Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

Laporan Analisis (AR21-013A) Memperkuat Konfigurasi Keamanan untuk Melindungi dari Penyerang yang Menargetkan Layanan Cloud

by

CISA merekomendasikan langkah-langkah berikut bagi organisasi untuk memperkuat praktik keamanan cloud mereka.

  • Terapkan kebijakan akses bersyarat (CA) berdasarkan kebutuhan organisasi Anda.
  • Tetapkan garis dasar untuk aktivitas jaringan normal dalam lingkungan Anda.
  • Tinjau secara rutin log masuk Direktori Aktif dan log audit terpadu untuk aktivitas yang tidak wajar.
  • Terapkan MFA.
  • Tinjau pemberitahuan dan aturan penerusan email buatan pengguna secara rutin, atau batasi penerusan.
  • Memiliki rencana atau prosedur mitigasi; memahami kapan, bagaimana, dan mengapa menyetel ulang sandi dan mencabut token sesi.
  • Ikuti panduan rekomendasi tentang mengamankan akses istimewa.
  • Pertimbangkan kebijakan yang tidak mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja. Minimal gunakan solusi pengelolaan perangkat seluler tepercaya.
  • Selesaikan permintaan situs klien internal ke jaringan Anda.
  • Pertimbangkan untuk membatasi pengguna agar tidak meneruskan email ke akun di luar domain Anda.
  • Izinkan pengguna untuk hanya menyetujui integrasi aplikasi yang telah disetujui sebelumnya oleh administrator.
  • Audit aturan email dengan peringatan yang dapat diberlakukan melalui Pusat Keamanan dan Kepatuhan atau alat lain yang menggunakan API Grafik untuk memperingatkan administrator tentang aktivitas abnormal.
  • Terapkan MFA untuk semua pengguna, tanpa kecuali.
  • Akses bersyarat harus dipahami dan diterapkan dengan pola pikir tanpa kepercayaan.
  • Pastikan logging akses pengguna diaktifkan. Meneruskan log ke informasi keamanan dan peralatan manajemen peristiwa untuk agregasi dan pemantauan agar tidak kehilangan visibilitas log di luar periode logging.
  • Gunakan kebijakan CA untuk memblokir protokol otentikasi lama.
  • Pastikan semua instance mesin virtual berbasis cloud dengan IP publik tidak memiliki port Remote Desktop Protocol (RDP) yang terbuka. Tempatkan sistem apa pun dengan port RDP terbuka di belakang firewall dan minta pengguna menggunakan VPN untuk mengaksesnya melalui firewall.
  • Fokus pada kesadaran dan pelatihan. Buat karyawan sadar akan ancaman — seperti penipuan phishing — dan cara penyampaiannya. Selain itu, berikan pelatihan kepada pengguna tentang prinsip dan teknik keamanan informasi serta keseluruhan risiko dan kerentanan keamanan siber yang muncul.
  • Buat pelaporan karyawan yang bebas dari kesalahan dan pastikan karyawan mengetahui siapa yang harus dihubungi ketika mereka melihat aktivitas yang mencurigakan atau jika mereka yakin telah menjadi korban serangan cyber. Ini akan memastikan bahwa strategi mitigasi yang mapan dapat diterapkan dengan cepat dan efisien.
  • Pastikan produk pemfilteran dan deteksi bawaan yang ada (mis., Untuk spam, phishing, malware, dan lampiran serta tautan yang aman diaktifkan.
  • Organisasi yang menggunakan M365 juga harus mempertimbangkan langkah-langkah berikut.
  1. Tetapkan beberapa (satu hingga tiga) pengguna tepercaya sebagai manajer penemuan elektronik (atau eDiscovery) untuk melakukan pencarian konten forensik di seluruh lingkungan M365 (Kotak Surat, Teams, SharePoint, dan OneDrive) untuk bukti aktivitas berbahaya.
  2. PowerShell dari jarak jauh ke Exchange Online untuk pengguna biasa M365. Penonaktifan untuk pengguna non-administratif akan menurunkan kemungkinan akun pengguna yang disusupi digunakan untuk mengakses konfigurasi penyewa secara terprogram untuk pengintaian.
  3. Jangan izinkan upaya login yang tidak berhasil dalam jumlah yang tidak terbatas. Untuk mengonfigurasi pengaturan ini, lihat konfigurasi penguncian cerdas sandi dan laporan aktivitas masuk.
  4. Pertimbangkan untuk menggunakan alat seperti Sparrow atau Hawk — alat berbasis PowerShell sumber terbuka yang digunakan untuk mengumpulkan informasi terkait M365 — untuk menyelidiki dan mengaudit gangguan dan potensi pelanggaran.

sumber : US-CERT

Alibaba ‘kecewa’ dikarenakan algoritme pendeteksi etnisitas pada unit cloud-nya

by

Raksasa teknologi China telah menuai kritik internasional setelah penelitian menunjukkan bahwa mereka memiliki teknologi yang memungkinkan pihak berwenang untuk mengidentifikasi profil Muslim Uyghur.

Unit komputasi awan Alibaba, Alibaba Cloud, mengembangkan algoritme pengenalan wajah yang dapat mengidentifikasi etnis seseorang atau apakah seseorang itu “Uyghur”, menurut penelitian dari publikasi industri pengawasan IPVM.

China telah berulang kali membela “program pelatihan kejuruan” kontroversialnya yang dikenakan pada etnis minoritas Muslimnya, termasuk Uyghur, Kazakh, dan lainnya, sebagai bagian dari apa yang disebut pemerintah sebagai upaya kontraterorisme.

Alibaba mengatakan dalam sebuah pernyataan bahwa “kecewa” mengetahui bahwa Alibaba Cloud menguji teknologi yang menyertakan “etnis sebagai algoritme” dan bahwa “diskriminasi atau profil ras atau etnis dalam bentuk apa pun melanggar kebijakan dan nilai Alibaba”.

Pelanggaran keamanan dari tahun lalu mengungkapkan bahwa sistem pengawasan “kota pintar” yang dihosting di Alibaba Cloud dapat mendeteksi etnisitas orang atau melabeli mereka sebagai Muslim Uyghur, TechCrunch melaporkan sebelumnya. Saat itu, Alibaba mengatakan sebagai penyedia cloud publik, “tidak memiliki hak untuk mengakses konten di database pelanggan”.

sumber : TechCrunch

Gedung Putih merancang perintah eksekutif yang dapat membatasi perusahaan komputasi Cloud global

by

Pemerintahan Trump sedang mempertimbangkan perintah eksekutif yang akan membiarkan pemerintah membatasi operasi internasional perusahaan komputasi cloud AS seperti Amazon dan Microsoft dalam upaya melindungi dari serangan siber asing, kata orang-orang yang mengetahui masalah tersebut kepada POLITICO. Perintah eksekutif akan memungkinkan Departemen Perdagangan untuk melarang penyedia cloud AS bermitra dengan perusahaan cloud asing yang menawarkan tempat berlindung yang aman bagi peretas dan memberi Menteri Perdagangan kemampuan untuk melarang penyedia asing tersebut beroperasi di AS, empat orang mengatakan kepada POLITICO.

Draf perintah tersebut dirancang untuk mencegah aktor asing yang berniat jahat menggunakan penyedia layanan cloud untuk melakukan serangan dunia maya dengan cepat dan tanpa nama, menurut tiga orang yang mengetahui perintah tersebut. Hal ini juga akan memberi AS mekanisme lain untuk menjaga China, yang telah berulang kali dianggap oleh pejabat AS sebagai ancaman ekonomi dan keamanan, dan yang telah dijadikan prioritas utama oleh Presiden Donald Trump dalam pemerintahannya.

Seorang pejabat AS mengatakan kepada POLITICO bahwa pemerintah tidak akan secara teratur membatasi operasi perusahaan komputasi cloud Amerika di luar negeri, melainkan menggunakan perintah eksekutif sebagai alat lain untuk mengatasi potensi ancaman keamanan siber. Perusahaan teknologi AS khawatir perintah eksekutif yang diusulkan, jika diterapkan secara luas, dapat memberi pemerintah kekuatan baru untuk ikut campur dalam transaksi bisnisnya di luar negeri dan memperumit hubungannya dengan banyak pemerintah asing. Perintah eksekutif, jika itu terjadi, dapat menimbulkan masalah bagi perusahaan dengan bisnis yang ada di China atau mereka yang ingin memasuki pasar yang sangat menguntungkan. Pejabat AS tersebut mengatakan bahwa perintah eksekutif tidak diminta oleh China saja, tetapi bahwa pemerintah memiliki kekhawatiran khusus tentang peretas dan perusahaan cloud China. Nahal Toosi berkontribusi untuk laporan ini.

sumber : Politico

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet