Peningkatan Kewajiban Perbanyakan Lokal di Rumah

  • Whatsapp
Bekerja dari rumah

Hari ini saya membahas vektor serangan yang kondusif untuk penyebaran lintas organisasi, propagasi lokal di rumah. Meskipun sering diabaikan, vektor ini sangat relevan saat ini, karena banyak karyawan perusahaan tetap bekerja dari rumah.

Dalam posting ini, saya membandingkan propagasi lokal di rumah dengan vektor tradisional di mana ancaman (khususnya ransomware) menyebar ke seluruh organisasi. Saya membahas alasan jenis penyebaran ini bermasalah bagi karyawan dan perusahaan. Akhirnya, saya menawarkan solusi sederhana untuk mengurangi risiko taktik semacam itu.

Bacaan Lainnya

Mengapa Pemangku Kepentingan TI dan Keamanan Harus Peduli?

Serangan siklus panjang hari ini sering mengintai lingkungan korban selama berminggu-minggu, jika tidak berbulan-bulan. Saat ini, penyerang memperoleh sejumlah besar pengetahuan tentang sistem di jejak korban. Waktu berkeliaran tambahan di lingkungan korban, ditambah dengan lingkungan kerja-dari-rumah yang dipertahankan secara ad-hoc, menghadirkan jalan masuk untuk serangan ke jaringan mereka serta jalan keluar untuk menyerang dari jaringan Anda ke perangkat pribadi karyawan Anda.

Taktik Kontras

  • Penyebaran Tradisional — Untuk beberapa waktu di tahun 2020, bahkan dengan pergeseran ke WFH, ransomware terus menyebar melalui beberapa vektor yang sama seperti sebelumnya. Penyebaran umum terjadi melalui email, situs web berbahaya, kerentanan server, cloud pribadi, dan berbagi file. Seringkali ini cukup untuk membuat penyerang jenuh di lingkungan korban. Namun, sebelum gaya hidup WFH kami, ketika menyangkut penyebaran lintas organisasi, banyak dari vektor ini sebagian besar tidak dapat diterapkan. Ini mengarah pada penahanan alami infeksi ke satu organisasi.
  • Propagasi Lokal di Rumah — Baru-baru ini, penyerang telah melompati zona dari korban korporat awal mereka ke sistem yang berdekatan, termasuk titik akhir lain di rumah korban. Tidak 100% jelas apakah ini karena perpanjangan alami dari pengintaian yang mereka lakukan sebagai bagian dari upaya tebusan pemerasan ganda mereka (di mana uang tebusan diminta untuk mendekripsi file dan uang tebusan kedua diminta untuk tidak bocor dicuri file), atau jika ini karena mereka mengisyaratkan fakta bahwa korban tambahan berjarak beberapa meter.

Lompatan ke sistem lokal secara fisik ini dapat dilakukan melalui vektor propagasi tradisional, seperti berbagi file terbuka, melalui eksploitasi kerentanan lokal (ke jaringan rumah), atau melalui titik akses (AP) itu sendiri. AP / Router Rumah sering:

  • Kelas konsumen
  • Tidak dikonfigurasi dengan baik (seringkali dengan kata sandi admin standar/default)
  • Tidak memiliki enkripsi atau tindakan keamanan apa pun antar perangkat
  • Dan, Anda dapat melupakan deteksi dan respons, karena tidak ada log dari perangkat ini yang akan kembali ke penyedia layanan SIEM, SOC, atau MDR siapa pun.

Hal ini memberikan peluang bagi pelaku ancaman untuk menyebar melalui propagasi lokal di dalam negeri.

Ada beberapa keuntungan yang berbeda bagi mereka melakukannya.

Infeksi perangkat pribadi karyawan:

  • Meskipun hal ini dapat berarti pihak lain yang berpotensi membayar tebusan (karyawan), nilai sebenarnya dari penyebaran ke perangkat pribadi karyawan adalah pengaruh untuk memaksa atau mempengaruhi pembayaran perusahaan. Bayangkan sejenak bahwa karyawan yang dimaksud adalah Direktur TI, dan dengan mendorong tim kepemimpinan mereka untuk membayar uang tebusan untuk memulihkan kelangsungan bisnis, mereka juga percaya bahwa album foto keluarga, mesin game, atau laptop kerja pasangan mereka dapat didekripsi.

Infeksi perangkat perusahaan pihak ketiga

  • Seperti dijelaskan di atas sebelumnya, cara untuk melompat ke lingkungan perusahaan yang terpisah baik terbatas atau dipertahankan dengan baik. Namun, dengan karyawan di berbagai perusahaan yang tinggal bersama (pasangan, teman sekamar) atau berbagi akses internet (tetangga) – calon korban korporat berikutnya hanyalah batu loncatan, kemungkinan melalui AP/Router yang tidak dikonfigurasi dengan baik.
Bekerja dari rumah

Konsekuensi

  • Propagasi lokal di rumah mewakili tanggung jawab yang lebih besar bagi perusahaan yang menghadapi serangan ransomware, karena para korban menjangkau batas-batas perusahaan dan organisasi.
  • Selain itu, kemampuan untuk memitigasi risiko terbatas, karena mereka tidak mungkin memiliki kendali langsung atas infrastruktur jaringan karyawan yang bekerja dari rumah. Sebenarnya, pemisahan ini dengan keras dipertahankan oleh karyawan itu sendiri, dengan alasan masalah privasi – kewajiban potensial lain untuk Anda.

Langkah Perbaikan

Untuk mengurangi risiko penyebaran ransomware lokal di rumah (atau malware jahat lainnya, dalam hal ini), tim TI dan keamanan dapat mempertimbangkan langkah-langkah berikut:

  • Dorong konfigurasi yang kuat dari perangkat jaringan milik karyawan
  • Pastikan kemampuan pembaruan perangkat lunak jarak jauh yang baik, untuk menjaga kebersihan titik akhir klien pada tingkat yang layak.
  • Mengidentifikasi dan memulihkan kerentanan di seluruh titik akhir klien
  • Terlibat dalam aktivitas deteksi dan respons (perburuan ancaman) di seluruh titik akhir dan lingkungan Anda.

Saya harap artikel ini menarik perhatian pada vektor yang sangat relevan dengan lanskap saat ini. Untuk informasi lebih lanjut tentang propagasi lokal di rumah, lihat webinar kami yang berjudul Evolusi Mekanisme Pengiriman Ransomware-as-a-Service dan Malware di mana saya mendiskusikan fenomena ini dengan panel ahli profesional keamanan siber. Atau, untuk mendengar lebih lanjut tentang perkembangan lain dalam ransomware, lihat buku putih kami di Bangkitnya Ransomware-sebagai-Layanan, yang saya sumbangkan.

Catatan — Artikel ini disumbangkan dan ditulis oleh Sean Hittel, Insinyur Keamanan Terhormat di ActZero.ai. Dia memiliki lebih dari 20 tahun pengalaman dalam desain mesin perlindungan ancaman konsep baru.

ActZero.ai menantang cakupan keamanan siber untuk perusahaan kecil hingga menengah MB dan perusahaan pasar menengah. Intelligent MDR mereka menyediakan pemantauan 24/7, perlindungan, dan dukungan respons yang melampaui solusi perangkat lunak pihak ketiga lainnya. Tim ilmuwan data mereka memanfaatkan teknologi mutakhir seperti AI dan ML untuk menskalakan sumber daya, mengidentifikasi kerentanan, dan menghilangkan lebih banyak ancaman dalam waktu yang lebih singkat. Mereka secara aktif bermitra dengan pelanggan untuk mendorong rekayasa keamanan, meningkatkan efisiensi dan efektivitas internal dan, pada akhirnya, membangun postur keamanan siber yang matang. Baik menopang strategi keamanan yang ada atau berfungsi sebagai garis pertahanan utama, ActZero memungkinkan pertumbuhan bisnis dengan memberdayakan pelanggan untuk menjangkau lebih banyak wilayah.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *