Bagian keamanan siber di perusahaan juga harus konsisten memantau jaringan untuk mendeteksi aktivitas mencurigakan secara tepat waktu. Serangan ransomware dapat dihindari jika ransomware bisa ditemukan sebelum ia diluncurkan atau dieksekusi, meskipun penyerang sudah berhasil masuk di dalam jaringan.
Karena permukaan serangan (attack surface) memiliki banyak aspek, sistem keamanan perusahaan sebaiknya juga harus memiliki beberapa lapisan, meski ini pun tidak menjamin keamanan seratus persen. Serangan Conti merupakan rangkaian yang kompleks sebelum ransomware dilakukan. Ini memberi kesempatan bagi sekuriti TI untuk mendeteksi dan merespons serangan tersebut.
Inilah beberapa lapisan proteksi yang dapat diterapkan oleh organisasi dalam rangka menangkal serangan Conti maupun ransomware lainnya:
Access control dan ZeroTrust
Penerapan kontrol atas siapa yang dapat mengakses apa dan di mana, serta memisahkan ‘power user’ dari aktivitas harian, efektif menghalangi dan memperlambat proses pergerakan lateral Conti.
Segmentasi
Kontrol jalur komunikasi dengan menonaktifkan protokol yang dapat disalahgunakan untuk pergerakan lateral (RPC, RDP, WinRM, SSH, dll.) di antara pengguna (endpoint), membatasi akses ke file share, dan membatasi akses ke server database dan backup secara signifikan mengurangi serangan permukaan di jaringan.
Web Application Firewall (WAF)
Sebelum serangan menyebar lebih luas, penyerang harus mendapatkan pijakan di dalam jaringan. Berkaca dari kasus Conti, crawler dan vektor akses awal mereka dimulai dengan melancarkan phishing (mail spambot) dan mengeksploitasi celah keamanan layanan (OWA, injeksi SQL, Apache Tomcat cgi-bin). Dengan aplikasi WAF yang baik seharusnya serangan seperti ini dapat diblokir lebih awal di jaringan.
Inventarisasi software dan manajemen patch
Melacak dan mengetahui di mana software diinstalasi dapat membantu mendeteksi komponen tambahan yang tidak diinginkan/diperlukan. Hal ini berlaku untuk backdoor Conti, seperti Atera dan AnyDesk, beserta serangan lainnya, (LAPSUS$ dengan procexp dan ProcessHacker).
Selain itu, manajemen patch juga dapat melindungi jaringan. Tidak satu pun eksploit yang ada bersifat baru alias patch-nya telah lama dirilis. Meski demikian, Conti dan grup lainnya telah bisa membobol karena banyak server yang tidak konsistem melakukan proses patch.
Deteksi malware - EDR/AV
Sebagai ‘last resort’ proteksi keamanan sistem di jaringan, deteksi dan respons endpoint (endpoint detection and response/EDR) atau Antivirus (AV) yang baik dan up-to-date dapat membantu mendeteksi dan memblokir tool yang digunakan selama serangan. Hal ni berkaca dari Conti yang selalu menguji apakah tool mereka tidak terdeteksi softaware di atas, jadi vital untuk selalu melakukan update software.
Beberapa EDR terbaru juga mengklaim dapat mendeteksi dan mencegah ransomware secara heuristik, ketika ransomware mulai mengenkripsi host. Terlepas dari klaim level keefektifannya, perusahan tetap perlu mempertimbangkan penggunaannya.
*Guardicore adalah penyedia solusi micro segmentation yang diakuisisi Akamai pada tahun 2021.