Proses Singkat Membuat Infrastruktur Keamanan Cyber

2.027 views
  • Whatsapp
Proses Singkat Membuat Infrastruktur Keamanan Cyber
Proses Singkat Membuat Infrastruktur Keamanan Cyber
CyberSOC Modern – Implementasi Singkat Membangun Infrastruktur Keamanan Cyber ​​Kolaboratif

Pada tahun-tahun sebelumnya, semua orang bergantung pada SOC (termasuk firewall, WAF, SIEM, dll.) dan prioritas dalam membangun SOC memberikan keamanan dan CIA dipertahankan.

Namun, kemudian munculnya pelaku penyerangan dan ancaman menjadi lebih menantang dan SOC yang ada tidak akan mampu memberikan keamanan yang lebih baik atas CIA. Ada banyak penyebab kegagalan SOC yang ada, dimana hanya bergantung pada SIEM.

Banyak organisasi, percaya mengintegrasikan semua perangkat keamanan seperti Firewall, Router, AV dan solusi DB di SIEM dan menghubungkan kasus penggunaan akan memberi mereka keamanan 100% atas CIA dari tanggal. Namun, semuanya gagal, karena APT muncul.

Serangan APT selama beberapa tahun ini sengaja menunjukkan bahwa di dunia maya, organisasi harus menerapkan model pertahanan 0-trust. Alasan utama kegagalan SOC yang ada, kami sebagian besar peduli dengan kasus penggunaan upaya login brute force, login gagal, permintaan http kegagalan, dan propagasi malware.

Namun demikian, kita harus memahami ketika para pembela mulai belajar, para pelanggar juga berkembang ke arah yang lebih baik. Grup APT berkembang dan menyalahgunakan aplikasi asli yang sering kami gunakan dan bertahan selama bertahun-tahun tanpa ketahuan.

Timbulnya APT

Advanced Persistence Threat, kelompok-kelompok ini bukanlah identitas individu. Mereka kebanyakan organisasi atau negara (berdasarkan agenda/alasan politik) dengan tim ahli. Bukan ahli normal, mereka adalah profesional terlatih dan mereka memiliki potensi untuk menerobos sistem apa pun dan bergerak secara lateral di LAN tanpa tertangkap selama bertahun-tahun.

Bahkan antivirus Anda tidak dapat mendeteksi gerakan ini, karena mereka tidak membuat malware, mereka hanya menyalahgunakan aplikasi asli (seperti PowerShell) dan bergerak menyamping seperti proses asli.

Komponen utama dari APT adalah, bergerak secara lateral, menjadi persisten, membuat saluran CnC, mendapatkan muatan hanya dengan permintaan DNS dan banyak lagi. Setiap serangan APT sejauh ini tercatat, mereka memiliki cara unik untuk menyebarkan jaringan dan mereka sangat bergantung pada port terbuka, zona jaringan yang tidak terlindungi, aplikasi yang rentan, pembagian jaringan, dll. Begitu mereka masuk, mereka melakukan apa pun yang ingin mereka lakukan.

Model Pertahanan Proaktif

Persepsi Anda terhadap pertahanan terhadap serangan cyber modern dan serangan APT, Anda harus berpikir dan membangun mekanisme pertahanan persis seperti “musuh“.Untuk membangun model pertahanan, Anda harus tahu taktik musuh, bagaimana mereka masuk? Bagaimana mereka menyebar? Bagaimana mereka melakukan eksfiltrasi?

Untuk pertanyaan ini, rantai pembunuhan dunia maya Lock Martin dan Mitre ATT&CK memberikan pemahaman yang lebih baik tentang serangan tersebut. Persisnya bagaimana musuh menyelinap ke jaringan Anda dan bagaimana dia keluar tanpa tertangkap. Anda juga dapat, menerapkan kasus penggunaan di SOC Anda yang ada berdasarkan tahapan rantai Pembunuhan Cyber, yang akan memberi Anda wawasan tentang serangan dunia maya.

Intelijen Ancaman Cyber

Memblokir IOC dan Ip tidak memberi Anda keamanan 100% atas serangan cyber. Serangan APT baru-baru ini banyak berkembang, menggunakan algoritma DGAhms dan sering ganti domain, source IP address menggunakan VPN dan TOR node (DarkNet), spoofing, dll. Tercatat, sejauh ini 5 juta IP address memiliki telah masuk daftar hitam secara global menjadipenyebabe serangan malware, spionase siber, APT, TOR, dll.

Mari kita asumsikan SOC kita yang ada; apakah kita akan menempatkan daftar pantauan untuk memantau 5 juta IPS yang masuk daftar hitam di SIEM? Di sisi lain, apakah kita akan memblokir 5 juta daftar hitam? ips di firewall perimeter?

Keduanya dianggap sebagai rencana tindakan, bukan sebagai kejadian tanggapan.

Grup APT menggunakan berbagai teknik dan menyembunyikan jejak mereka selamanya, jadi hanya bergantung pada IOC (IP, domain, hash, URL) tidak berfungsi lagi. Anda harus berpikir tentang TTP (Taktik, Teknik dan Prosedur juga kadang-kadang disebut sebagai Alat, Teknik, dan Prosedur).

TTP ini memainkan peran penting dalam mengumpulkan informasi tentang OS dan artefak jaringan yang digunakan oleh musuh, berdasarkan informasi tersebut, membangun kasus penggunaan untuk kasus dengan cara lalu lintas tertentu atau spesifik “dll” atau “exe“, memberikan wawasan tentang serangan itu. Intelijen DarkNet juga diperlukan, di mana sebagian besar atau data yang dicuri dijual di pasar gelap baik untuk uang atau untuk suaka lebih lanjut.

Intelijen ancaman, juga menyediakan informasi ancaman global berdasarkan sumber daya yang tersedia. Banyak OEM juga menyediakan berbagai informasi matriks ancaman, alat yang digunakan, artefak yang digunakan, dll. Setiap hari, tim intelijen Anda harus mengumpulkan informasi tidak hanya tentang IOC juga; mereka harus mencari detail tentang IOA dan IOE yang baru muncul.

Grup APT terlatih dengan baik dalam mengeksploitasi kerentanan. Oleh karena itu, kita perlu mengumpulkan lebih banyak informasi untuk indikasi eksploitasi dalam organisasi dan memastikannya telah diperbaiki, sebelum eksploitasi musuh.

Program intelijen siber adalah tentang mengungkap siapa, apa, di mana, kapan, mengapa, dan bagaimana di balik serangan siber. Kecerdasan taktis dan operasional dapat membantu mengidentifikasi apa dan bagaimana suatu serangan, dan terkadang di mana dan kapan.

Perburuan Ancaman Cyber

Setelah mengumpulkan informasi, kita harus berburu. Perburuan ancaman dunia maya adalah metodologi modern untuk memiliki gagasan tentang rantai pembunuhan dunia maya atau Serangan Mitra dan memburu varian serangan yang tidak diketahui. Ketika Anda tahu, apa yang terjadi di LAN Anda, Anda dapat langsung mengarahkan ke respons Insiden.

Namun, ketika Anda mencurigai suatu peristiwa, bahwa Anda ingin berburu di LAN Anda untuk mencari jejak varian yang tidak diketahui (APT), perburuan ancaman masuk. Perburuan ancaman memberi Anda analisis mendalam atas vektor ancaman dan Anda dapat mempersempit kejadian sebelum menjadi kejadian.

Di setiap organisasi, tim pemburu ancaman harus dipekerjakan dan secara proaktif mereka mencari kejadian yang mencurigakan dan memastikannya tidak menjadi insiden atau pelanggaran musuh. Mereka harus memahami riwayat serangan APT dan memeriksa artefak di jaringan mereka. Bukan untuk mencari IOC yang dikenal, uraikan metodologi yang mereka sebarkan.

Persis apa yang harus diburu? – Contoh

  • Berburu Jaringan Beaconing
  • Perburuan Eskalasi Hak Istimewa Orang Dalam
  • Berburu permintaan DNS yang tidak biasa
  • Berburu Berbagi Jaringan yang Tidak Biasa
  • Berburu Pengintaian Jaringan
  • Cari layanan windows yang tidak cocok (proses induk/anak)
  • Hunt for Privilege Eskalasi – Akses manipulasi token
  • Berburu UAC Bypass
  • Berburu Pembuangan Kredensial
  • Berburu suar melalui pipa SMB
  • Berburu Saluran Terselubung
  • Berburu lalu lintas CnC
  • Berburu bayangan
  • Berburu Terowongan yang Mencurigakan

Demikian juga, ada beberapa kondisi untuk berburu di LAN. Kami dapat menggunakan kerangka kerja Mitre ATT&CK dan memeriksa riwayat APT dan memahaminya. Ini akan memberikan pemahaman yang lebih baik dan kami dapat memetakan metode berburu ke kerangka dan lihat seberapa jauh kita bisa mencapainya.

Waktu tinggal, waktu musuh tetap berada di jaringan Anda dan mempelajari setiap zona, berbagi, Database, protokol jaringan, pemetaan, rute, titik akhir yang rentan, dll. Ancaman memburu, membantu Anda menemukan gerakan lateral dan kegigihan perilaku dari setiap serangan cyber.

Tanggapan Insiden

Tradisional respon insiden memberikan mitigasi dan remediasi atas insiden (peristiwa yang dilanggar), sedangkan perburuan Ancaman menyediakan pemahaman dari setiap kejadian yang mencurigakan atau aneh dan mitigasi sebelum menjadi insiden.

Tetapi penanggap insiden dan tim penanggap pasti dibutuhkan di SOC mana pun, di mana mereka membantu untuk mengurangi insiden saat ini dan membantu menyelesaikan kerentanan terbuka, ini akan memutus rantai serangan dan kemungkinan ancaman dunia maya berkurang.

Tim IR harus memastikan bahwa CIA tidak dilanggar dan tidak data telah disaring. Tim respons insiden juga dapat menerapkan model rantai pembunuhan dunia maya dalam daftar periksa mereka dan memetakan serangan.

Rencana respons insiden dapat menguntungkan perusahaan dengan menguraikan cara meminimalkan durasi dan kerusakan dari insiden keamanan, mengidentifikasi pemangku kepentingan yang berpartisipasi, merampingkan analisis forensik, mempercepat waktu pemulihan, mengurangi publisitas negatif, dan pada akhirnya meningkatkan kepercayaan eksekutif perusahaan, pemilik dan pemegang saham.

SOC modern dan keterampilan Keahlian

Seperti yang kita lihat dan alami berbagai serangan APT dan spionase dunia maya modern, kita harus berevolusi dan menciptakan strategi keamanan dunia maya yang ditingkatkan. Model ini memberikan wawasan tentang serangan cyber, sehingga kami membutuhkan tim ahli dengan berbagai keterampilan.

Kumpulan keterampilan khusus untuk berburu ancaman, intelijen ancaman open source dan intelijen DarkNet, Penangan insiden proaktif dan responden pertama, peneliti malware dan siapa yang dapat memahami arsitektur windows dan perilaku malware. Keterampilan ini sebagian besar diperlukan untuk mempertahankan jaringan dari serangan dunia maya modern.

Contoh, bagaimana tim CyberSOC modern harus direncanakan.

Kesimpulan

Ketahanan dunia maya adalah perspektif yang berkembang yang dengan cepat mendapatkan pengakuan. Konsep ini pada dasarnya menyatukan bidang keamanan informasi, kelangsungan bisnis, dan ketahanan (organisasi).

Model ini memiliki ide konseptual membawa Intel Ancaman, berburu, respon dan SOC bersama-sama untuk menyediakan susunan struktur keamanan yang kompleks untuk suatu organisasi. Akan lebih membantu untuk memprioritaskan aktivitas dan kita dapat mempertahankan diri dari serangan modern dengan mudah.

Model ini terdiri dari elemen kunci “Tanggapan adaptif, pemantauan Analitik, Penipuan, Kecerdasan, Keragaman, Pemosisian dinamis, pembatasan hak istimewa berdasarkan kebijakan yang ada, penataan kembali layanan/server misi kritis dan nonkritis, korelasi peristiwa dan respons cepat”. Ini terutama membahas ancaman APT dan memberikan wawasan mendalam tentang serangan dan kemungkinan vektor.

Ingat,

Lebih awal: “Malware atau Berbahaya”, diklasifikasikan sebagai skrip yang bermaksud melakukan sesuatu. Tetapi dalam POV dari APT atau musuh, mereka sangat menyadari fungsi antivirus saat ini dan mekanisme pertahanan mereka. Jadi mereka tidak terlalu bergantung pada skrip atau malware, sebaliknya mereka menyalahgunakan program asli dan bergerak ke samping tanpa terdeteksi.

Cyber ​​Threat Hunter POV – Apa pun yang tidak diperlukan untuk individu, di titik akhir mana pun, atau dalam organisasi, kunci yang rentan ini adalah aset penting dari APT. Jadi ini dianggap sebagai malware dalam persepsi pemburu ancaman. Mantan: “PowerShell tidak digunakan oleh semua orang, kecuali dibutuhkan oleh admin di server. Jadi tidak menonaktifkan eksekusi powershell di titik akhir adalah celah dan musuh dapat memanfaatkannya.

Model ini memiliki pandangan lima titik: penyebaran setiap modul, di mana “Kecerdasan Ancaman”, “Perburuan dunia maya”, “SOC”, “Tanggapan Insiden” dan “model rantai pembunuhan”.

Ini adalah pilar CyberSOC dan dapat dipelihara atau digunakan secara terpisah sesuai dengan kebijakan organisasi. Namun, semuanya harus disinkronkan secara logis dan digunakan masing-masing modul efektif ketika terjadi peristiwa yang mencurigakan.

Unduh: Buku Komik GDPR Gratis – Pentingnya Mengikuti Peraturan Perlindungan Data Umum (GDPR) untuk melindungi Data Perusahaan dan privasi pengguna Anda

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian Anda juga dapat mengambil Kursus keamanan siber online terbaik untuk terus memperbarui diri.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.