Persiapan Menghadapi Ransomware

Operasi ransomware baru-baru ini, seperti REvil dan Ryuk, telah menjadi ransomware yang dioperasikan manusia, di mana serangan tersebut dikendalikan oleh operator daripada menyebar secara otomatis. Untuk menangkal ini butuh persiapan menghadapi ransomware yang terarah dan komprehensif.

Serangan ransomware semacam itu biasanya memanfaatkan kelemahan keamanan yang dikenal untuk mendapatkan akses, yaitu yang umum digunakan pengguna.

Misalnya, sejumlah insiden ransomware baru-baru ini diperkirakan dimulai dengan konfigurasi Remote Desktop Protocol (RDP) yang tidak terkonfigurasi atau rentan atau praktik manajemen identitas dan akses (IAM) yang buruk.

Kredensial yang sebelumnya disusupi juga digunakan untuk mendapatkan akses ke sistem. Ini dapat diperoleh melalui broker akses awal atau dump data web gelap lainnya.

Begitu masuk, pelaku akan bergerak di dalam jaringan, mengidentifikasi data berharga, dan mengukur kontrol keamanan yang digunakan, seringkali menonaktifkan alat perlindungan titik akhir dan menghapus cadangan.

Ketika data telah diidentifikasi, itu dapat diunggah dan digunakan untuk pemerasan (doxxing), dan ransomware akan diluncurkan untuk mengenkripsi data tersebut.

Waktu tunggu antara bukti pertama aktivitas berbahaya dan penyebaran ransomware adalah lima hari, tujuannya adalah untuk memaksimalkan kemungkinan tebusan dibayarkan.

Ini seringkali berarti serangan tersebut mencakup ancaman untuk membuat data menjadi publik jika tebusan tidak segera dibayarkan.

Baca juga: Panduan Ransomware Singkat

1. Persiapan

Kita tahu bahwa pelaku jahat dimotivasi oleh keuntungan finansial, dan buktinya terlihat dimana mereka menambang data yang telah dieksfiltrasi untuk sumber tambahan pendapatan potensial.

Selama bertahun-tahun, komunitas keamanan dunia maya mengatakan ini bukan kasus “jika” Anda akan diserang, tetapi “kapan”.

Oleh karena itu, penting untuk memeriksa semua fase ini dan memastikan bahwa waktu dan upaya yang memadai dialokasikan untuk mempersiapkan pertahanan dan pencegahan insiden, sementara juga melakukan aktivitas deteksi, respons, dan pemulihan yang diperlukan.

Pemimpin keamanan TI harus bekerja berdasarkan asumsi bahwa serangan ransomware akan berhasil, dan memastikan bahwa organisasi siap untuk mendeteksinya sedini mungkin dan memulihkannya secepat mungkin.

Kemampuan untuk mendeteksi dan membendung serangan ransomware dengan cepat akan memiliki dampak terbesar pada pemadaman atau gangguan apa pun yang ditimbulkan.

Pertanyaan pertama dan paling umum adalah: haruskah uang tebusan dibayarkan? Pada akhirnya, ini harus menjadi keputusan bisnis.

Itu perlu dibuat di tingkat eksekutif atau dewan, dengan penasihat hukum. Lembaga penegak hukum merekomendasikan untuk tidak membayar, karena mendorong aktivitas kriminal yang berkelanjutan.

Dalam beberapa kasus, membayar uang tebusan dapat dianggap ilegal, karena mendanai aktivitas kriminal. Bagaimanapun, diskusi perlu dilakukan.

Ada beberapa contoh organisasi yang bekerja sama dengan penegak hukum selama insiden ransomware dan membuat keputusan untuk membayar karena itu adalah opsi terbaik untuk bisnis mereka. Sebuah survei baru-baru ini menemukan bahwa 46% perusahaan akhirnya membayar uang tebusan.

Jika pembayaran menjadi pertimbangan, penting untuk menetapkan tata kelola dan proses hukum yang mencakup CEO, dewan direksi, dan staf operasional utama.

Tidak disarankan bagi organisasi untuk bernegosiasi dengan aktor jahat tanpa bimbingan. Ini biasanya dilakukan oleh penyedia layanan negosiasi pihak ketiga.

Selain menjadi negosiator utama, mereka juga memiliki kemampuan untuk memfasilitasi pembayaran dan, dalam banyak kasus, menghapus persyaratan bisnis untuk mempertahankan cryptocurrency.

Baca juga: 4 Alasan Tidak Perlu Membayar Tebusan Ransomware

2. Cadangan dan Pemulihan

Proses dan strategi pencadangan yang baik adalah garis pertahanan utama untuk pemulihan data setelah ransomware.

Pastikan bahwa solusi pencadangan tahan terhadap serangan ransomware, dan terus pantau status dan integritas pencadangan.

Secara khusus, sebagian besar pemasok cadangan menyediakan mekanisme untuk membuat salinan sekunder cadangan atau snapshot yang tidak dapat diubah.

Pemulihan melampaui memulihkan data. Ransomware akan secara efektif mengunci mesin dengan catatan tebusan ransomware, dan memulihkan mesin ke keadaan baik yang diketahui bisa lebih rumit daripada memulihkan data. Memiliki alat dan proses untuk memulihkan titik akhir ke gambar emas dapat mempercepat waktu pemulihan.

Beberapa organisasi menggunakan perangkat USB untuk lokasi terpencil dan luar negeri. Gartner terkadang melihat klien bahkan tidak berusaha membersihkan atau memulihkan mesin.

Sebaliknya, peristiwa ransomware dipandang sebagai alasan untuk menyegarkan perangkat keras. Apapun prosesnya, itu harus disimulasikan secara teratur untuk mengungkap kekurangan.

3. Edukasi dan Teknologi

Praktik keamanan yang bersih sangat penting untuk melindungi dari ransomware yang “dioperasikan manusia”, dan diperlukan pandangan holistik dari keseluruhan organisasi.

a. Edukasi Pengguna

Salah satunya terus mendidik pengguna tentang jenis serangan yang terlihat dengan peringatan reguler dan buletin keamanan untuk memperkuat pendidikan.

Buat satu set pesan keamanan sederhana yang diulang secara teratur. Pengguna yang waspada tidak hanya akan lebih kecil kemungkinannya untuk tertipu oleh rekayasa sosial, tetapi mereka juga dapat bertindak sebagai peringatan dini.

Pastikan pengguna secara teratur dilatih tentang cara mengidentifikasi email jahat. Sediakan mekanisme yang mudah untuk melaporkan email yang mencurigakan dan perkuat dengan konfirmasi bahwa pengguna telah melakukan hal yang benar.

Baca juga: Serangan Multi Vektor Ransomware

b. Teknologi Tepat Guna

Pertimbangkan alat automasi dan respons orkestrasi keamanan yang berfokus pada email, seperti M-SOAR atau deteksi dan respons yang diperluas (XDR) yang mencakup keamanan email. Ini akan membantu Anda mengotomatiskan dan meningkatkan respons terhadap serangan email.

Secara khusus, alat deteksi dan respons titik akhir (EDR) dan deteksi dan respons jaringan (NDR) mengumpulkan indikator kompromi (IOC) dan peristiwa yang mengingatkan Anda akan perilaku anomali yang dapat mengindikasikan bahwa serangan “mungkin” sedang berlangsung. EDR juga dapat membantu mengidentifikasi “penggalian”, di mana serangan tetap diam sementara akun dan hak istimewa yang dikompromikan lebih lanjut dikumpulkan.

Memahami, menafsirkan, dan menyelidiki IOC dan peristiwa ini cenderung membutuhkan tingkat keahlian yang lebih tinggi. Semakin banyak, ini dibeli sebagai bagian dari solusi EDR atau sebagai solusi respons deteksi terkelola (MDR) yang lebih luas.

Menggunakan layanan ini dapat bermanfaat bagi organisasi yang tidak memiliki staf atau keahlian untuk menjalankan Security Operation Center (SOC) mereka sendiri.

Setelah serangan ransomware terdeteksi, sangat penting untuk meminimalkan dampaknya. Teknik yang paling umum adalah isolasi.

Ada berbagai teknik isolasi, dan banyak alat EDR menyediakan fungsionalitas isolasi pada perangkat untuk memungkinkan penanggap insiden mengisolasi mesin dari jaringan lainnya sambil memungkinkan akses jarak jauh untuk perbaikan dilakukan.

Isolasi berbasis jaringan lebih merupakan instrumen tumpul dan membutuhkan pelarangan perangkat yang dicurigai berdasarkan alamat MAC tingkat perangkat keras (karenanya pentingnya manajemen aset yang matang).

Ini diterapkan pada sakelar jaringan lokal, jaringan pribadi virtual (VPN), kontrol akses jaringan (NAC), dan titik akses Wi-Fi organisasi.

4. Perlindungan Tambahan

Security Email Gateway (SEG) dan Security Web Gateway (SWG) dapat memberikan lapisan perlindungan tambahan.

Teknologi seperti isolasi web juga dapat membatasi dampaknya. Gartner juga merekomendasikan penggunaan pengujian penetrasi untuk menemukan lubang di port RDP yang rentan guna mencegah pergerakan lateral melalui jaringan perusahaan.

Security Information Event Management (SIEM) dan NDR dapat membantu memberikan deteksi dini. Alat penipuan juga bisa efektif. Ini bisa sesederhana menyiapkan akun admin palsu yang tidak pernah benar-benar digunakan, sehingga jika ada upaya untuk menggunakannya, peringatan dapat dikirim.

Jenis iming-iming lainnya, seperti platform penipuan dan honeypots, juga dapat digunakan sebagai bagian dari strategi pertahanan ransomware.

Alat pemantauan dapat mengidentifikasi kapan enkripsi penyimpanan dipicu atau ketika ada peristiwa eksfiltrasi data yang signifikan.

Ransomware tidak seperti insiden keamanan lainnya, yang menempatkan organisasi yang terkena dampak pada penghitung waktu mundur. Setiap keterlambatan dalam proses pengambilan keputusan menimbulkan risiko tambahan.

Gartner merekomendasikan agar organisasi mengembangkan buku pedoman ransomware. Pedoman untuk membuat keputusan “bayar/tidak bayar” harus disertakan.

Layanan pihak ketiga seperti perusahaan negosiasi ransomware juga perlu diidentifikasi dan informasi kontak yang diperlukan tersedia. Selain itu, peran pencatat waktu diperlukan untuk melacak waktu respons yang tersisa sesuai dengan permintaan ransomware.

 

Baca lainnya:

 

Sumber berita:

 

WeLiveSecurity