Penelitian terbaru menunjukkan bahwa organisasi dengan 10.000 atau lebih karyawan biasanya memelihara hampir 100 alat keamanan. Namun, perusahaan global yang mapan terus menjadi korban serangan dunia maya. Misalnya, pemroses pembayaran NCR baru-baru ini mengalami serangan ransomware yang menyebabkan pemadaman hilir di banyak back-office restoran dan sistem point-of-sale. Dengan prospek resesi tahun 2023, pelaporan menunjukkan bahwa kepala petugas keamanan informasi (CISO) akan semakin melihat keterbatasan anggaran. Jadi, bagaimana perusahaan dapat memfokuskan investasi keamanan siber terbatas mereka pada kontrol yang paling penting?
Mengingat bahwa risiko dunia maya beroperasi dalam konteks lingkungan ancaman, bisnis, dan teknologi yang sangat dinamis, penting untuk menetapkan beberapa konteks tentang cara kami mengukur kinerja keamanan dunia maya. Seperti yang dicatat oleh Michael Chertoff baru-baru ini, program keamanan siber yang baik beroperasi dengan tingkat transparansi, akurasi, dan presisi yang tinggi.
Elemen Program Keamanan Siber yang Baik
Transparansi berasal dari penggunaan kerangka kerja keamanan otoritatif dari tempat-tempat seperti Institut Standar dan Teknologi Nasional AS (NIST) atau Organisasi Internasional untuk Standardisasi (ISO) yang dapat diulang dan dapat diaudit. Meskipun demikian, kerangka kerja ini biasanya mendefinisikan praktik pada abstraksi tingkat tinggi (“akses jarak jauh dikelola” … bagaimana?) dan perlu dipadukan dengan analisis yang lebih terperinci tentang kemungkinan teknik ancaman untuk memastikan pertahanan keamanan akurat memetakan ancaman ini. Kita juga perlu menjadi tepat tentang permukaan serangan yang kami tangani dengan kontrol tertentu.
Pertahanan yang berbeda akan berlaku tergantung pada jenis permukaan serangan: sistem operasi laptop, server web, teknologi bantuan pengguna jarak jauh, teknologi cloud, atau perangkat lunak produktivitas pengguna seperti browser dan email, yang semuanya dapat disusupi oleh pelaku jahat untuk mencapai akses awal ke sistem perusahaan Anda.
Dengan mengingat hal ini, kami dapat membagi investasi keamanan siber ke dalam tiga kategori: 1) kontrol yang bertahan dari ancaman dengan cara yang sangat berdampak, 2) tindakan yang memvalidasi bahwa kontrol ini beroperasi sebagaimana mestinya dan 3) kemampuan yang mengotomatiskan dua lainnya.
Kontrol yang Bertahan dari Ancaman dengan Cara yang Berdampak
Di mana perusahaan harus memulai? Dengan cara yang sama seperti dokter menggunakan profil pasien untuk memprioritaskan tindakan pencegahan, dan diagnostik serta terapi untuk mengelola risiko khusus pasien, kita dapat menggunakan profil bisnis untuk membantu kita memahami spektrum potensi ancaman. Seperti Covid-19, ransomware adalah risiko yang berlaku secara universal, tetapi beberapa organisasi (misalnya penyedia teknologi) juga perlu khawatir bahwa mereka dapat ditargetkan sebagai batu loncatan ke lingkungan pelanggan, seperti dalam peretasan 3CX yang dilaporkan secara luas baru-baru ini. Dengan mengingat hal ini, kita dapat fokus pada kontrol yang bertahan dari ancaman tersebut.
Sangat mudah bagi pelaku ancaman untuk mengubah tanda tangan serangan (hal-hal seperti kode malware yang dapat dideteksi oleh sistem antivirus). Jauh lebih sulit bagi penyerang untuk mengubah metodologi dasarnya, yang dikenal sebagai taktik, teknik, dan prosedur (TTP). Kerangka Kerja Adversarial Tactics Techniques & Common Knowledge (ATT&CK) MITRE Corporation adalah pendekatan paling komprehensif dan otoritatif untuk membuat katalog pelaku ancaman, motivasi dan TTP mereka yang tersedia secara terbuka saat ini – dan gratis untuk digunakan. Perusahaan dapat menggunakan ATT&CK untuk membiasakan diri dengan teknik ancaman yang perlu mereka pertahankan berdasarkan profil bisnis mereka. ATT&CK juga memetakan setiap teknik ke penanggulangan keamanan yang sesuai, membantu menyelaraskan investasi dengan ancaman.
Meminimalkan Akses Awal.
Langkah dasar adalah meminimalkan kemungkinan musuh dapat mencapai akses awal. ATT&CK memberi tahu kami bahwa ada sembilan cara pelaku ancaman dapat masuk ke dalam organisasi target — termasuk phishing, penyalahgunaan layanan jarak jauh eksternal, dan penyusupan akun yang valid. Perusahaan perlu mempertimbangkan kesembilan titik akses potensial ini dan menanganinya atau secara sadar menerima risiko jika tidak melakukannya, dan memprioritaskan bagaimana kontrol yang sesuai dilakukan secara bertahap.
Laporan M-Trends tahunan terbaru Mandiant menunjukkan bahwa eksploitasi kerentanan pada aplikasi yang menghadap ke publik (seperti kelemahan perangkat lunak yang memungkinkan aktor ancaman melewati autentikasi dan mengeksekusi kode dari jarak jauh) adalah teknik akses awal paling umum yang diamati di seluruh investigasinya, jadi sumber daya yang ditambal kerentanan yang dapat dijangkau internet adalah kontrol yang sangat berdampak. Untuk lingkungan cloud-centric, penelitian terbaru dari Google menunjukkan bahwa kompromi akun yang valid (baik melalui kredensial yang lemah atau kredensial yang bocor) menghasilkan lebih dari setengah dari semua insiden yang diamati pada platformnya, menyoroti urgensi solusi autentikasi multifaktor (MFA) (terutama sebagai organisasi memigrasikan beban kerja ke lingkungan cloud).
Pertahanan secara mendalam.
Perusahaan perlu merencanakan kemungkinan di mana penyerang mencapai akses awal, mungkin dengan menemukan mesin yang menghadap internet tanpa MFA atau dengan menipu seseorang agar mengunjungi situs web yang terinfeksi. Lalu bagaimana?
Kita dapat menggunakan basis pengetahuan ATT&CK untuk menandai dan menangani teknik yang umum digunakan di seluruh kelompok pelaku ancaman dengan pijakan di dalam organisasi target. Teknik-teknik ini dapat mewakili “chokepoints” yang, jika diganggu, dapat menerangi atau mengalahkan kampanye musuh. Misalnya, pelaporan ancaman dari Mandiant, Red Canary, dan Picus Labs semuanya menyoroti bagaimana aktor jahat telah menggunakan juru bahasa perintah dan skrip seperti PowerShell untuk menjalankan perintah atau skrip. Pelaku ancaman yang bertanggung jawab atas pelanggaran Solar Winds menggunakan baris perintah PowerShell dan Windows di seluruh kampanye. Dengan mendasarkan perintah dan aktivitas pembuatan skrip dan pengguna “normal”, perusahaan dapat mendeteksi dan merespons penggunaan teknologi ini yang berbahaya.
Pustaka ATT&CK juga menandai kontrol yang memberikan cakupan luas terhadap perilaku yang kemungkinan besar digunakan oleh pelaku ancaman. Misalnya, banyak sumber data yang diperlukan untuk mendeteksi sejumlah besar perilaku yang mengancam ditangkap dan dianalisis dengan alat endpoint detection and response (EDR), yang memberikan visibilitas dan respons otomatis terhadap intrusi canggih dengan mencocokkan peristiwa sistem dengan perilaku permusuhan yang diketahui (termasuk perintah yang direferensikan di atas dan teknik juru bahasa scripting).
Presisi juga melibatkan pemfokusan penggunaan alat tersebut di tempat yang paling penting: pada “aset bernilai tinggi” organisasi. Definisi bisa jadi sulit, tetapi sistem tertentu sangat diincar oleh pelaku ancaman karena mereka menjalankan fungsi yang sangat penting untuk dipercaya dan dengan demikian menjadi batu loncatan ke hal lainnya. Setelah insiden SolarWinds, Institut Standar dan Teknologi Nasional AS (NIST) menetapkan daftar perangkat lunak penting tersebut.
Misalnya, sistem identitas dan akses termasuk dalam definisi NIST: mereka adalah pertahanan utama dalam hak mereka sendiri, dan data insiden menunjukkan bahwa pelaku ancaman sering bekerja untuk mendapatkan kredensial yang sangat istimewa pada sistem kontrol akses terpusat seperti Microsoft Active Directory, dengan hasil yang menghancurkan. Setelah kredensial berada di tangan, musuh menyamar sebagai pemegang kredensial yang sah, dan aktivitas selanjutnya jauh lebih sulit untuk dideteksi. Mempertahankan integritas sistem ini dengan demikian merupakan prioritas utama.
Kegembiraan.
Untuk aset bernilai tinggi, investasi dalam kontrol seperti pencadangan offline yang memungkinkan kelangsungan hidup adalah hal yang sangat penting, terutama dalam skenario dengan probabilitas rendah dan konsekuensi tinggi di mana dekripsi tidak dimungkinkan. Misalnya, pada November 2022, Microsoft melaporkan bahwa varian kampanye malware destruktif yang terlihat secara luas di Ukraina sejak awal perang kini digunakan untuk menyerang organisasi logistik di Polandia.
Validasi Kontrol
Dalam pekerjaan kami dengan klien, kami menemukan bahwa kontrol seringkali tidak diterapkan sepenuhnya atau beroperasi seperti yang diharapkan. Pengalaman kami tidaklah unik, dan inilah mengapa Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), dan National Security Agency (NSA) bersama-sama merekomendasikan validasi keefektifan kontrol. Proses pemodelan ancaman yang sama yang dijelaskan di atas juga dapat digunakan untuk memfokuskan upaya pengujian pada meniru teknik ancaman yang relevan untuk memastikan bahwa kontrol perusahaan Anda berfungsi sebagaimana mestinya.
Otomatisasi
Upaya mengelola, memvalidasi, memulihkan, dan melacak postur keamanan secara manual — yaitu, menentukan di mana, tepatnya, kontrol keamanan diterapkan dan apakah kontrol tersebut beroperasi sebagaimana dimaksud — menjadi sulit hingga mustahil. Sebuah survei baru-baru ini menyoroti bahwa organisasi terus mengalami pertumbuhan pesat dalam lingkungan teknologi (peningkatan 2022 hingga 2023 biasanya 137% untuk aplikasi, 188% untuk perangkat, dan hampir 30% untuk pengguna) dan risiko (589% 2022-to- 2023 peningkatan temuan keamanan). Total volume data global diperkirakan mencapai 175 zettabyte (satu zettabyte setara dengan satu triliun gigabyte) pada tahun 2025 (versus 33 zettabyte pada tahun 2018).
Memperkuat keamanan dengan demikian akan semakin melibatkan otomatisasi. Perkakas Security Orchestration and Automated Response (SOAR) sudah terkenal di komunitas keamanan, seperti pembaruan perangkat lunak otomatis jika memungkinkan (yang lebih mudah ditangani untuk sistem operasi titik akhir dan teknologi produktivitas seperti browser). Tiga bentuk otomasi lainnya patut disoroti:
- Melacak postur aset dan pembusukan terkait (misalnya, di mana server yang terhubung ke internet dibiarkan terbuka secara online tanpa kata sandi, yang telah berulang kali terjadi di lingkungan cloud), terutama untuk teknologi yang terhubung ke internet.
- Mengevaluasi cakupan terhadap perubahan ancaman.
- Pengujian emulasi ancaman, di mana ancaman disimulasikan melalui skrip otomatis pada sistem yang relevan. Otomasi tidak hanya akan membantu mengamankan organisasi dengan lebih baik, tetapi juga akan membantu mengurangi jumlah temuan keamanan yang perlu diperbaiki (catnip ke pengacara penggugat dan badan pengatur jika terjadi insiden).
Perusahaan dapat memulai dengan mengidentifikasi di mana fungsionalitas otomasi ada dalam solusi TI yang lebih besar. Melacak postur aset sering kali dapat dicapai melalui teknologi manajemen aset dan layanan TI asli, serta melalui alat siap pakai dari penyedia cloud, misalnya Microsoft’s Secure Score. Beberapa sistem cloud seperti Google Cloud Platform sudah mulai memetakan postur untuk mengontrol kerangka kerja yang diterbitkan oleh NIST dan Pusat Keamanan Internet.
Karena profil bisnis, kompleksitas permukaan serangan, dan ancaman terkait berubah, nilai relatif dari kontrol spesifik juga akan berubah. Langkah mendasar dalam mengatasi masalah kontrol mana yang paling penting adalah melacak bagaimana faktor bisnis, teknologi, dan ancaman yang mendasari berubah, dan apa artinya bagi keamanan.
Di web site ini, kita menjamin dan tetap memprioritaskan kepuasan para bettor di dalam mendapatkan keluaran sydney Salah satunya adalah dengan sediakan result pengeluaran sdy hari ini tercepat dan teranyar secara berkelanjutan dan pas waktu. Semua update teranyar untuk no pengeluaran sidney prize 2021 sanggup kalian menikmati pada jam 14.00 WIB atau jam 2 siang. Dengan menambahkan hasil result sdy tercepat maka para bettor tidak harus lagi menanti benar-benar lama.
