Penulis: Max Meiden Dasuki, Senior Architect of Indonesia, Alibaba Cloud Intelligence
Saat berbagai perusahaan memulai transformasi digital, sebagian besar perusahaan di jajaran C-Level sepakat bahwa hal yang paling mengkhawatirkan adalah masalah keamanan. Wajar saja jika mereka melihat masalah keamanan sebagai sebuah hal yang sangat di pertimbangkan, sebab cybercrime semakin meningkat di hampir seluruh dunia.
Hal ini tentu saja akan berdampak pada biaya yang harus dikeluarkan. Pengeluaran perusahaan meningkat 15 persen dari tahun per tahun. Data ini diambil dari laporan Cyberwarfare 2021 oleh CyberSecurity Ventures.
Keadaan ini, sepertinya tidak akan menjadi lebih baik di masa yang akan datang. Pada tahun 2025, terdapat laporan yang sama mengenai cybercrime, dan tentunya akan membuat perusahaan di hampir seluruh dunia untuk mengeluarkan biaya sekitar US$10,5 triliun setiap tahunnya.
Hal ini tidak hanya berkaitan dengan masalah biaya yang harus dikeluarkan oleh perusahaan, tetapi juga dampak pada reputasi brand dan hilangnya rasa kepercayaan ketika para pelanggan mengetahui adanya pembobolan dan kebocoran data pribadi mereka
Kekhawatiran terhadap kejahatan siber atau cyber crime tidak hanya melanda perusahaan yang telah mengadopsi cloud saja. Perusahaan dari berbagai sektor, jenis usaha, dengan berbagai status transformasi cloud, semuanya mengutamakan sebuah keamanan yang andal.
Dua Hal dalam Pengamanan DNS
Salah satu sektor yang menjadi perhatian adalah serangan pada Domain Name System (DNS), dan bagaimana organisasi dapat memanfaatkan data DNS untuk mendeteksi serangan siber yang terjadi di seluruh sistem. DNS bisa diibaratkan seperti buku telepon internet, maka perusahaan dan organisasi harus memastikan DNS ini memiliki keamanan yang kuat dan aman, karena ini merupakan hal yang penting.
Pengamanan DNS pun dapat diartikan menjadi dua hal yang berbeda. Pertama, DNS merupakan infrastruktur fundamental. Tanpa DNS, organisasi tidak bisa berfungsi. Meski begitu, DNS masih tergolong komponen jaringan yang rentan, seringkali menjadi titik awal (beachhead) dari serangan siber yang tidak bisa secara maksimal dilindungi oleh solusi sistem pengamanan tradisional. Saat layanan DNS mengalami krisis dan dibiarkan begitu saja, maka akan menyebabkan kekacauan di jaringan dan kegagalan pada sistem. Oleh karena itu, arti pertama dari pengamanan DNS adalah untuk melindungi server DNS.
Kedua, DNS berperan penting menciptakan lapisan keamanan yang dikenal sebagai “defense in depth” (pertahanan secara mendalam). Tidak ada solusi tunggal yang dapat menyelesaikan berbagai ancaman, sehingga dibutuhkan berbagai pendekatan pertahanan siber.
Saat ini, organisasi maupun individu dapat menjadi target serangan dan menggunakan lapisan pertahanan tradisional yang terpisah-pisah juga tidak memberikan perlindungan yang mumpuni. Peretas tahu bagaimana setiap lapisan pertahanan berfungsi, termasuk bagaimana cara melewatinya tanpa halangan yang berarti di setiap lapisannya. Pengkoordinasian informasi independen dari berbagai macam sumber yang berbeda dan kemudian lapisan pertahanan saling berbagi informasi dapat menjadi solusi untuk meredam serangan peretas.
Dengan menggabungkan informasi DNS dan arsitektur keamanan, organisasi bisa mendapatkan gambaran pada bagian-bagian cyberspace yang seringkali terlewatkan pada bagian keamanan. Mengaitkan suatu kejadian yang terjadi pada keamanan DNS dengan kejadian lain di infrastruktur (e-mail, jaringan, cloud, endpoint) akan dapat meningkatkan kemampuan sistem melakukan pendeteksian serangan dan kemungkinannya untuk mencegah serangan. Oleh karena itu, peran selanjutnya dari “keamanan DNS” akan berkaitan dengan penggunaan data DNS sebagai lapisan arsitektur pertahanan.
Laporan terbaru yang dirilis oleh Gartner, yang bertajuk “Quick Answer: How Can Organizations Use DNS to Improve Their Security Posture?”, merekomendasikan setiap organisasi untuk mengumpulkan dan menganalisis log DNS guna mendeteksi serangan dan forensik yang menggunakan SIEM, mengimplementasikan sistem pencegahan serangan DNS, kemampuan melakukan pemblokiran, dan melakukan pengawasan pada sirkulasi pergerakan DNS saat adanya anomali.
Beberapa organisasi dan tim ahli fokus pada makna pertama dari keamanan infrastruktur jaringan DNS, dan ada beberapa organisasi dan tim ahli lain yang berfokus pada makna yang kedua. Tujuan mereka adalah memanfaatkan data dari DNS (termasuk jaringan data yang berkaitan) yang tersedia di sistem jaringan untuk menciptakan satu lapisan keamanan yang akan melengkapi lapisan pertahanan lainnya.
Pendeteksian Tofsee dengan Pendekatan DNS
Malware yang ditujukan untuk berbagai tujuan, Tofsee, pertama kali terdeteksi di Eropa dan Amerika pada tahun 2020. Dan kemudian semakin sering terjadi di Asia Pasifik dalam beberapa bulan ini. Para peneliti dari Alibaba Cloud baru- baru ini menemukan jejak exploit kit (EK) dari trojan pada ratusan mesin komputasi awan (cloud machines) yang mengindikasikan bahwa malware ini telah menyebar di ribuan perangkat di regional Asia Pasifik.
Trojan Tofsee membukakan kesempatan bagi peretas untuk melakukan berbagai aktivitas berbahaya, seperti spamming, click fraud, dan mining cryptocurrencies. Tofsee merupakan program jahat yang memiliki kemampuan yang luar biasa yang dapat menimbulkan masalah serius, termasuk kerugian finansial. Sistem yang telah diretas akan menjadi bagian Tofsee Spam Botnet yang bertujuan untuk mengirimkan spam dalam jumlah yang besar, termasuk untuk mengakuisisi sistem lainnya sebagai bagian dari kontrol operator botnet.
Cara paling praktis untuk mengidentifikasi aktivitas Tofsee di jaringan server adalah menggunakan endpoint agent; salah satunya solusi Deteksi dan Endpoint Detection and Response (EDR), yang terpasang di perangkat untuk mengawasi malware yang dapat melacak tanda dari Tofsee (dapat dikenali melalui tipe dokumen dan tanda khusus yang berhubungan dengan aktivitas sebelumnya).
Namun kekurangan dari EDR adalah jika para peretas tahu sebuah sistem signature telah terpasang di perangkat, mereka dapat membuat sebuah modifikasi kecil pada kode malware dan proses kerjanya sehingga dapat melewati sistem keamanan. Lalu, sampai sistem signature yang baru telah dibuat, kemampuan deteksi EDR akan menurun.
Daripada menggunakan endpoint agent untuk melakukan pelacakan serangan Tofsee, beberapa peneliti mengimplementasikan sejumlah algoritme yang mampu melakukan analisis terhadap aktivitas DNS, termasuk melakukan pelacakan pola dan hubungan dengan aktivitas peretasan yang membahayakan sebelumnya. Secara spesifik, metodenya dapat mengidentifikasi nama domain yang muncul secara bersamaan, (urutan domain yang secara rutin muncul dan berfungsi secara bersamaan) dan kemudian diikuti oleh pengesahan serangan berbahaya didasari oleh pola-pola yang menunjukkan aktivitas penyerangan sebelumnya.
Deteksi terhadap jejak trojan Tofsee dimulai dengan satu nama domain ('work[.]a-poster[.]info') yang dilaporkan oleh perusahaan keamanan terkemuka beberapa bulan lalu. Domain ini dijadikan penanda saat itu sebagai ancaman dari ‘mode perintah biasa dan kontrol pada Windows’.
Dengan menerapkan algoritma machine learning, tim peneliti dapat menghubungkan dan mengaitkan domain ini ke nama domain tambahan, yang semuanya berkaitan dengan spam dan malware pengunduhan botnet. Hasil yang diidentifikasi itulah yang disebut dengan botnet Tofsee. Analisis cepat lanjutan dapat mendeteksi semua perangkat cloud yang terdampak oleh botnet.
Berbagai Lapisan Sistem Pertahanan
Pada kasus di atas, single domain name adalah kunci untuk mendeteksi keberadaan Tofsee di beberapa perangkat dan dengan menggunakan metode deteksi tambahan dapat mengungkap aspek lain dari ancaman tersebut.
Keamanan dibangun pada setiap lapisan, dan diharapkan (atau diasumsikan) bahwa setiap lapisan dapat mengidentifikasi ancaman secepat mungkin setelah ancaman itu muncul. Beberapa lapisan ini ada yang memerlukan agen dan ada beberapa yang tidak, tapi tiap lapisan membawa kode khusus pada sistem keamanan.
Konsep “new DNS” dan pendekatan berbasis jaringan yang dijelaskan di sini melengkapi keamanan berbasis agen yang ada, dan memungkinkan pengguna untuk menerima beragam perlindungan keamanan maksimal, tanpa perlu menginstal perangkat lunak tambahan.
Pendekatan terkini untuk keamanan DNS ini seharusnya dapat mengurangi kekhawatiran pada C-Level terhadap keamanan, sekaligus membantu mereka mengurangi biaya yang diakibatkan oleh insiden serangan keamanan.
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR