Author pada platform Medium, Kleptocratic, membagikan kiat tentang cara menerapkan Arsitektur Zero Trust secara bertahap untuk meningkatkan visibilitas jaringan, dan cara memahami Kerangka Kerja MITRE Att&ck dan bagaimana perannya dalam mengembangkan kemampuan deteksi yang lebih kuat.
Menerapkan Arsitektur Zero Trust dengan Penekanan pada Deteksi dan Visibilitas
Bagaimana analis keamanan siber dan network engineer mengatasi pola pikir yang gagal untuk percaya bahwa keamanan adalah digital, semua atau tidak sama sekali?
Dengan penekanan perimeter dan fokus pencegahan dan kepatuhan, operator defensif terus menjadi pwned. Berikut adalah daftar mitigasi nyata yang dapat digunakan analis untuk mengatasi pola pikir ini untuk menerapkan Arsitektur Zero Trust:
- Otentikasi yang Tepat – Memanfaatkan otentikasi timbal balik dan sertifikat klien untuk membangun kepercayaan dua arah antara klien dan server (MTLS).
- Windows Domain Isolation – Memblokir akses non-domain dengan saling mengautentikasi untuk menghilangkan serangan Man-in-the-middle dan menurunkan risiko eksploitasi server.
- DNS terenkripsi? – Menyeimbangkan “mencatat dan meninjau” versus “mengenkripsi dan memantau perangkat endpoint”. Membuat DNS Anda sendiri melalui HTTPS atau DNS melalui server TLS dapat membantu dalam mengembangkan jaringan yang lebih aman.
- Membangun Agen Jaringan – Mendefinisikan Agen Jaringan (Pengguna + Perangkat) dan menghitung tingkat kepercayaan untuk membuat sistem identitas yang dikelola dengan baik.
- Cegah Gerakan Lateral dengan Mengamankan Active Directory – Membangun jalur serangan dengan meninjau izin, keanggotaan grup, atau dengan menggunakan alat seperti BloodHound atau PingCastle.
- Menggunakan Sumber Log Utama untuk Visibilitas – Deploy SIEM, Sysmon, dan memperkaya log untuk mengurangi kelelahan peringatan bagi analis yang mempertahankan jaringan.
Memahami Kerangka MITRE Att&ck untuk Menghasilkan Kemampuan Deteksi yang Efektif
Sangat penting bagi analis untuk memahami bahwa Kerangka Kerja MITRE Att&ck adalah produk multidimensi. Ketika peneliti keamanan dan defender melihat kerangka kerja sebagai penggambaran linier dari serangan modern, mengembangkan kemampuan deteksi menjadi tantangan karena analis membatasi ruang lingkup mereka dan membuat signature tingkat permukaan untuk mendeteksi tindakan adversarial.
Setelah memecah fase Serangan MITRE ke dalam kategori, defender harus mulai melihat analisis TTP. Dengan menggunakan pendekatan yang mendalam, penting bagi para defender untuk membuat signature yang spesifik dan sensitif untuk menangkap potensi taktik adversarial.
Dengan menggunakan berbagai metodologi, peneliti keamanan harus fokus pada pendeteksian musuh yang bersembunyi di barang yang diketahui, menghindari deteksi dan respons antivirus dan endpoint, dan teknik serangan modern seperti sideloading DLL dan muatan memori.
Memanfaatkan metode modern ini, defender dapat membuat profil untuk teknik, taktik, dan prosedur yang digunakan oleh musuh di seluruh Kerangka Serangan MITRE. Setelah menganalisis profil ini untuk menentukan artefak apa yang ditinggalkan oleh penyerang, analis dapat membuat kemampuan deteksi yang ditingkatkan untuk memperingatkan teknik musuh.
Selengkapnya: Medium Kleptocratic
