber yang dilakukan oleh pelaku negara bangsa sedang meningkat. Meskipun memiliki banyak sumber daya, para pelaku sering kali mengandalkan taktik sederhana untuk mencuri kata sandi yang mudah ditebak. Melalui tindakan tersebut, mereka dapat memperoleh akses cepat dan mudah ke akun pelanggan. Dalam kasus serangan terhadap perusahaan, penetrasi ke dalam jaringan organisasi memungkinkan pelaku negara bangsa mendapatkan akses awal yang dapat mereka gunakan untuk bergerak secara vertikal (di antara pengguna dan sumber daya yang serupa) atau secara horizontal untuk mendapatkan akses ke kredensial dan sumber daya yang lebih berharga.

Spear-phishing, serangan rekayasa sosial, dan password spray berskala besar adalah taktik dasar yang digunakan oleh pelaku negara bangsa untuk mencuri atau menebak kata sandi. Microsoft mendapatkan wawasan tentang keahlian dan keberhasilan penyerang dengan mengamati taktik dan teknik apa yang digunakan oleh penyerang dan tingkat keberhasilannya. Jika kredensial pengguna tidak dikelola dengan baik atau dibiarkan rentan tanpa perlindungan krusial seperti autentikasi multifaktor (MFA) dan fitur tanpa kata sandi, pelaku negara bangsa akan terus menggunakan taktik sederhana yang sama.

Perlunya adopsi MFA atau penggunaan sistem tanpa kata sandi tidaklah dilebih-lebihkan, karena kepraktisan dan rendahnya biaya dari serangan yang berfokus pada identitas ini menjadikannya mudah dilakukan dan efektif bagi para pelaku. Meskipun bukan satu-satunya alat manajemen identitas dan akses yang harus digunakan oleh organisasi, MFA dapat menjadi pencegah serangan yang kuat.

Penyalahgunaan kredensial adalah cara yang digunakan oleh NOBELIUM, yaitu pelaku negara bangsa yang terkait dengan Rusia. Namun, pelaku lainnya, seperti DEV 0343 yang terkait dengan Iran juga sering menggunakan password spray. Aktivitas dari DEV-0343 telah terpantau di seluruh perusahaan pertahanan yang memproduksi radar tingkat militer, teknologi drone, sistem satelit, dan sistem komunikasi tanggap darurat. Aktivitas lebih lanjut menargetkan pelabuhan masuk regional di Teluk Persia, dan beberapa perusahaan transportasi maritim dan kargo dengan fokus bisnis di kawasan Timur Tengah.
Uraian serangan cyber berbasis identitas yang dipelopori oleh Iran
Negara yang paling sering menjadi target Iran antara Juli 2020 hingga Juni 2021 adalah Amerika Serikat (49%), Israel (24%), dan Arab Saudi (15%). Pelajari selengkapnya tentang gambar ini di halaman 4 pada laporan lengkap

Organisasi harus:

Mengaktifkan autentikasi multifaktor: Dengan melakukannya, organisasi dapat memitigasi risiko kata sandi jatuh ke tangan yang salah. Lebih baik lagi, singkirkan kata sandi sama sekali dengan menggunakan MFA tanpa kata sandi.
Mengaudit hak istimewa akun: Jika terjadi pembajakan pada akun dengan akses istimewa, akun tersebut menjadi senjata ampuh bagi penyerang untuk mendapatkan akses lebih besar ke jaringan dan sumber daya. Tim keamanan harus sering meninjau hak akses dan menerapkan prinsip hak istimewa minimum saat memberikan hak istimewa ke karyawan untuk menyelesaikan pekerjaan.
Meninjau, memperkuat, dan memantau semua akun administrator penyewa: Tim keamanan harus meninjau secara menyeluruh semua pengguna administrator penyewa atau akun yang terkait dengan hak administratif yang didelegasikan untuk memverifikasi keaslian pengguna dan aktivitas. Kemudian, mereka harus menonaktifkan atau menghapus hak administratif yang didelegasikan yang tak terpakai.
Menetapkan dan menegakkan acuan dasar keamanan untuk mengurangi risiko: Pelaku negara bangsa memiliki strategi jangka panjang dan mempunyai dana, kemauan, dan kemampuan untuk mengembangkan strategi dan teknik serangan baru. Setiap inisiatif penguatan jaringan yang tertunda karena masalah bandwidth atau birokrasi akan menguntungkan mereka. Tim keamanan harus memprioritaskan penerapan praktik zero-trust seperti MFA dan peningkatan ke sistem tanpa kata sandi . Mereka dapat memulai dari akun yang memiliki hak istimewa guna mendapatkan perlindungan secara cepat, lalu melakukan perluasan secara bertahap dan berkelanjutan.

Ransomware paling banyak menarik perhatian, tetapi hanya beberapa jenis saja yang mendominasi

Ada sejumlah ancaman ransomware baru yang melampaui kemampuan staf keamanan menjadi narasi yang sering muncul. Namun, analisis Microsoft menunjukkan bahwa hal ini tidak benar. Ada juga persepsi bahwa kelompok ransomware tertentu merupakan satu kesatuan yang monolitik, dan hal ini juga tidak benar. Faktanya adalah ekonomi kejahatan cyber yang mana berbagai aktor dalam rantai serangan yang dimodifikasi membuat pilihan yang disengaja. Mereka didorong oleh model ekonomi yang memaksimalkan keuntungan berdasarkan cara eksploitasi informasi yang mereka berhasil akses. Grafik di bawah ini menunjukkan cara berbagai kelompok memperoleh keuntungan dari berbagai strategi serangan cyber dan informasi dari pelanggaran data.

Harga rata-rata untuk berbagai layanan kejahatan cyber
Harga rata-rata layanan kejahatan cyber yang dijual. Penyerang bayaran mulai dari USD$250 per pekerjaan. Kit ransomware dijual seharga USD$66 atau 30% dari keuntungan. Perangkat yang disusupi mulai dari 13 sen per PC dan 82 sen per perangkat seluler. Spear phishing sewaan berkisar dari USD$100 hingga USD$1.000. Pasangan nama pengguna dan kata sandi yang dicuri dijual rata-rata mulai 97 sen per 1000. Pelajari selengkapnya tentang gambar ini di halaman 5 pada laporan lengkap  

Meskipun demikian, terlepas dari jumlahnya atau jenis yang terlibat, ransomware sebenarnya hanya berasal dari tiga vektor masuk: brute force protokol desktop jauh (RDP), sistem rentan yang terhubung ke internet, dan pengelabuan. Semua faktor ini dapat dimitigasi dengan perlindungan kata sandi yang tepat, manajemen identitas, dan pembaruan perangkat lunak ditambah perangkat keamanan dan kepatuhan yang komprehensif. Suatu jenis ransomware hanya bisa menjadi produktif jika berhasil mendapatkan akses ke kredensial dan kemampuan penyebaran. Jika mendapatkannya, ransomware dapat menimbulkan banyak kerusakan meskipun jenisnya sudah diketahui.

Memetakan pelaku ancaman mulai dari akses awal hingga pergerakan lateral melalui sistem
Jalur perilaku pelaku ancaman setelah sistem berhasil dibobol, mulai dari titik akses awal hingga pencurian kredensial dan pergerakan lateral melalui sistem. Melacak jalur persisten untuk mendapatkan akun dan memperoleh payload ransomware. Pelajari selengkapnya tentang gambar ini di halaman 5 pada laporan lengkap

Tim keamanan harus:

Memahami bahwa ransomware menyebar dengan cepat pada kredensial default atau yang disusupi: Oleh karena itu, tim keamanan harus mempercepat perlindungan seperti menerapkan MFA tanpa kata sandi di semua akun pengguna dan memprioritaskan peran eksekutif, administrator, dan peran istimewa lainnya.
Mengidentifikasi cara mengenali tanda-tanda anomali pada saat yang tepat untuk mengambil tindakan: Proses masuk awal, perpindahan file, dan perilaku lain yang menyebabkan serangan ransomware mungkin kurang terlihat. Meskipun demikian, tim perlu memantau anomali dan menindaklanjutinya dengan segera.
Membuat rencana respons ransomware dan melakukan latihan pemulihan: Kita hidup di era sinkronisasi dan berbagi cloud, tetapi salinan data tidaklah sama dengan keseluruhan database dan sistem TI. Tim harus memvisualisasikan dan mempraktikkan proses pemulihan penuh.
Mengelola peringatan dan melakukan mitigasi dengan cepat: Meskipun semua orang takut terhadap serangan ransomware, fokus utama tim keamanan harus pada penguatan konfigurasi keamanan yang lemah yang memungkinkan keberhasilan serangan. Mereka harus mengelola konfigurasi keamanan sehingga peringatan dan deteksi direspons secara tepat.
Kurva distribusi perlindungan menunjukkan bagaimana kebersihan keamanan dasar membantu melindungi dari 98% serangan
Anda dapat terhindar dari 98% serangan dengan menggunakan antimalware, menerapkan akses hak minimum, mengaktifkan autentikasi multifaktor, memperbarui versi perangkat lunak, dan melindungi data. 2% sisanya dari kurva lonceng mencakup serangan outlier. Pelajari selengkapnya tentang gambar ini di halaman 5 pada laporan lengkap
Dapatkan panduan tambahan dari Microsoft Principal Threat Intelligence Lead Christopher Glyer tentang cara mengamankan identitas.

Wawasan diperoleh dan ancaman diblokir menggunakan lebih dari 24 triliun sinyal setiap hari

Ancaman titik akhir:
Microsoft Defender untuk Titik Akhir memblokir lebih dari 9,6 miliar ancaman program jahat yang menargetkan perangkat pelanggan perusahaan dan konsumen, antara bulan Januari dan Desember 2021.
Ancaman email:
Microsoft Defender untuk Office 365 memblokir lebih dari 35,7 miliar pengelabuan dan email berbahaya lainnya yang menargetkan pelanggan perusahaan dan konsumen, antara bulan Januari dan Desember 2021.
Ancaman identitas:
Microsoft (Azure Active Directory) mendeteksi dan memblokir lebih dari 25,6 miliar upaya pembajakan akun pelanggan perusahaan melalui serangan brute-force ke kata sandi yang dicuri, antara bulan Januari dan Desember 2021.

Metodologi: Untuk data snapshot, platform Microsoft termasuk Defender dan Azure Active Directory menyediakan data anonim tentang aktivitas ancaman, seperti upaya masuk brute force, pengelabuan dan email berbahaya lainnya yang menargetkan perusahaan dan konsumen, serta serangan program jahat antara Januari dan Desember 2021. Wawasan tambahan berasal dari 24 triliun sinyal keamanan harian yang diperoleh di seluruh produk dan layanan Microsoft termasuk cloud, titik akhir, dan edge cerdas. Data autentikasi yang kuat menggabungkan MFA dan perlindungan tanpa kata sandi.

Identitas Ransomware Negara bangsa

Artikel terkait

Cyber Signals Edisi 2: Ekonomi Pemerasan

Dengarkan pendapat dari ahli garis depan tentang perkembangan ransomware sebagai layanan. Mulai dari program dan payload hingga broker akses dan afiliasi, pelajari tentang alat, taktik, dan target favorit penjahat cyber, dan dapatkan panduan untuk membantu melindungi organisasi Anda.
Pelajari selengkapnya

Membela Ukraina: Pelajaran Awal dari Perang Cyber

Temuan terbaru dalam upaya inteligensi ancaman kami yang sedang berlangsung dalam perang antara Rusia dan Ukraina, dan serangkaian kesimpulan dari empat bulan pertama perang tersebut memperkuat perlunya investasi baru dan berkelanjutan dalam teknologi, data, dan kemitraan untuk mendukung pemerintah, perusahaan, LSM, dan universitas.
Pelajari selengkapnya

Profil Ahli: Christopher Glyer

Sebagai Principal Threat Intelligence Lead di Microsoft Threat Intelligence Center (MSTIC) yang berfokus pada ransomware, Christopher Glyer adalah bagian dari tim yang menyelidiki cara pelaku ancaman paling canggih mengakses dan mengeksploitasi sistem.
Pelajari selengkapnya