Hampir sepertiga (30%) dari serangan siber yang diselidiki oleh tim Kaspersky pada tahun 2019 ternyata melibatkan perangkat manajemen dan administrasi jarak jauh yang sah.
Akibatnya, para pelaku kejahatan siber bisa tetap tak terdeteksi untuk jangka waktu lebih lama. Laporan Analisis Respon Insiden terbaru Kaspersky menemukan adanya serangan spionase siber berkelanjutan dan pencurian data rahasia yang memiliki durasi rata-rata selama 122 hari.
Software monitoring dan manajemen dapat membantu TI dan administrator jaringan melakukan tugas mereka sehari-hari, seperti pemecahan masalah dan memberikan dukungan teknis kepada karyawan. Namun, para pelaku kejahatan siber juga dapat memanfaatkan alat yang sah ini. Software ini memungkinkan para penjahat siber menjalankan proses pada endpoint, mengakses dan mengekstraksi informasi sensitif, melewati berbagai kontrol keamanan yang bertujuan mendeteksi malware.
Secara total, analisis data anonim dari kasus respon insiden (IR) menunjukkan ada 18 alat sah yang disalahgunakan oleh threat actor untuk tujuan berbahaya. Salah satu yang paling banyak digunakan adalah PowerShell (25% kasus). Alat administrasi ini dapat dimanfaatkan penjahat maya untuk berbagai tujuan, mulai dari mengumpulkan informasi hingga menjalankan malware. Disusul oleh PsExec yang dimanfaatkan dalam 22% serangan. Aplikasi konsol ini ditujukan untuk proses peluncuran pada titik akhir jarak jauh. Kemudian diikuti oleh SoftPerfect Network Scanner (14%), yang dimanfaatkan untuk mengambil informasi tentang lingkungan sekitar jaringan.
Lebih sulit bagi solusi keamanan untuk mendeteksi serangan yang dilakukan dengan menggunakan alat yang sah karena tindakan deteksi ini dapat dianggap sebagai bagian dari aktivitas kejahatan siber yang direncanakan atau tugas administrator sistem reguler. Misalnya, pada segmen serangan yang berlangsung lebih dari sebulan, insiden siber memiliki durasi rata-rata 122 hari. Karena mereka tidak terdeteksi, para pelaku kejahatan siber dapat mengumpulkan data sensitif korban.
Namun, para ahli Kaspersky mencatat bahwa terkadang tindakan berbahaya yang menggunakan perangkat lunak sah mengungkapkan dirinya lebih cepat. Sebagai contoh, mereka sering digunakan dalam serangan ransomware, dan kerusakannya terlihat dengan jelas. Durasi rata-rata untuk serangan singkat adalah satu hari.
“Untuk menghindari deteksi dan tetap tidak terlihat dalam jaringan yang disusupi dengan jangka waktu lama, para aktor ancaman banyak menggunakan perangkat lunak yang dikembangkan untuk aktivitas pengguna normal, tugas administrator, dan diagnostik sistem. Dengan alat ini, mereka dapat mengumpulkan informasi tentang jaringan perusahaan dan kemudian melakukan gerakan lateral, mengubah pengaturan perangkat lunak dan perangkat keras atau bahkan melakukan beberapa bentuk tindakan berbahaya. Misalnya, mereka dapat menggunakan perangkat lunak yang sah untuk mengenkripsi data pelanggan. Perangkat lunak yang sah juga dapat membantu para aktor ancaman tetap di bawah radar analis keamanan, karena mereka sering mendeteksi serangan hanya setelah kerusakan telah dilakukan. Tidak mungkin untuk tidak menggunakan alat ini karena berbagai alasan, namun, sistem logging dan pemantauan yang diterapkan dengan tepat akan membantu mendeteksi aktivitas mencurigakan di jaringan dan serangan kompleks pada tahap awal,” komentar Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.
Untuk mendeteksi dan bereaksi terhadap serangan tersebut secara tepat waktu, di antara tindakan lainnya, organisasi harus mempertimbangkan untuk menerapkan solusi Deteksi dan Respons Endpoint dengan layanan MDR. Evaluasi Putaran 2 MITRE ATT & CK® - di mana berbagai solusi, termasuk Kaspersky EDR dan layanan Kaspersky Managed Protection dievaluasi - dapat membantu pelanggan memilih produk EDR yang sesuai dengan kebutuhan organisasi spesifik mereka. Hasil Evaluasi ATT & CK membuktikan pentingnya solusi komprehensif yang menggabungkan produk keamanan berlapis yang holistik, sepenuhnya otomatis dan layanan pencarian ancaman manual.
Untuk meminimalkan kemungkinan perangkat lunak manajemen jarak jauh digunakan dalam menembus infrastruktur, Kaspersky merekomendasikan langkah-langkah berikut:
- Batasi akses ke alat manajemen jarak jauh dari alamat IP eksternal. Pastikan bahwa antarmuka kendali jarak jauh hanya dapat diakses dari sejumlah titik akhir yang dibatasi
- Terapkan kebijakan kata sandi yang ketat untuk seluruh sistem TI dan terapkan otentikasi multi-faktor
- Ikuti prinsip penawaran hak istimewa terbatas bagi staf dan hanya memberikan akun dengan hak istimewa tinggi kepada pihak yang membutuhkan untuk memenuhi pekerjaan mereka