Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Modern Defense Operations untuk Profesional Keamanan Siber

by

Author pada platform Medium, Kleptocratic, membagikan kiat tentang cara menerapkan Arsitektur Zero Trust secara bertahap untuk meningkatkan visibilitas jaringan, dan cara memahami Kerangka Kerja MITRE Att&ck dan bagaimana perannya dalam mengembangkan kemampuan deteksi yang lebih kuat.

Menerapkan Arsitektur Zero Trust dengan Penekanan pada Deteksi dan Visibilitas

Bagaimana analis keamanan siber dan network engineer mengatasi pola pikir yang gagal untuk percaya bahwa keamanan adalah digital, semua atau tidak sama sekali?

Dengan penekanan perimeter dan fokus pencegahan dan kepatuhan, operator defensif terus menjadi pwned. Berikut adalah daftar mitigasi nyata yang dapat digunakan analis untuk mengatasi pola pikir ini untuk menerapkan Arsitektur Zero Trust:

  1. Otentikasi yang Tepat – Memanfaatkan otentikasi timbal balik dan sertifikat klien untuk membangun kepercayaan dua arah antara klien dan server (MTLS).
  2. Windows Domain Isolation – Memblokir akses non-domain dengan saling mengautentikasi untuk menghilangkan serangan Man-in-the-middle dan menurunkan risiko eksploitasi server.
  3. DNS terenkripsi? – Menyeimbangkan “mencatat dan meninjau” versus “mengenkripsi dan memantau perangkat endpoint”. Membuat DNS Anda sendiri melalui HTTPS atau DNS melalui server TLS dapat membantu dalam mengembangkan jaringan yang lebih aman.
  4. Membangun Agen Jaringan – Mendefinisikan Agen Jaringan (Pengguna + Perangkat) dan menghitung tingkat kepercayaan untuk membuat sistem identitas yang dikelola dengan baik.
  5. Cegah Gerakan Lateral dengan Mengamankan Active Directory – Membangun jalur serangan dengan meninjau izin, keanggotaan grup, atau dengan menggunakan alat seperti BloodHound atau PingCastle.
  6. Menggunakan Sumber Log Utama untuk Visibilitas – Deploy SIEM, Sysmon, dan memperkaya log untuk mengurangi kelelahan peringatan bagi analis yang mempertahankan jaringan.

Memahami Kerangka MITRE Att&ck untuk Menghasilkan Kemampuan Deteksi yang Efektif

Sangat penting bagi analis untuk memahami bahwa Kerangka Kerja MITRE Att&ck adalah produk multidimensi. Ketika peneliti keamanan dan defender melihat kerangka kerja sebagai penggambaran linier dari serangan modern, mengembangkan kemampuan deteksi menjadi tantangan karena analis membatasi ruang lingkup mereka dan membuat signature tingkat permukaan untuk mendeteksi tindakan adversarial.

Setelah memecah fase Serangan MITRE ke dalam kategori, defender harus mulai melihat analisis TTP. Dengan menggunakan pendekatan yang mendalam, penting bagi para defender untuk membuat signature yang spesifik dan sensitif untuk menangkap potensi taktik adversarial.

Dengan menggunakan berbagai metodologi, peneliti keamanan harus fokus pada pendeteksian musuh yang bersembunyi di barang yang diketahui, menghindari deteksi dan respons antivirus dan endpoint, dan teknik serangan modern seperti sideloading DLL dan muatan memori.

Memanfaatkan metode modern ini, defender dapat membuat profil untuk teknik, taktik, dan prosedur yang digunakan oleh musuh di seluruh Kerangka Serangan MITRE. Setelah menganalisis profil ini untuk menentukan artefak apa yang ditinggalkan oleh penyerang, analis dapat membuat kemampuan deteksi yang ditingkatkan untuk memperingatkan teknik musuh.

Selengkapnya: Medium Kleptocratic

91% tim TI merasa ‘dipaksa’ untuk mengabaikan keamanan demi operasi bisnis

by

Sebuah survei baru menunjukkan bahwa mayoritas staf TI merasa tertekan untuk mengabaikan masalah keamanan demi operasi bisnis.

Pada hari Kamis, HP Wolf Security menerbitkan sebuah studi baru, laporan Security Rebellions & Rejections, yang menggabungkan data dari survei YouGov online yang menargetkan pekerja kantoran yang mengadopsi WFH dan penelitian global yang dilakukan dengan pengambil keputusan TI.

Secara total, 91% dari mereka yang disurvei mengatakan bahwa mereka merasa “tertekan” untuk membahayakan keamanan karena kebutuhan untuk kelangsungan bisnis selama pandemi COVID-19. 76% responden mengatakan bahwa keamanan telah mengambil kursi belakang, dan lebih jauh lagi, 83% percaya bahwa bekerja dari rumah telah menciptakan “bom waktu” untuk insiden keamanan perusahaan.

Tim TI, beban kerja mereka, dan kebutuhan untuk berkompromi bukan satu-satunya masalah — tampaknya juga ada perasaan apatis dan frustrasi secara umum ketika harus mengelola keamanan siber di tempat kerja jarak jauh.

Menurut survei, pekerja yang lebih muda, khususnya, lebih mungkin untuk menghindari kontrol keamanan yang ada untuk mengelola beban kerja mereka, dengan 48% dari kelompok ini mengatakan bahwa alat keamanan, seperti pembatasan situs web atau persyaratan VPN, adalah penghalang — dan 31% setidaknya mencoba untuk melewatinya.

Secara keseluruhan, 48% pekerja kantoran mengatakan bahwa tindakan keamanan membuang-buang waktu dan 54% di kelompok berusia 18-24 tahun lebih peduli dengan memenuhi tenggat waktu daripada potensi pelanggaran keamanan. Selain itu, 39% dari kelompok ini tidak yakin atau tidak mengetahui kebijakan keamanan majikan mereka.

Selengkapnya: ZDNet

Perserikatan Bangsa-Bangsa diretas dari April hingga Agustus: penjahat dunia maya berbahasa Rusia menjajakan nama pengguna dan kata sandi curian karyawan di web gelap seharga $ 1.000

by

Peretas telah mengumpulkan data dari sistem internal Perserikatan Bangsa-Bangsa sejak April, menggunakan kredensial login curian karyawan yang telah dijual di web gelap hanya dengan $1.000.

Kombinasi nama pengguna dan kata sandi dijual oleh beberapa penjahat dunia maya berbahasa Rusia hingga akhir Juli, tetapi identitas peretas dan tujuan eksplisit mereka masih belum diketahui.

Kredensial menawarkan akses ke perangkat lunak manajemen proyek organisasi Umoja. Titik masuk memberikan wawasan berharga tentang pekerjaan pemerintah dan kemanusiaan di seluruh dunia.

PBB, yang terus-menerus berhubungan dengan negara-negara dan perusahaan-perusahaan besar, telah menjadi sasaran peretas yang diarahkan oleh negara sebelumnya, tetapi penjahat dunia maya sehari-hari sekarang mengejar perusahaan dan organisasi besar dengan tujuan menjual akses ke informasi yang sangat didambakan.

Peretas memperoleh akses ke sistem PBB pada 5 April dan masih aktif di jaringan sebulan yang lalu, menurut Bloomberg.

‘Organisasi seperti PBB adalah target bernilai tinggi untuk aktivitas spionase siber,’ kata Gene Yoo, CEO Resecurity, sebuah perusahaan keamanan siber yang mengatakan telah menemukan pelanggaran tersebut.

PBB menjawab bahwa para peretas hanya mengambil tangkapan layar, tetapi ketika perusahaan memperingatkan mereka tentang data yang dicuri, organisasi itu berhenti berbicara dengan mereka, kata Resecurity.

Pada hari Kamis, seorang juru bicara PBB mengatakan bahwa organisasi tersebut mengetahui peretasan tersebut sebelum Resecurity memberi tahu mereka tentang hal itu. Dia juga mengatakan PBB telah mendeteksi lebih banyak pelanggaran.

Selengkapnya: Daily Mail UK

Peretas membocorkan kata sandi untuk 500.000 akun Fortinet VPN

by

Seorang aktor ancaman telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu.

Sementara aktor ancaman menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka mengklaim bahwa banyak kredensial VPN masih valid.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai ‘Orange,’ yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Pada tanggal 7 September, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Selengkapnya: Bleeping Computer

Pemadaman internet Selandia Baru disebabkan oleh serangan DDoS pada penyedia internet terbesar ketiga di negara itu

by

Beberapa bagian dari Selandia Baru terputus dari dunia digital pada tanggal 3 September setelah ISP lokal utama terkena serangan DDoS yang agresif.

Vocus – operator internet terbesar ketiga di negara itu yang berada di belakang merek termasuk Orcon, Slingshot dan Stuff Fiber – mengkonfirmasi bahwa serangan siber berasal dari salah satu pelanggannya.

Menurut pembaruan status jaringan, perusahaan mengatakan: “Sore ini pelanggan Vocus berada di bawah serangan DDoS… Aturan mitigasi DDoS telah diperbarui ke platform Arbor DDoS kami untuk memblokir serangan bagi pelanggan.”

Detailnya masih samar, tetapi pemadaman telah menyebabkan gangguan signifikan di seluruh negeri dengan banyak orang bekerja dari rumah karena pembatasan COVID-19.

Sebuah laporan oleh Reuters menunjukkan bahwa tanggapan Vocus terhadap serangan cyber mungkin memiliki efek knock-on yang mengakibatkan pemadaman 30 menit di seluruh negeri, termasuk kota-kota besar Auckland, Wellington dan Christchurch. Kami telah meminta komentar dari vendor perlindungan Arbor DDoS Netscout.

Selengkapnya: The Register

Netgear memperbaiki bug keamanan yang parah di lebih dari selusin sakelar pintar

by

Netgear telah merilis pembaruan firmware untuk lebih dari selusin sakelar pintar yang digunakan pada jaringan perusahaan untuk mengatasi kerentanan dengan tingkat keparahan tinggi.

Perusahaan memperbaiki tiga kelemahan keamanan yang memengaruhi 20 produk Netgear, sebagian besar smart switch. Detail teknis dan kode eksploitasi proof-of-concept (PoC) untuk dua bug tersedia untuk umum.

Sebuah advisory dari Netgear pada hari Jumat menginformasikan bahwa versi firmware baru tersedia untuk beberapa sakelarnya yang dipengaruhi oleh tiga kerentanan keamanan yang menerima skor keparahan antara 7,4 dan 8,8 pada skala 10.

Netgear mengidentifikasi bug sebagai PSV-2021-0140, PSV-2021-0144, PSV-2021-0145, karena nomor pelacakan belum ditetapkan. Banyak produk yang terpengaruh adalah sakelar pintar, beberapa di antaranya dengan kemampuan manajemen cloud yang memungkinkan konfigurasi dan pemantauannya melalui web.

Advisory Netgear tidak menulis detail teknis apa pun tentang bug tersebut tetapi “sangat menyarankan Anda mengunduh firmware terbaru sesegera mungkin.”

Peneliti keamanan Gynvael Coldwind, yang menemukan dan melaporkan kerentanan, menjelaskan dua masalah dan memberikan kode eksploitasi demo untuk mereka.

Coldwind mengatakan dalam laporan keamanannya bahwa salah satu kelemahan, yang oleh peneliti disebut Demon’s Cries, adalah bypass otentikasi yang dapat, dalam kondisi tertentu, memungkinkan penyerang untuk mengendalikan perangkat yang rentan.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

by

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

  1. Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
  2. Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
  3. Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Mengapa peretas ransomware menyukai liburan akhir pekan

by

Pada hari Jumat menjelang akhir pekan Memorial Day tahun ini, ada raksasa pengolahan daging JBS. Pada hari Jumat sebelum Empat Juli, itu adalah perusahaan perangkat lunak manajemen TI Kaseya dan, dengan perluasan, lebih dari seribu bisnis dengan berbagai ukuran. Masih harus dilihat apakah Hari Buruh akan melihat kehancuran ransomware tingkat tinggi juga, tetapi satu hal yang jelas: peretas menyukai liburan.

Dan meskipun ini bukan hal baru, peringatan bersama yang dikeluarkan minggu ini oleh FBI dan Badan Keamanan Cybersecurity dan Infrastruktur menggarisbawahi betapa seriusnya ancaman itu.

Daya tarik bagi penyerang cukup mudah. Ransomware dapat membutuhkan waktu untuk menyebar ke seluruh jaringan, karena peretas bekerja untuk meningkatkan hak istimewa untuk kontrol maksimum atas sebagian besar sistem. Semakin lama bagi siapa pun untuk memperhatikan gerak gerik mereka, semakin banyak kerusakan yang dapat mereka lakukan.

“Secara intuitif, masuk akal bahwa para defender mungkin kurang perhatian selama liburan, sebagian besar karena pengurangan staf,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Jika insiden besar terjadi selama liburan, mungkin lebih sulit bagi para defender untuk membawa personel yang diperlukan untuk merespons dengan cepat.”

Insiden besar itulah yang kemungkinan menarik perhatian FBI dan CISA; selain insiden JBS dan Kaseya, serangan Colonial Pipeline juga terjadi selama akhir pekan Hari Ibu.

Ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri mereka dari peretasan dengan lebih baik, baik menjelang akhir pekan yang panjang dan seterusnya. Rekomendasi FBI dan CISA menggemakan praktik terbaik untuk sebagian besar situasi keamanan siber: jangan klik tautan yang mencurigakan.

Selengkapnya: Ars Technica