Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for US-CERT

US-CERT

Laporan Analisis (AR21-013A) Memperkuat Konfigurasi Keamanan untuk Melindungi dari Penyerang yang Menargetkan Layanan Cloud

by

CISA merekomendasikan langkah-langkah berikut bagi organisasi untuk memperkuat praktik keamanan cloud mereka.

  • Terapkan kebijakan akses bersyarat (CA) berdasarkan kebutuhan organisasi Anda.
  • Tetapkan garis dasar untuk aktivitas jaringan normal dalam lingkungan Anda.
  • Tinjau secara rutin log masuk Direktori Aktif dan log audit terpadu untuk aktivitas yang tidak wajar.
  • Terapkan MFA.
  • Tinjau pemberitahuan dan aturan penerusan email buatan pengguna secara rutin, atau batasi penerusan.
  • Memiliki rencana atau prosedur mitigasi; memahami kapan, bagaimana, dan mengapa menyetel ulang sandi dan mencabut token sesi.
  • Ikuti panduan rekomendasi tentang mengamankan akses istimewa.
  • Pertimbangkan kebijakan yang tidak mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja. Minimal gunakan solusi pengelolaan perangkat seluler tepercaya.
  • Selesaikan permintaan situs klien internal ke jaringan Anda.
  • Pertimbangkan untuk membatasi pengguna agar tidak meneruskan email ke akun di luar domain Anda.
  • Izinkan pengguna untuk hanya menyetujui integrasi aplikasi yang telah disetujui sebelumnya oleh administrator.
  • Audit aturan email dengan peringatan yang dapat diberlakukan melalui Pusat Keamanan dan Kepatuhan atau alat lain yang menggunakan API Grafik untuk memperingatkan administrator tentang aktivitas abnormal.
  • Terapkan MFA untuk semua pengguna, tanpa kecuali.
  • Akses bersyarat harus dipahami dan diterapkan dengan pola pikir tanpa kepercayaan.
  • Pastikan logging akses pengguna diaktifkan. Meneruskan log ke informasi keamanan dan peralatan manajemen peristiwa untuk agregasi dan pemantauan agar tidak kehilangan visibilitas log di luar periode logging.
  • Gunakan kebijakan CA untuk memblokir protokol otentikasi lama.
  • Pastikan semua instance mesin virtual berbasis cloud dengan IP publik tidak memiliki port Remote Desktop Protocol (RDP) yang terbuka. Tempatkan sistem apa pun dengan port RDP terbuka di belakang firewall dan minta pengguna menggunakan VPN untuk mengaksesnya melalui firewall.
  • Fokus pada kesadaran dan pelatihan. Buat karyawan sadar akan ancaman — seperti penipuan phishing — dan cara penyampaiannya. Selain itu, berikan pelatihan kepada pengguna tentang prinsip dan teknik keamanan informasi serta keseluruhan risiko dan kerentanan keamanan siber yang muncul.
  • Buat pelaporan karyawan yang bebas dari kesalahan dan pastikan karyawan mengetahui siapa yang harus dihubungi ketika mereka melihat aktivitas yang mencurigakan atau jika mereka yakin telah menjadi korban serangan cyber. Ini akan memastikan bahwa strategi mitigasi yang mapan dapat diterapkan dengan cepat dan efisien.
  • Pastikan produk pemfilteran dan deteksi bawaan yang ada (mis., Untuk spam, phishing, malware, dan lampiran serta tautan yang aman diaktifkan.
  • Organisasi yang menggunakan M365 juga harus mempertimbangkan langkah-langkah berikut.
  1. Tetapkan beberapa (satu hingga tiga) pengguna tepercaya sebagai manajer penemuan elektronik (atau eDiscovery) untuk melakukan pencarian konten forensik di seluruh lingkungan M365 (Kotak Surat, Teams, SharePoint, dan OneDrive) untuk bukti aktivitas berbahaya.
  2. PowerShell dari jarak jauh ke Exchange Online untuk pengguna biasa M365. Penonaktifan untuk pengguna non-administratif akan menurunkan kemungkinan akun pengguna yang disusupi digunakan untuk mengakses konfigurasi penyewa secara terprogram untuk pengintaian.
  3. Jangan izinkan upaya login yang tidak berhasil dalam jumlah yang tidak terbatas. Untuk mengonfigurasi pengaturan ini, lihat konfigurasi penguncian cerdas sandi dan laporan aktivitas masuk.
  4. Pertimbangkan untuk menggunakan alat seperti Sparrow atau Hawk — alat berbasis PowerShell sumber terbuka yang digunakan untuk mengumpulkan informasi terkait M365 — untuk menyelidiki dan mengaudit gangguan dan potensi pelanggaran.

sumber : US-CERT

Mendeteksi Aktivitas Ancaman Pasca-Kompromi di Lingkungan Microsoft Cloud

by

Lansiran ini adalah lansiran pendamping untuk AA20-352A: Ancaman Tetap Lanjutan dari Instansi Pemerintah, Infrastruktur Kritis, dan Organisasi Sektor Swasta. AA20-352A terutama berfokus pada kompromi aktor Advanced Persistent Ancaman (APT) terhadap produk SolarWinds Orion sebagai vektor akses awal ke dalam jaringan lembaga Pemerintah AS, entitas infrastruktur penting, dan organisasi jaringan swasta. Sebagaimana dicatat dalam AA20-352A, Cybersecurity and Infrastructure Security Agency (CISA) memiliki bukti vektor akses awal selain produk SolarWinds Orion yang dikompromikan.

Peringatan ini juga membahas aktivitas — terlepas dari vektor akses awal yang dimanfaatkan — yang diatribusikan CISA ke aktor APT. Secara khusus, CISA telah melihat aktor APT menggunakan aplikasi yang disusupi di lingkungan Microsoft 365 (M365) / Azure korban. CISA juga telah melihat aktor APT ini memanfaatkan kredensial tambahan dan akses Application Programming Interface (API) ke sumber daya cloud organisasi sektor swasta dan publik. Taktik, teknik, dan prosedur (TTP) ini memiliki tiga komponen utama:

Mengompromikan atau melewati solusi identitas gabungan;
-Menggunakan token otentikasi palsu untuk berpindah secara lateral ke lingkungan cloud Microsoft; dan
-Menggunakan akses istimewa ke lingkungan cloud korban untuk membuat mekanisme persistensi yang sulit dideteksi untuk akses berbasis Application Programming Interface (API).
-Peringatan ini menjelaskan TTP ini dan menawarkan ikhtisar, dan panduan tentang, alat sumber terbuka yang tersedia — termasuk alat yang dikembangkan CISA, Sparrow — bagi pembela jaringan untuk menganalisis Microsoft Azure Active Directory (AD), Office 365 (O365), dan lingkungan M365 untuk mendeteksi aktivitas yang berpotensi berbahaya.

Catatan: Peringatan ini menjelaskan artefak — yang ditampilkan oleh serangan ini — tempat CISA mengidentifikasi bukti yang dapat dideteksi dari tujuan awal pelaku ancaman. CISA terus menganalisis tujuan tindak lanjut aktor ancaman.

Selengkapnya di US-CERT

CISA Releases Free Detection Tool for Azure/M365 Environment

by

CISA telah membuat alat gratis untuk mendeteksi aktivitas tidak biasa dan berpotensi berbahaya yang mengancam pengguna dan aplikasi di lingkungan Azure / Microsoft O365. Alat ini dimaksudkan untuk digunakan oleh penanggap insiden dan secara sempit difokuskan pada aktivitas yang endemik pada serangan berbasis identitas dan otentikasi baru-baru ini yang terlihat di berbagai sektor.

CISA sangat mendorong pengguna dan administrator untuk mengunjungi halaman GitHub berikut untuk informasi tambahan dan tindakan pencegahan deteksi.

sumber : US-CERT

Total CVE yang Dipublikasikan Mencapai Rekor Tertinggi untuk Tahun Keempat

by

Dalam 12 bulan terakhir, sejumlah rekor CVE diterbitkan oleh otoritas AS, volume tahun keempat berturut-turut telah meningkat.

Per 15 Desember, jumlah kerentanan dalam kode produksi yang ditemukan dan diberi nomor CVE oleh Basis Data Kerentanan US-CERT, melampaui angka tahun 2019.

Tahun lalu ada 17.306 CVE yang diterbitkan, termasuk 4337 risiko tinggi, 10.956 risiko menengah dan 2013 kekurangan risiko rendah. Hingga kemarin, tercatat 17.447 total, termasuk 4168 bug berisiko tinggi, 10.710 risiko sedang, dan 2.569 bug berisiko rendah.

K2 Cyber Security, yang mencatat lonjakan rekor baru-baru ini, berpendapat bahwa pandemi mungkin berdampak pada pengungkapan tahun ini.

“Perusahaan masih berjuang untuk menemukan keseimbangan antara mengirimkan aplikasi ke pasar dengan cepat, dan mengamankan kode mereka. Pandemi COVID-19 adalah faktor utama tahun ini,” kata salah satu pendiri dan CEO vendor, Pravin Madhani.

Untuk mengurangi risiko ini, tim DevOps harus menggeser keamanan sejauh mungkin dalam lifecycle, sementara sysadmin harus menambal sesegera mungkin untuk memastikan sistem operasi dan perangkat lunak penting up-to-date, katanya.

Sumber: Info Security