Prevent, Contain, Recover:Panduan Kesiapan Ransomware untuk Rantai Pasokan

Ransomware telah menjadi perhatian utama bagi banyak dari kita di industri keamanan siber karena kita telah melihat peningkatan jumlah serangan yang berdampak pada jaringan rumah sakit, pemerintah daerah, dan rantai pasokan yang lebih luas. Serangan ransomware pada perusahaan biasanya mengakibatkan hilangnya akses ke data dan sistem untuk beberapa periode waktu dan disertai dengan dampak finansial melalui hilangnya pendapatan dan uang yang dihabiskan untuk upaya pemulihan. Ketika serangan ransomware diarahkan ke perusahaan yang merupakan bagian dari rantai pasokan, itu dapat memiliki dampak yang jauh lebih luas karena hanya satu penyedia layanan yang dapat berdampak langsung pada ratusan atau ribuan perusahaan.

Memahami kesiapan organisasi Anda terhadap ancaman ransomware sangat penting, dan mengetahui bagaimana vendor dalam rantai pasokan Anda memasukkan faktor kesiapan kesiapan Anda adalah bagian penting dari keseluruhan strategi Anda.

Mencoba memastikan semua pertahanan Anda tercakup dan Anda telah melakukan semua yang Anda bisa untuk mencegah atau mengurangi dampak serangan ransomware bisa sangat melelahkan. Strategi yang kuat memiliki jangkauan yang jauh dan berlapis-lapis — mencakup arsitektur, titik akhir, pengguna, dan banyak lagi.

Jadi di mana Anda harus mulai? Pendekatan terstruktur dan logis dapat membantu mengatur beberapa pemahaman tentang kesiapan ransomware organisasi Anda. Untuk membantu melakukan ini, mari kita lihat tiga kategori utama:pencegahan, penahanan, dan pemulihan.

Pencegahan

Tujuan utama kami adalah untuk menjauhkan ransomware dari lingkungan kami, mencegahnya masuk sejak awal. Dari sikap defensif ini, kami perlu melihat infrastruktur Anda mulai dari kontrol perimeter hingga pengguna akhir. Meskipun kami dapat membahas topik ini secara panjang lebar, kami akan memfokuskan perhatian kami pada celah di mana ransomware paling sering diperkenalkan.

• Protokol desktop jarak jauh (RDP). Meskipun bukan teknologi baru atau vektor serangan baru, RDP telah menjadi target reguler karena kerentanan, kesalahan konfigurasi, atau kerentanan terhadap serangan brute force. Dengan peningkatan baru-baru ini dalam angkatan kerja jarak jauh dan peningkatan yang sesuai dalam penggunaan RDP, penyerang mengalami hari lapangan dengan target baru. Kegiatan pencegahan di sini termasuk membatasi jumlah port terbuka, kontrol otentikasi yang kuat (termasuk otentikasi multi faktor) dan program manajemen kerentanan yang solid.
• Phishing. Email phishing bisa sangat berbahaya karena dapat melewati banyak kontrol keamanan Anda yang memungkinkan konten berbahaya dikirim langsung ke tautan keamanan terlemah Anda — pengguna akhir. Email phishing biasanya mencoba untuk mendapatkan kredensial pengguna atau berisi lampiran atau tautan berbahaya, yang pada akhirnya memberikan jalur langsung kepada penyerang ke lingkungan Anda. Aktivitas pencegahan di sini mencakup penggunaan solusi keamanan email, pelatihan keamanan dan kesadaran untuk pengguna akhir, serta solusi deteksi dan respons titik akhir.

Pada akhirnya, teknik pencegahan yang direkomendasikan bukanlah hal baru. Mereka adalah prinsip utama yang sama yang telah didiskusikan oleh komunitas keamanan informasi selama beberapa waktu — membatasi apa yang dapat diakses dari internet, pemindaian kerentanan, patching, dan kontrol otentikasi yang kuat.

Penahanan

Jadi, terlepas dari upaya terbaik Anda, ransomware masuk ke lingkungan Anda. Bagaimana Anda bisa menghentikan penyebarannya? Pertimbangkan kebakaran di gedung:Strategi penahanan datang sebelum kebakaran yang sebenarnya melalui penggunaan firewall, bahan tahan api, dll. Ini sama untuk serangan seperti ransomware. Berikut adalah dua strategi penahanan utama:

• Penggunaan akun istimewa. Penyerang suka menargetkan akun istimewa karena mereka menyediakan akses tingkat tinggi ke sistem dan data serta izin yang diperlukan untuk mengeksekusi kode berbahaya. Penggunaan kembali kata sandi, kata sandi akun layanan yang disimpan dalam teks yang jelas, kata sandi yang mudah ditebak, dll. adalah masalah umum yang berkontribusi pada penyusupan akun.

Pendekatan holistik untuk pengelolaan akun istimewa adalah kuncinya di sini. Ini termasuk memahami akun istimewa apa yang Anda miliki dan apa yang mereka akses; bagaimana mereka digunakan (mis. admin domain vs. akun layanan); dan bagaimana akun tersebut diakses dan dikelola (misalnya penggunaan solusi pengelolaan akun istimewa).

• Segmentasi jaringan. Jaringan datar adalah skenario impian bagi penyerang. Setelah kredensial diperoleh, mereka dapat bergerak bebas di seluruh jaringan organisasi dan memiliki akses tak terbatas ke sistem dan data. Minimal, Anda harus menggunakan segmentasi untuk membatasi pergerakan lateral sebanyak mungkin sehingga penyerang akan lebih sulit melintasi jaringan Anda dan mendapatkan akses ke sistem dan data tambahan.

Pemulihan

Selain rencana respons insiden, rencana paling penting untuk membantu upaya pemulihan Anda adalah rencana ketahanan bisnis. Bagaimana bisnis akan terus berfungsi? Rencana ketahanan yang kuat akan membantu memulihkan fungsionalitas sistem bisnis inti Anda.

Vektor serangan umum untuk organisasi termasuk vendor pihak ketiga dalam rantai pasokan. Jadi bagaimana kita bisa mengidentifikasi dan mengurangi risiko yang ada pada vendor kita? Pertama, jawab pertanyaan kritis berikut:

• Siapa vendor Anda?
• Layanan apa yang disediakan setiap vendor untuk organisasi Anda?

Sebenarnya mengidentifikasi siapa vendor Anda bukanlah tugas yang mudah. Mungkinkah Anda memiliki vendor yang memiliki akses ke jaringan atau data Anda dan Anda tidak mengetahuinya? Sangat. Kenyataannya adalah ada kemampuan untuk langsung menuju solusi berbasis cloud dan dengan tidak lebih dari kartu kredit dan beberapa klik mouse, Anda sekarang memiliki vendor dengan akses ke data Anda. Jika Anda tidak tahu siapa mereka, tidak mungkin menilai risiko mereka terhadap organisasi Anda. Adapun apa yang mereka lakukan, vendor dalam rantai pasokan Anda dapat melakukan segala macam layanan. Beberapa secara inheren memberikan risiko yang lebih tinggi bagi perusahaan Anda berdasarkan data atau sistem internal yang mereka akses.

Menjawab pertanyaan-pertanyaan ini adalah titik awal yang bagus untuk melakukan aktivitas penilaian yang memadai terhadap vendor tersebut. Tujuannya adalah untuk mendapatkan kenyamanan yang memadai bahwa vendor memiliki kontrol yang sesuai untuk melindungi sistem atau data Anda berdasarkan layanan yang mereka sediakan untuk Anda. Ada banyak strategi penilaian untuk dimanfaatkan termasuk tinjauan sertifikasi seperti SOC atau ISO, kuesioner penilaian seperti SIG, hasil uji penetrasi, dll. Terlepas dari cara Anda mendekatinya, memvalidasi vendor Anda memiliki kontrol ini dapat mengurangi risiko organisasi Anda terkena dampak jika terjadi serangan.

Saat sistem menjadi lebih terhubung dan kompleks, penyerang mungkin masih menemukan jalan untuk menembus pertahanan Anda. Tetapi bersiap untuk serangan ransomware dapat secara signifikan mengurangi dampak dan gangguan pada organisasi Anda. Dengan strategi pertahanan yang mendalam, bersama dengan rencana penahanan dan ketahanan yang tepat, kekuatan dunia maya organisasi Anda hanya dapat meningkat.

Gary Brickhouse adalah kepala petugas keamanan informasi GuidePoint Security.

Ransomware telah menjadi perhatian utama bagi banyak dari kita di industri keamanan siber karena kita telah melihat peningkatan jumlah serangan yang berdampak pada jaringan rumah sakit, pemerintah daerah, dan rantai pasokan yang lebih luas. Serangan ransomware pada perusahaan biasanya mengakibatkan hilangnya akses ke data dan sistem untuk beberapa periode waktu dan disertai dengan dampak finansial melalui hilangnya pendapatan dan uang yang dihabiskan untuk upaya pemulihan. Ketika serangan ransomware diarahkan ke perusahaan yang merupakan bagian dari rantai pasokan, itu dapat memiliki dampak yang jauh lebih luas karena hanya satu penyedia layanan yang dapat berdampak langsung pada ratusan atau ribuan perusahaan.

Memahami kesiapan organisasi Anda terhadap ancaman ransomware sangat penting, dan mengetahui bagaimana vendor dalam rantai pasokan Anda memasukkan faktor kesiapan kesiapan Anda adalah bagian penting dari keseluruhan strategi Anda.

Mencoba memastikan semua pertahanan Anda tercakup dan Anda telah melakukan semua yang Anda bisa untuk mencegah atau mengurangi dampak serangan ransomware bisa sangat melelahkan. Strategi yang kuat memiliki jangkauan yang jauh dan berlapis-lapis — mencakup arsitektur, titik akhir, pengguna, dan banyak lagi.

Jadi di mana Anda harus mulai? Pendekatan terstruktur dan logis dapat membantu mengatur beberapa pemahaman tentang kesiapan ransomware organisasi Anda. Untuk membantu melakukan ini, mari kita lihat tiga kategori utama:pencegahan, penahanan, dan pemulihan.

Pencegahan

Tujuan utama kami adalah untuk menjauhkan ransomware dari lingkungan kami, mencegahnya masuk sejak awal. Dari sikap defensif ini, kami perlu melihat infrastruktur Anda mulai dari kontrol perimeter hingga pengguna akhir. Meskipun kami dapat membahas topik ini secara panjang lebar, kami akan memfokuskan perhatian kami pada celah di mana ransomware paling sering diperkenalkan.

• Protokol desktop jarak jauh (RDP). Meskipun bukan teknologi baru atau vektor serangan baru, RDP telah menjadi target reguler karena kerentanan, kesalahan konfigurasi, atau kerentanan terhadap serangan brute force. Dengan peningkatan baru-baru ini dalam angkatan kerja jarak jauh dan peningkatan yang sesuai dalam penggunaan RDP, penyerang mengalami hari lapangan dengan target baru. Kegiatan pencegahan di sini termasuk membatasi jumlah port terbuka, kontrol otentikasi yang kuat (termasuk otentikasi multi faktor) dan program manajemen kerentanan yang solid.
• Phishing. Email phishing bisa sangat berbahaya karena dapat melewati banyak kontrol keamanan Anda yang memungkinkan konten berbahaya dikirim langsung ke tautan keamanan terlemah Anda — pengguna akhir. Email phishing biasanya mencoba untuk mendapatkan kredensial pengguna atau berisi lampiran atau tautan berbahaya, yang pada akhirnya memberikan jalur langsung kepada penyerang ke lingkungan Anda. Aktivitas pencegahan di sini mencakup penggunaan solusi keamanan email, pelatihan keamanan dan kesadaran untuk pengguna akhir, serta solusi deteksi dan respons titik akhir.

Pada akhirnya, teknik pencegahan yang direkomendasikan bukanlah hal baru. Mereka adalah prinsip utama yang sama yang telah didiskusikan oleh komunitas keamanan informasi selama beberapa waktu — membatasi apa yang dapat diakses dari internet, pemindaian kerentanan, patching, dan kontrol otentikasi yang kuat.

Penahanan

Jadi, terlepas dari upaya terbaik Anda, ransomware masuk ke lingkungan Anda. Bagaimana Anda bisa menghentikan penyebarannya? Pertimbangkan kebakaran di gedung:Strategi penahanan datang sebelum kebakaran yang sebenarnya melalui penggunaan firewall, bahan tahan api, dll. Ini sama untuk serangan seperti ransomware. Berikut adalah dua strategi penahanan utama:

• Penggunaan akun istimewa. Penyerang suka menargetkan akun istimewa karena mereka menyediakan akses tingkat tinggi ke sistem dan data serta izin yang diperlukan untuk mengeksekusi kode berbahaya. Penggunaan kembali kata sandi, kata sandi akun layanan yang disimpan dalam teks yang jelas, kata sandi yang mudah ditebak, dll. adalah masalah umum yang berkontribusi pada penyusupan akun.

Pendekatan holistik untuk pengelolaan akun istimewa adalah kuncinya di sini. Ini termasuk memahami akun istimewa apa yang Anda miliki dan apa yang mereka akses; bagaimana mereka digunakan (mis. admin domain vs. akun layanan); dan bagaimana akun tersebut diakses dan dikelola (misalnya penggunaan solusi pengelolaan akun istimewa).

• Segmentasi jaringan. Jaringan datar adalah skenario impian bagi penyerang. Setelah kredensial diperoleh, mereka dapat bergerak bebas di seluruh jaringan organisasi dan memiliki akses tak terbatas ke sistem dan data. Minimal, Anda harus menggunakan segmentasi untuk membatasi pergerakan lateral sebanyak mungkin sehingga penyerang akan lebih sulit melintasi jaringan Anda dan mendapatkan akses ke sistem dan data tambahan.

Pemulihan

Selain rencana respons insiden, rencana paling penting untuk membantu upaya pemulihan Anda adalah rencana ketahanan bisnis. Bagaimana bisnis akan terus berfungsi? Rencana ketahanan yang kuat akan membantu memulihkan fungsionalitas sistem bisnis inti Anda.

Vektor serangan umum untuk organisasi termasuk vendor pihak ketiga dalam rantai pasokan. Jadi bagaimana kita bisa mengidentifikasi dan mengurangi risiko yang ada pada vendor kita? Pertama, jawab pertanyaan kritis berikut:

• Siapa vendor Anda?
• Layanan apa yang disediakan setiap vendor untuk organisasi Anda?

Sebenarnya mengidentifikasi siapa vendor Anda bukanlah tugas yang mudah. Mungkinkah Anda memiliki vendor yang memiliki akses ke jaringan atau data Anda dan Anda tidak mengetahuinya? Sangat. Kenyataannya adalah ada kemampuan untuk langsung menuju solusi berbasis cloud dan dengan tidak lebih dari kartu kredit dan beberapa klik mouse, Anda sekarang memiliki vendor dengan akses ke data Anda. Jika Anda tidak tahu siapa mereka, tidak mungkin menilai risiko mereka terhadap organisasi Anda. Adapun apa yang mereka lakukan, vendor dalam rantai pasokan Anda dapat melakukan segala macam layanan. Beberapa secara inheren memberikan risiko yang lebih tinggi bagi perusahaan Anda berdasarkan data atau sistem internal yang mereka akses.

Menjawab pertanyaan-pertanyaan ini adalah titik awal yang bagus untuk melakukan aktivitas penilaian yang memadai terhadap vendor tersebut. Tujuannya adalah untuk mendapatkan kenyamanan yang memadai bahwa vendor memiliki kontrol yang sesuai untuk melindungi sistem atau data Anda berdasarkan layanan yang mereka sediakan untuk Anda. Ada banyak strategi penilaian untuk dimanfaatkan termasuk tinjauan sertifikasi seperti SOC atau ISO, kuesioner penilaian seperti SIG, hasil uji penetrasi, dll. Terlepas dari cara Anda mendekatinya, memvalidasi vendor Anda memiliki kontrol ini dapat mengurangi risiko organisasi Anda terkena dampak jika terjadi serangan.

Saat sistem menjadi lebih terhubung dan kompleks, penyerang mungkin masih menemukan jalan untuk menembus pertahanan Anda. Tetapi bersiap untuk serangan ransomware dapat secara signifikan mengurangi dampak dan gangguan pada organisasi Anda. Dengan strategi pertahanan yang mendalam, bersama dengan rencana penahanan dan ketahanan yang tepat, kekuatan dunia maya organisasi Anda hanya dapat meningkat.

Gary Brickhouse adalah kepala petugas keamanan informasi GuidePoint Security.