Keamanan Efektif Perlu Melihat dan Menginterupsi Setiap Langkah dalam Rantai Serangan

  • Whatsapp
view counter


Strategi pertahanan terbaik secara mendalam tidak boleh mencakup memuat jaringan Anda dengan sejumlah besar solusi titik

Bacaan Lainnya

Terlalu banyak orang di luar profesi keamanan siber yang melihat keamanan sebagai rangkaian binari. Jaringan diserang atau tidak, penjahat dunia maya menargetkan jaringan atau tidak, dan alat keamanan melihat dan menghentikan ancaman atau mereka melewatkannya. Tetapi kenyataannya jauh lebih kompleks, karena siapa pun yang telah menghabiskan waktu untuk menggali file log atau menganalisis indikator kompromi dapat memberi tahu Anda.

Benar, jaringan bisa langsung diserang. Tetapi itu juga dapat dipengaruhi secara tidak langsung oleh suatu peristiwa yang terjadi di tempat lain. Server kritis dapat diturunkan sebagai akibat dari rangkaian peristiwa yang mengalir, menyebabkan segmen jaringan menjadi offline ketika tidak pernah menjadi target atau diserang. Pengguna akhir dapat secara tidak sengaja menyebarkan malware saat berinteraksi dengan perangkat yang disusupi. Mempersiapkan kemungkinan seperti itu membutuhkan penerapan strategi keamanan yang komprehensif dan holistik.

Ide di balik pertahanan secara mendalam saat ini adalah tentang lebih dari sekadar memiliki solusi dari vendor yang berbeda untuk menangkap kesalahan satu sama lain. Ini melibatkan jaringan interkoneksi dan penyatuan perangkat dan teknologi keamanan untuk melihat dan menanggapi ancaman yang diketahui dan tidak dikenal secara real time, sehingga memutus urutan serangan.

Mitigasi ancaman adalah tentang mengidentifikasi bahkan serangan multi-tahap yang paling kompleks dan menghentikannya sebelum dapat mencapai tujuannya. Untuk memutus urutan serangan, solusi keamanan perlu mendeteksi dan dengan cepat menyesuaikan postur keamanannya untuk menghentikan ancaman secara efektif, bahkan serangan zero-day, yang masih berlangsung. Wawasan tepercaya ini juga membantu para pemburu ancaman untuk fokus, serta memberikan rekomendasi untuk langkah selanjutnya — sebaiknya otomatis — bila diperlukan.

Memahami dan menginterupsi rantai serangan

Strategi keamanan yang efektif harus dapat melihat dan mengganggu setiap langkah dalam rantai serangan, dan melakukannya tepat waktu untuk menggagalkan serangan. Dalam beberapa kasus, tanggapan bahkan mungkin tidak terjadi dalam langkah yang sama saat Anda mendeteksi serangan tersebut — bahkan lebih menyoroti kebutuhan untuk pencegahan terkoordinasi di seluruh perluasan jangkauan organisasi Anda. Mencapai ini lebih mudah diucapkan daripada dilakukan. Hal ini membutuhkan pemahaman tentang langkah-langkah serangan dan memetakannya ke solusi yang dapat merespons secara tepat waktu untuk variasi dan komponen serangan yang diketahui dan tidak diketahui. Meskipun langkah-langkah dalam rantai serangan dapat bervariasi, berikut ini adalah komponen umumnya, beserta alat yang diperlukan untuk menghentikannya:

Pengintaian: Ini termasuk hal-hal seperti mengumpulkan alamat email, mencari situs web dan media sosial, menyelidiki perangkat tepi jaringan untuk mengetahui kerentanan yang dapat dieksploitasi, dan memindai port dan lalu lintas mencari cara untuk menembus pertahanan. Strategi keamanan perlu menyertakan hal-hal seperti NGFW, firewall aplikasi web, dan sistem IPS untuk mendeteksi dan merespons hal-hal seperti pemindaian dan probe. Sangat penting untuk memprioritaskan teknologi yang sadar IoT dan OT serta memanfaatkan teknologi penipuan untuk mempersulit penyerang mengidentifikasi perangkat, port, dan lalu lintas yang sah.

Persenjataan: Langkah ini umumnya melibatkan pembuatan eksploitasi untuk menargetkan kerentanan yang diketahui, seperti menargetkan kerentanan yang diketahui dan dipublikasikan sebelum tambalan dapat diterapkan. Tetapi itu juga dapat melibatkan penargetan kerentanan zero-day dengan ransomware canggih atau infeksi berbasis malware lainnya, membuat pendeteksian jauh lebih sulit. Sistem keamanan perlu menyertakan teknologi perlindungan ancaman tingkat lanjut (ATP), seperti kotak pasir, untuk mendeteksi, menganalisis, dan mencegah malware yang baru dibuat yang dirancang untuk melewati metode keamanan tradisional. Dan itu membutuhkan kemampuan AV yang konsisten yang dapat menjangkau jaringan, titik akhir, dan cloud yang telah disesuaikan dengan vendor terbaru dan intelijen ancaman komunitas.

Pengiriman: Mekanisme pengiriman perangkat lunak jahat yang paling umum masih berupa email yang terinfeksi dan laman web yang disusupi. Gerbang email aman dan solusi keamanan web perlu mendeteksi dan memblokir lampiran, tautan, dan situs web yang terinfeksi. Pencegahan pencurian kredensial dan pelatihan aktif tenaga kerja Anda untuk serangan phishing akan lebih membantu mengurangi permukaan serangan. Seperti yang disoroti, serangan semakin sering terjadi sebagai bagian dari strategi serangan yang lebih besar, sehingga kemampuan keamanan ini perlu digunakan secara konsisten di seluruh jaringan, titik akhir, dan cloud.

Eksploitasi, instalasi, dan komunikasi: Di sinilah kemampuan untuk mengatur beberapa teknologi yang berpusat di sekitar kumpulan data yang sama adalah yang paling penting. Setelah malware berhasil menembus target, tujuannya adalah mulai mengeksploitasi kerentanan untuk mengeksekusi kode pada sistem target, membangun komunikasi komando dan kontrol, dan kemudian bergerak secara lateral melintasi jaringan. Teknologi seperti IPS, AV, sandboxing, pemfilteran web dan video, C2, dan DNS semuanya dapat digunakan untuk memutus urutan serangan. Pertanyaan yang lebih besar adalah, seberapa cepat hasil analisis kotak pasir Anda dapat didorong ke teknologi AV, C2, dan DNS untuk menghentikan serangan yang baru ditemukan? Selain itu, tim SOC Anda dapat memanfaatkan teknologi canggih seperti Endpoint Detection and Response (EDR) dan alat eXtended Detection and Response (XDR) untuk melihat dan mendeteksi pergerakan lateral di seluruh titik akhir, jaringan, dan cloud. AI canggih, penipuan, dan SOAR adalah kunci untuk membantu tim Anda mendeteksi dan merespons tepat waktu.

Penyebaran dan Eksfiltrasi: Setelah masuk, penyerang mencari tempat berpijak, menyebar secara lateral di seluruh jaringan, mengidentifikasi data berharga, dan memulai eksfiltrasi. Langkah ini mungkin otomatis atau mungkin melibatkan tindakan langsung dari penyusup yang secara aktif mengarahkan serangan atau sistem penargetan. Solusi seperti analisis perilaku dapat membantu mendeteksi tindakan yang tidak sah, dan teknologi penipuan dapat digunakan untuk membingungkan penyerang dan memaksa mereka untuk mematikan alarm, sehingga menghilangkan kemampuan mereka untuk tinggal di dalam jaringan untuk jangka waktu yang lama.

Mengapa begitu banyak strategi keamanan tidak efektif

Tantangan dengan sebagian besar strategi keamanan adalah, pertama, mereka hanya mampu mengenali dan menanggapi beberapa langkah dalam rantai serangan karena solusi beroperasi secara terpisah atau hanya memiliki akses ke kumpulan data terbatas. Kedua, banyak peristiwa keamanan yang dijelaskan di atas juga dirancang untuk menghindari deteksi. Mereka melakukan ini baik dengan beroperasi di bawah radar, sehingga mereka tidak memicu alarm, atau dengan datang ke jaringan menggunakan banyak vektor untuk mengacaukan sistem keamanan yang terputus-putus, membuat gangguan sehingga serangan yang sebenarnya dikaburkan, atau melewati pertahanan tanpa diketahui ( dan dipasang kembali sekali di dalam) karena setiap elemen serangannya sendiri tampaknya tidak berbahaya.

Ada aspek ketiga dari tantangan ini juga, dan itu adalah ketidakmampuan solusi keamanan yang berbeda untuk secara efektif menghubungkan intelijen ancaman. Tanpa kemampuan untuk berbagi dan memanfaatkan intelijen ancaman bersama, menghasilkan persamaan “satu tambah satu sama dengan tiga” yang menunjukkan bahwa jaringan Anda sedang diserang dan kemudian menentukan cara dan tempat yang tepat untuk mengganggu serangan itu menjadi hampir tidak mungkin.

Kebutuhan akan platform keamanan terpadu

Mengatasi masalah ini memerlukan penerapan tiga elemen utama, yang dibangun di sekitar satu persyaratan: kebutuhan akan platform keamanan bersama.

1. Platform keamanan tunggal memungkinkan solusi yang berbeda, baik dari satu vendor atau beberapa produsen, untuk melihat dan menghubungkan berbagai peristiwa. Tentu saja, platform keamanan seperti itu harus dapat digunakan secara luas—Ke setiap tepi jaringan dan perangkat. Ini memastikan visibilitas umum di seluruh lingkungan operasional organisasi (jaringan, titik akhir, dan cloud), serta di seluruh rantai serangan. Itu juga perlu mengawasi jaringan dan elemen keamanan sehingga dapat dengan mudah beradaptasi dengan jaringan dinamis dan lingkungan aplikasi. Dan terakhir, diperlukan kerangka kerja keamanan dan manajemen yang sama untuk memantau kinerja digital secara menyeluruh dan untuk mengaktifkan kecerdasan ancaman terpadu yang dapat dengan mudah ditemukan, dibagikan secara otomatis, dan diatur secara terpusat.

2. Platform keamanan ini juga harus memastikan secara mendalam integrasi antara berbagai elemen keamanannya untuk memungkinkan interoperabilitas yang sebenarnya antar solusi. Ini dapat dilakukan dengan memanfaatkan sistem operasi umum atau dengan menggunakan standar umum dan API terbuka. Dan selanjutnya, pendekatan platform terintegrasi ini harus memungkinkan setiap solusi yang digunakan di seluruh jaringan berfungsi sebagai bagian dari sistem tunggal yang terpadu. Ini akan memungkinkan tim keamanan untuk secara efektif melihat, berbagi, menghubungkan, dan menanggapi ancaman dengan cara yang terkoordinasi.

3. Dan terakhir, platform ini harus mampu memanfaatkan otomatisasi. Pada akhirnya, kecepatan pencegahan adalah kunci keamanan Anda. Melakukan semua hal di atas dengan sempurna tetapi terlambat merespons, setelah serangan mencapai tujuannya, tidak akan membantu. Termasuk pembelajaran mesin terlatih dan kecerdasan buatan yang memanfaatkan kumpulan data terpadu di seluruh titik akhir, jaringan, dan cloud untuk mendeteksi, menyelidiki, dan merespons — termasuk mengonfigurasi ulang postur keamanan Anda dengan data ancaman yang baru tersedia — berarti keamanan Anda dapat berfungsi pada kecepatan digital. Mengaktifkan otomatisasi yang efektif dan komprehensif adalah tujuan akhir dari platform keamanan apa pun, dan ini sangat penting terutama saat berhadapan dengan jaringan yang semakin luas dan tim keamanan yang terlalu terbebani.

Defense is depth bukanlah konsep baru. Kenyataannya, bagaimanapun, adalah bahwa strategi pertahanan terbaik secara mendalam tidak boleh termasuk memuat jaringan Anda dengan sejumlah besar solusi titik. Alih-alih, ini adalah salah satu yang memungkinkan beberapa alat, yang disebarkan di seluruh jaringan terdistribusi — termasuk titik akhir, awan, dan aplikasi — untuk bekerja sebagai solusi terpadu untuk mendeteksi dan merespons ancaman di mana pun dalam organisasi dan di mana pun di sepanjang rantai serangan. Dan cara terbaik untuk mencapainya adalah dengan membangun arsitektur keamanan yang komprehensif menggunakan platform keamanan bersama.

John Maddison adalah EVP Produk dan CMO di Fortinet. Ia memiliki lebih dari 20 tahun pengalaman di bidang telekomunikasi, Infrastruktur TI, dan industri keamanan. Sebelumnya beliau menjabat posisi sebagai manajer umum divisi pusat data dan wakil presiden senior teknologi inti di Trend Micro. Sebelumnya John adalah direktur senior manajemen produk di Lucent Technologies. Dia pernah tinggal dan bekerja di Eropa, Asia, dan Amerika Serikat. John lulus dengan gelar sarjana teknik telekomunikasi dari Universitas Plymouth, Inggris Raya.

Kolom Sebelumnya oleh John Maddison:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *