Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Menjamin Kelangsungan Bisnis dengan Mengurangi Malware Dwell Time

by

Inilah cara CISO dan tim operasi keamanan TI dapat mengatasi beberapa tantangan utama pemantauan jaringan yang mengancam untuk meningkatkan malware dwell time.

1. Visibilitas lalu lintas timur-barat

Lalu lintas timur-barat (yaitu, dalam pusat data) telah meningkat selama beberapa tahun terakhir. Pergeseran ini membuat pemantauan menjadi lebih sulit.

Tetapi mendapatkan akses ke lalu lintas ini penting karena memungkinkan alat keamanan mendeteksi perilaku jaringan yang tidak biasa yang dapat menunjukkan pelanggaran keamanan.

Akses ke lalu lintas timur-barat mengungkapkan alamat IP mana yang berbicara satu sama lain, kapan koneksi ini terjadi, dll. Informasi ini memungkinkan analis atau alat keamanan berbasis perilaku untuk meningkatkan peringatan untuk menyelidiki dan memulihkan peristiwa jaringan yang tidak biasa (baik secara otomatis atau manual).

2. Kemampuan untuk menangkap dan menyimpan data jaringan untuk forensik

Memiliki akses ke paket terperinci dan data aliran dari sebelum, selama, dan setelah pelanggaran keamanan terjadi diperlukan bagi analis keamanan untuk secara akurat menentukan tingkat pelanggaran, menganalisis kerusakan, dan mencari cara untuk mencegahnya di masa mendatang.

Semakin mudah mengakses, mengindeks, dan memahami data ini, semakin banyak nilai yang akan diberikannya.

Meskipun lebih kompleks dan sulit untuk mendapatkan informasi ini dari segmen jaringan berbasis cloud atau virtual, hal itu penting untuk menjaga keamanan organisasi.

3. Mengolah kembali kebijakan keamanan untuk pekerja jarak jauh

Banyak pekerja berpengetahuan masih bekerja dari rumah berkat COVID-19, dan ini telah mengubah postur keamanan secara signifikan untuk sebagian besar organisasi. Karenanya, sebagian besar pengguna mengakses aplikasi di cloud atau di pusat data melalui Internet publik. Perusahaan telah bereaksi dengan melonggarkan batasan keamanan untuk mengakomodasi gelombang akses jarak jauh dengan lebih baik. Namun, itu melunakkan keamanan perimeter, sehingga meningkatkan kebutuhan untuk dengan cepat menemukan dan mengurangi malware apa pun yang mungkin menyelinap masuk.

4. Mendapatkan visibilitas ke cloud publik

Banyak organisasi telah memindahkan aplikasi ke cloud publik untuk memanfaatkan skalabilitas dan fleksibilitas mereka, tetapi mungkin ada biaya karena kurangnya visibilitas. Sampai saat ini, platform cloud publik utama seperti kotak hitam; mungkin untuk melihat lalu lintas masuk dan keluar dari cloud, tetapi hanya sedikit visibilitas untuk apa yang terjadi di dalam.

Untungnya, itu berubah, dengan beberapa penyedia cloud utama menambahkan fitur yang mencerminkan lalu lintas jaringan ke dan dari aplikasi klien. Kemudian broker paket virtual dapat digunakan untuk meneruskan lalu lintas tersebut ke alat pemantauan keamanan cloud-native. Feed nya dapat diarahkan ke perangkat penangkap paket virtual serta untuk mengarsipkan packet data ke penyimpanan cloud untuk kepatuhan dan forensik.

Singkatnya, mendeteksi dan mengurangi malware dwell time di lingkungan hybrid memerlukan akses ke lalu lintas jaringan penuh untuk semua segmen jaringan – baik itu di tempat, di dalam pusat data, di dalam cloud publik, atau untuk akses pekerja jarak jauh.

Selengkapnya:
Source: Dark Reading

Zoom akan meluncurkan panggilan terenkripsi secara end-to-end (E2EE)

by

Platform konferensi video Zoom mengumumkan hari ini rencana untuk meluncurkan kemampuan enkripsi end-to-end (E2EE) mulai minggu depan.

E2EE akan memungkinkan pengguna Zoom untuk menghasilkan kunci enkripsi individu yang akan digunakan untuk mengenkripsi panggilan suara atau video antara mereka dan peserta konferensi lainnya.

Kunci ini akan disimpan secara lokal dan tidak akan dibagikan dengan server Zoom, yang berarti perusahaan perangkat lunak tidak akan dapat mengakses atau intercept rapat E2EE yang sedang berlangsung.

Untuk menggunakan fitur baru, pengguna harus memperbarui klien mereka minggu depan dan mengaktifkan dukungan untuk panggilan E2EE di tingkat akun.

Perisai hijau ini akan berisi kunci jika E2EE aktif. Jika kunci tidak ada, Zoom akan menggunakan skema enkripsi GCM 256-bit AES default, yang digunakan perusahaan untuk mengamankan komunikasi saat ini, tetapi juga dapat intercept oleh perusahaan.

sumber: ZDNet

Namun, fitur tersebut tidak akan berfungsi jika tidak juga diaktifkan oleh penyelenggara konferensi, yang juga memiliki opsi untuk membatasi panggilan hanya untuk pengguna yang E2EE nya diaktifkan di tingkat akun mereka.

Berita selengkapnya:
Source: ZDNet

Grup peretas kriminal besar ini baru saja beralih ke serangan ransomware

by

Operasi peretasan yang tersebar luas yang telah menargetkan organisasi di seluruh dunia dalam kampanye phishing dan malware yang telah aktif sejak 2016 kini telah beralih ke serangan ransomware, yang mencerminkan betapa suksesnya ransomware telah menjadi alat penghasil uang bagi penjahat siber.

Dijuluki FIN11, kampanye tersebut telah dirinci oleh para peneliti keamanan siber di FireEye Mandiant, yang menggambarkan para peretas sebagai ‘kelompok kejahatan keuangan mapan’ yang telah melakukan beberapa kampanye peretasan yang paling lama berjalan.

Grup ini mulai dengan memfokuskan serangan pada bank, pengecer, dan restoran, tetapi telah berkembang dengan menargetkan berbagai sektor di berbagai lokasi di seluruh dunia tanpa pandang bulu, mengirimkan ribuan email phishing dan secara bersamaan melakukan serangan terhadap beberapa organisasi pada satu waktu.

Dengan keuangan menjadi fokus grup, kemungkinan FIN11 menjual informasi ini kepada penjahat siber lainnya di dark web, atau hanya mengeksploitasi detailnya untuk keuntungan mereka sendiri.

Namun sekarang FIN11 menggunakan jaringannya yang luas sebagai sarana untuk mengirimkan ransomware ke jaringan yang dikompromikan, dengan para penyerang lebih menyukai Clop ransomware dan menuntut bitcoin untuk memulihkan jaringan.

Dalam upaya untuk memeras korban agar membayar tebusan, beberapa geng ransomware telah menggunakan akses mereka ke jaringan untuk mencuri data sensitif atau pribadi dan mengancam akan membocorkannya jika mereka tidak menerima pembayaran untuk kunci dekripsi – FIN11 telah mengadopsi taktik ini, mempublikasikan data dari korban yang tidak membayar.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

‘Akses jaringan’ yang dijual di forum peretas diperkirakan $500.000 pada September 2020

by

Jumlah iklan di forum peretasan yang menjual akses ke jaringan TI yang disusupi telah naik tiga kali lipat pada September 2020, dibandingkan dengan bulan sebelumnya.

Dalam sebuah laporan yang diterbitkan dan dibagikan dengan ZDNet, perusahaan keamanan siber KELA mengatakan bahwa mereka mengindeks 108 daftar “akses jaringan” yang diposting di forum peretasan populer bulan lalu, secara kolektif dinilai dengan total harga yang diminta sekitar $505.000.

Dari jumlah tersebut, KELA mengatakan sekitar seperempat dari daftar dijual ke pelaku ancaman lain yang ingin menyerang perusahaan yang dikompromikan.

Sementara beberapa “perantara akses awal” bermitra dengan geng ransomware, banyak yang tidak memiliki koneksi yang dalam dan reputasi yang dibutuhkan dalam ekonomi kejahatan siber tertutup untuk membangun kemitraan ini sejak awal. Sebaliknya, perantara ini mulai menjual jaringan mereka yang dikompromikan di forum peretasan populer seperti XSS, Exploit, RAID, dan lainnya.

Banyak broker juga menjual akses ke endpoint RDP atau VNC yang dikompromikan. Sebagian besar sistem ini dikompromikan melalui serangan brute force yang diluncurkan dengan botnet IoT, sementara yang lain dibeli dari toko RDP klasik, aksesnya diperluas dari tingkat pengguna ke admin, dan kemudian dijual kembali di forum dengan harga lebih tinggi.

Berdasarkan pemantauannya, KELA mengatakan bahwa harga rata-rata untuk jaringan yang dikompromikan yang dijual di forum peretas adalah sekitar $4.960, dengan kisaran harga mulai dari $25 hingga $102.000.

Pengamatan menarik lainnya adalah bahwa perantara akses awal cenderung menggunakan “nilai” perusahaan daripada ukuran jaringannya saat memutuskan harga, mengutip statistik seperti pendapatan tahunan daripada jumlah endpoints.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Botnet TrickBot bertahan dari upaya penghapusan, tetapi Microsoft menetapkan preseden hukum baru

by

Botnet TrickBot telah selamat dari upaya penghapusan yang diatur oleh koalisi perusahaan teknologi pada hari Senin.

Server dan domain command and control (C&C) TrickBot yang disita kemarin telah diganti dengan infrastruktur baru hari ini, beberapa sumber di komunitas infosec mengatakan kepada ZDNet.

Sumber dari perusahaan yang memantau aktivitas TrickBot menggambarkan efek penghapusan sebagai “sementara” dan “terbatas,” tetapi memuji Microsoft dan mitranya atas upaya tersebut, terlepas dari hasil saat ini.

Dalam wawancara pribadi, bahkan peneliti keamanan di ESET, Microsoft, dan Symantec mengatakan kepada ZDNet bahwa mereka tidak pernah berharap untuk menghapus TrickBot selamanya dalam satu pukulan cepat.

“Seperti yang telah kita lihat dengan operasi [penghapusan] sebelumnya, hasil dari gangguan global yang melibatkan banyak mitra muncul secara bertahap,” Tom Burt, CVP dari Keamanan dan Kepercayaan Pelanggan di Microsoft, mengatakan kepada ZDNet melalui email pada hari Senin.

“Kami mengantisipasi operator Trickbot akan berusaha untuk menghidupkan kembali operasi mereka, dan kami akan mengambil langkah hukum dan teknis tambahan untuk menghentikan mereka jika perlu,” tambah Burt.

Dalam buletin intelijen ancaman dengan distribusi terbatas yang dibagikan dengan ZDNet pada Senin malam, perusahaan keamanan Intel471 mencatat bahwa TrickBot mulai memindahkan server C&C ke sistem nama domain terdesentralisasi EmerDNS sebagai cara untuk melawan upaya penghapusan yang sedang berlangsung.

Pada Selasa pagi, infrastruktur botnet telah pulih, meskipun tidak seaktif hari-hari sebelumnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Proyek Layanan Mandiri Penyetelan Ulang Sandi Dapat Menjadi Kemenangan Cepat Untuk TI

by

Menerapkan solusi layanan mandiri pengaturan ulang kata sandi (SSPR) dapat menjadi kemenangan cepat bagi staf TI yang sekarang mendukung pekerja di tempat dan jarak jauh serta menangani tugas-tugas normal harian lainnya.

Setelah penyediaan awal solusi kerja jarak jauh, TI bertanggung jawab untuk mendukung end user yang sekarang bergantung pada konektivitas Internet rumah dan, dalam beberapa kasus, bahkan pada perangkat pribadi untuk menyambung ke sumber daya perusahaan.

Hal ini menjelaskan beberapa pertimbangan penting yang muncul untuk membantu staf dukungan TI mengikuti peningkatan tugas dan aktivitas.

Ini termasuk memprioritaskan:

  • Meminimalkan panggilan volume tinggi ke layanan TI
  • Proyek yang mengoptimalkan efisiensi dengan cepat

Menerapkan solusi layanan mandiri pengaturan ulang kata sandi (SSPR) dapat mencapai kedua tujuan tersebut. Mengadopsi solusi SSPR membantu meminimalkan jumlah panggilan keseluruhan layanan TI. Selain itu, TI akan melihat waktu yang cepat untuk menilai solusi SSPR yang mudah diterapkan dan akan segera mulai memberikan hasil.

Solusi layanan mandiri pengaturan ulang kata sandi menyediakan cara bagi end-user untuk menyelesaikan masalah akun mereka, termasuk penyetelan ulang kata sandi, pembukaan kunci akun, dan perubahan kata sandi secara otomatis, tanpa perlu berinteraksi dengan IT support.

Solusi SSPR berfitur lengkap umumnya memberikan manfaat berikut untuk organisasi Anda:

  • Implementasi yang cepat
  • Penghematan biaya yang terukur
  • Pengalaman berkualitas lebih tinggi
  • Peningkatan keamanan

Tidak Semua Solusi SSPR Diciptakan Sama

Menerapkan solusi SSPR yang efektif tentu saja dapat menghasilkan kemenangan cepat bagi departemen TI yang sudah kehabisan tenaga karena pandemi COVID-19. Namun, tidak semua solusi SSPR dibuat sama.

Beberapa fitur penting yang harus Anda cari meliputi:

  • Fitur khusus pendaftaran
  • Kegunaan
  • Kemampuan untuk menggunakan alat MFA yang ada

Selengkapnya:
Source: The Hacker News

‘Serangan siber yang serius’ menghantam dewan London

by

Hackney Council di London utara mengatakan telah menjadi target serangan siber yang serius, yang memengaruhi banyak layanan dan sistem IT-nya.

“Investigasi ini masih dalam tahap awal, dan informasi terbatas saat ini tersedia. Kami akan terus memberikan pembaruan seiring perkembangan investigasi kami,” kata Philip Glanville, Walikota Hackney.

Dia mengatakan fokus saat ini adalah untuk terus memberikan layanan garis depan yang penting, terutama bagi penduduk yang paling rentan, “dan melindungi data, sambil memulihkan layanan yang terkena dampak secepat mungkin.”

“Kami meminta penduduk dan bisnis hanya menghubungi kami jika benar-benar diperlukan, dan untuk bersabar sementara kami berusaha menyelesaikan masalah ini.”

Selengkapnya:
Source: ZDNet

Penghapusan TrickBot Mengganggu Perangkat Kriminal Utama

by

TrickBot dikenal karena menyebarkan malware lain, terutama ransomware. Microsoft mengatakan minggu ini bahwa Pengadilan Distrik Amerika Serikat untuk Distrik Timur Virginia mengabulkan permintaan pengadilan untuk menghentikan operasi TrickBot, yang dilakukan bersama dengan perusahaan lain, termasuk ESET, Lumen’s Black Lotus Labs, NTT Ltd., Symantec dan lainnya.

“Kami mengganggu TrickBot melalui perintah pengadilan yang kami peroleh, serta tindakan teknis yang kami lakukan dalam kemitraan dengan penyedia telekomunikasi di seluruh dunia,” tulis Tom Burt, wakil presiden perusahaan, Keamanan & Kepercayaan Pelanggan, di Microsoft, dalam posting hari Senin.

Menurut ESET, salah satu kunci penyelidikan adalah kenyataan bahwa arsitektur modular TrickBot menggunakan berbagai plugin untuk melakukan berbagai tindakan berbahaya.

Menariknya, permintaan Microsoft untuk persetujuan hukum bergantung pada klaim hak cipta terhadap TrickBot yang menggunakan kode perangkat lunaknya untuk tujuan berbahaya.

Ini adalah pertama kalinya raksasa komputasi menggunakan pendekatan ini, kata Burt, menambahkan bahwa taktik tersebut “memungkinkan kami mengambil tindakan sipil untuk melindungi pelanggan di sejumlah besar negara di seluruh dunia yang menerapkan undang-undang ini”.

TrickBot mungkin terganggu untuk saat ini, tetapi para peneliti menunjukkan bahwa operator memiliki proyek lain yang sedang berlangsung.

“Salah satu dari proyek ini adalah apa yang disebut proyek Anchor, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware,” menurut ESET.

Berita selengkapnya:
Source: The Threat Post