Waspadai Ancaman Advanced Persistent Threat (APT) dan Cara Mencegahnya

Diam-diam menghanyutkan adalah istilah yang tepat untuk mendeskripsikan serangan Advanced Persistent Threat (APT). Serangan siber ini sering kali tidak terdeteksi dengan segera dan baru bisa diidentifikasi setelah pelakunya mencuri banyak data sensitif organisasi. Itulah mengapa, APT menjadi salah satu serangan siber yang dinilai sangat berbahaya.

Mengingat dampaknya yang tidak main-main, penting bagi Anda untuk memahami dengan baik apa itu APT dan bagaimana cara mencegahnya. Pada blog ini, kami akan membahasnya selengkapnya, termasuk tool yang bisa digunakan untuk melindungi sistem dari serangan APT.

 

Apa itu Advanced Persistent Threat (APT)?

Advanced Persistent Threat (APT) adalah serangan siber di mana pelakunya menyusup ke jaringan secara diam-diam dan mencuri data sensitif organisasi. Serangan ini dinilai cukup berbahaya karena pelakunya akan berusaha bertahan selama mungkin di jaringan dan mengambil sebanyak mungkin data dalam waktu tersebut. Proses ini dilakukan secara diam-diam dalam jangka panjang, tanpa langsung ketahuan.

Biasanya, APT akan menyerang organisasi-organisasi besar yang menyimpan banyak data sensitif, seperti badan pemerintahan atau perusahaan di bidang keuangan. Semakin besar organisasinya, maka APT bisa dikatakan semakin sukses karena data yang diambil juga semakin berharga.

 

Bagaimana serangan APT terjadi?

Serangan APT memiliki berbagai bentuk dan mengikuti beragam vektor serangan, namun biasanya melalui tiga tahap yang sama yaitu:

1. Infiltrasi (Masuk ke jaringan)

Infiltrasi atau masuknya pelaku kejahatan siber ke dalam jaringan merupakan awal dari serangan APT. Biasanya, pelaku akan menyusup ke jaringan melalui teknik social engineering seperti email phishing, eksploitasi vulnerability, dan injeksi malware. Setelah berhasil masuk, pelaku akan langsung mencari cara untuk tetap berada di sistem tanpa ketahuan.

2. Pergerakan lateral

Setelah masuk ke jaringan, pelaku kejahatan siber tidak akan langsung mengambil data. Mereka akan bergerak terlebih dahulu dalam jaringan secara lateral. Mereka akan mencari celah lain, membuka akses ke komputer lain, dan membuat semacam "jalan rahasia" agar bisa masuk kapan saja. Tujuannya untuk memastikan mereka bisa tetap masuk ke jaringan, meskipun ada satu "pintu" yang ketahuan. Tak hanya itu, mereka juga akan mencoba menaikkan hak akses—misalnya dari user biasa jadi admin—untuk bisa mengontrol lebih banyak bagian dari sistem.

3. Data exfiltration

Langkah terakhir dari serangan APT adalah eksfiltrasi data. Sebelum data diambil, biasanya pelaku APT mengamankan sebanyak mungkin data yang akan dicuri ke dalam lokasi jaringan terproteksi. Data ini umumnya akan dikompres dan dienkripsi agar tidak ketahuan oleh sistem keamanan.

Saat mengambil data, pelaku APT juga akan melancarkan serangan lain untuk mengalihkan perhatian tim keamanan, misalnya serangan denial-of-service (DDoS). Dengan demikian, mereka dapat mengambil data berkali-kali dalam waktu yang lama, sebelum akhirnya diketahui oleh tim terkait.

 

Bagaimana cara mendeteksi serangan APT?

Mendeteksi serangan APT mungkin sulit dilakukan, karena pelakunya bertindak secara diam-diam. Akan tetapi, ada beberapa indikator yang bisa Anda jadikan acuan untuk mendeteksi serangan APT sejak dini, yaitu:

  • Perilaku jaringan yang aneh: Misalnya aktivitas outbound traffic besar-besaran meskipun tidak ada aktivitas signifikan dari user, atau adanya koneksi ke IP asing yang mencurigakan.

  • Kegagalan login berulang: Jika ada kegagalan login berulang, apalagi dari lokasi yang tidak biasa, bisa jadi itu adalah percobaan serangan brute-force oleh pihak luar.

  • Aktivitas user yang tidak biasa: Contohnya user biasa mengakses data jam 9 pagi hingga jam 5 sore, namun tiba-tiba ada aktivitas user jam 2 pagi atau dari perangkat lain.

  • Adanya backdoor Trojan: Backdoor Trojan berfungsi sebagai jalan masuk serangan yang tersembunyi, memungkinkan akses dan aktivitas remote dilakukan tanpa izin. Jika Anda mendeteksi backdoor Trojan, maka ada kemungkinan besar serangan APT sedang terjadi.

Untuk mendeteksi serangan APT, berikut tool yang bisa Anda gunakan:

1. Framework MITRE ATT&CK

Untuk mendeteksi APT, Anda dapat memanfaatkan framework MITRE ATT&CK yang dirancang berdasarkan kasus nyata. Framework ini membantu organisasi mengenali berbagai taktik, teknik, dan prosedur yang digunakan oleh pelaku serangan APT.

Solusi seperti ManageEngine Log360 memiliki dashboard MITRE ATT&CK yang menyediakan informasi lengkap tentang berbagai indikator serangan, termasuk credential access, exfiltration, privilege escalation, dan lateral movement. Dengan demikian, Anda dapat mengidentifikasi dan menghentikan APT di setiap tahap serangan.

2. Event correlation

Event correlation memungkinkan analisis log dari berbagai sumber seperti firewall, endpoint, server, dan aplikasi. Analisis ini dilakukan untuk menemukan pola mencurigakan dan mengidentifikasi serangan dalam sistem.

Pada Log360, fitur event correlation memudahkan tim keamanan dalam mendeteksi serangan yang mungkin sedang berlangsung, tapi sulit diketahui. Dengan korelasi, tim bisa mempercepat penemuan akar masalah dan respons insiden.

3. Real-time monitoring

Real-time monitoring berfungsi untuk memberi visibilitas terhadap aktivitas jaringan secara real-time. Melalui monitoring ini, deteksi awal terhadap aktivitas mencurigakan atau tidak sah bisa dilakukan.

Log360 memiliki fitur real-time monitoring yang didukung alert otomatis untuk berbagai skenario, seperti anomali login, perubahan file sensitif, atau aktivitas tidak sah. Dengan demikian, tim bisa mengambil tindakan segera sebelum serangan APT berkembang lebih jauh.

4. UEBA

UEBA atau User and Entity Behavior Analytics adalah tool untuk menganalisis perilaku user yang tidak normal. Tujuannya untuk mengidentifikasi insider threat, akun yang bocor, atau serangan APT yang memanfaatkan kredensial sah.

ManageEngine Log360 dilengkapi dengan UEBA yang memanfaatkan machine learning untuk mempelajari baseline aktivitas normal. UEBA pada Log360 juga bisa memunculkan alert ketika terjadi penyimpangan dari baseline tersebut.

 

Bagaimana cara mencegah serangan APT?

Mengingat serangan PAM sangat berbahaya, Anda perlu mengambil langkah preventif agar serangan ini tidak bisa masuk atau berkembang. Berikut beberapa strategi pencegahan yang bisa diterapkan.

1. Menerapkan prinsip zero trust dan least privilege access

Serangan APT banyak memanfaatkan kredensial sah untuk mengakses sistem internal. Hal ini bisa dicegah dengan prinsip Zero Trust dan least privilege access. Prinsip Zero Trust menganggap bahwa tidak ada user atau perangkat yang bisa dipercaya secara default, sementara prinsip least privilege memastikan user hanya punya akses ke data atau sistem yang benar-benar mereka perlukan.

Untuk mengelola prinsip Zero Trust dan least privilege access, Anda bisa memanfaatkan solusi IAM seperti ManageEngine AD360. Dengan AD360, Anda bisa memantau dan mengelola akses secara real-time dan granular, mendeteksi anomali dalam akses pengguna, serta menerapkan multi-factor authentication (MFA).

2. Menerapkan patch management dan update antivirus

Serangan APT sering masuk melalui vulnerability atau kerentanan software yang belum diperbaiki. Karena itulah, sistem dan aplikasi perlu selalu diperbarui.

Caranya adalah menggunakan solusi patch management  seperti Endpoint Central dari ManageEngine. Dengan Endpoint Central, Anda bisa memindai vulnerability secara otomatis, mengelola patch di seluruh OS dan aplikasi, serta menyediakan laporan patch yang komprehensif.

Selain itu, Anda juga perlu memastikan antivirus selalu diperbarui secara berkala untuk mendeteksi malware yang digunakan di tahap awal APT.

3. Memanfaatkan threat intelligence dan threat hunting

Untuk mencegah APT, Anda memerlukan strategi yang lebih proaktif dan berbasis intelijen, seperti threat intelligence dan threat hunting. Threat intelligence adalah informasi yang dikumpulkan, dianalisis, dan digunakan untuk memahami potensi ancaman siber. Sementara itu, threat hunting adalah proses aktif mencari ancaman siber yang sudah menyusup ke jaringan tetapi belum terdeteksi oleh sistem keamanan otomatis.

ManageEngine Log360 memungkinkan organisasi untuk mengintegrasikan threat feed pihak ketiga, mendeteksi pola serangan berdasarkan threat intelligence, serta melakukan threat hunting dengan log event dan perilaku user. Dengan begitu, tim security bisa segera mengetahui aktivitas APT yang tersembunyi.

4. Mengedukasi karyawan tentang phishing

Salah satu jalan masuk APT adalah lewat phishing. Di dunia kerja, phishing ini sering kali disebarkan melalui email palsu berisi link mencurigakan. Jika ada karyawan yang mengklik link tersebut, serangan APT bisa masuk dan menyebar dalam sistem.

Oleh karena itu, beri edukasi tentang keamanan siber kepada karyawan. Ajarkan tim untuk mewaspadai email mencurigakan, memverifikasi sumber, dan melaporkan insiden. Selain itu, lakukan simulasi phishing secara rutin.

5. Memperkuat perlindungan endpoint dan email

Karena serangan APT sering masuk melalui phishing atau eksploitasi perangkat, perlindungan di sisi endpoint dan email sangat penting. Solusi yang mampu mengelola keamanan endpoint dan email pun sangat dibutuhkan.

ManageEngine Endpoint Central bisa mengatur kebijakan keamanan di seluruh perangkat dan menerapkan kontrol anti-phishing di semua browser yang digunakan di laptop, tablet, dan smartphone.

Lalu, untuk perlindungan email, ManageEngine AD360 adalah tool yang tepat. Tool ini bisa memindai isi email untuk mendeteksi pengirim mencurigakan serta memberikan peringatan jika ada email dari domain yang tidak dikenal atau berisi pola aneh.

Lindungi organisasi Anda dari ancaman tersembunyi seperti advanced persistent threat (APT). Coba langsung bagaimana solusi dari ManageEngine bisa bantu deteksi lebih cepat, cegah lebih awal, dan tangani serangan dengan lebih efisien.

Jadwalkan demo gratis sekarang, temukan solusi yang tepat untuk kebutuhan Anda!