Pernahkah Anda mendengar aturan 80/20? Aturan 80/20, disebut juga sebagai prinsip Pareto, dinamakan dari ahli ekonomi Italia, Vilfredo Pareto. Aturan ini menyebutkan bahwa 80% konsekuensi datang dari 20% penyebab. Meskipun hanya teori, aturan 80/20 telah digunakan secara empiris di berbagai aspek bisnis.
Keamanan siber juga tidak luput dari dari aturan 80/20. Misalnya, 80% serangan siber disebabkan karena 20% praktik keamanan siber yang lalai. Sebaliknya, aturan ini juga bisa berarti bahwa 20% praktik keamanan siber yang baik dapat mencegah 80% serangan siber.
Dengan kata lain, dapat dikatakan bahwa langkah-langkah keamanan siber tingkat dasar dapat melindungi organisasi Anda dari ancaman siber. Sebagai ilustrasi, mari kita lihat tiga serangan besar dan merugikan yang terjadi akibat miskonfigurasi sederhana saja, berikut ini.
3 serangan siber akibat miskonfigurasi
Berikut ini adalah 3 serangan siber yang terjadi akibat kesalahan konfigurasi keamanan siber:
1. Kebocoran data Capital One
Pada tahun 2019, data kartu kredit dari 100 juta nasabah Capital One Financial Corp. bocor ke internet. Penyebab utama kebocoran data ini adalah kesalahan konfigurasi firewall dalam infrastruktur Capital One, yang menyebabkan mantan karyawan Capital One dapat mengakses data pada server penyimpanan cloud AWS S3 dan mempublikasikannya ke GitHub.
2. Kebocoran data Microsoft Power Apps
Selama pandemi COVID-19, sekitar 38 juta data dari berbagai aplikasi web yang menggunakan Microsoft Power Apps bocor ke khalayak umum. Penyebab kebocoran data yang besar ini adalah miskonfigurasi dalam pengaturan default Microsoft Power Apps, di mana pengguna harus secara manual mengaktifkan pengaturan privasi untuk mengamankan file mereka. Pengguna yang tidak mengaktifkan pengaturan privasi membuat file mereka dapat diakses secara publik.
3. Serangan Mirai
Sejak 2016, malware Mirai, yang dikenal dengan botnet yang dapat menyebar sendiri, mengeksploitasi kesalahan konfigurasi umum pada perangkat IoT. Malware ini melakukan serangan brute-force pada perangkat IoT yang rentan dengan menggunakan kredensial default untuk mendapatkan akses tidak sah ke jaringan dan membangun botnet.
Kredensial default adalah kesalahan konfigurasi yang umum, tetapi dapat menjadi ancaman yang lebih besar bagi keamanan siber dibandingkan jenis kesalahan konfigurasi lainnya. Jika Anda adalah manajer SOC, berikut adalah 10 kesalahan konfigurasi utama yang harus Anda pantau.
10 kesalahan konfigurasi cybersecurity yang harus diperhatikan
National Security Agency (NSA) dan Cybersecurity and Infrastructure Security Agency (CISA), institusi keamanan siber Amerika Serikat, meluncurkan joint cybersecurity advisory (CSA) pada 2023 mengenai miskonfigurasi keamanan siber yang sering terjadi di perusahaan besar. Kesalahan konfigurasi ini dapat dianggap sebagai 20% masalah yang, jika tidak ditangani, dapat menyebabkan 80% serangan siber di jaringan Anda.
Berikut ini adalah miskonfigurasi yang diidentifikasi dan dipublikasikan oleh NSA dan CISA:
1. Konfigurasi default pada software dan aplikasi
Perangkat jaringan dan aplikasi perangkat lunak umumnya memiliki kredensial default bawaan dari pabrik. Mengganti kredensial default saat menginstal perangkat atau aplikasi ini sangat penting. Jika tidak diubah, kredensial default dapat menjadi jalan masuk bagi peretas untuk mengakses jaringan Anda.
2. Pemisahan privilege user dan administrator yang tidak jelas
Penting sekali untuk memisahkan akun admin (administrator) dan akun pengguna (user) serta mengevaluasi peran setiap akun sebelum memberikan hak akses istimewa (privilege). Biasanya, beberapa peran dapat diberikan kepada satu akun admin atau akun layanan untuk mengontrol domain. Namun, memberikan terlalu banyak hak akses kepada satu akun dapat menyebabkan risiko besar jika akun tersebut diretas.
3. Monitoring jaringan internal yang tidak memadai
Monitoring jaringan yang efektif dapat dicapai hanya dengan konfigurasi jaringan yang tepat. Kebanyakan perusahaan hanya mengonfigurasi host saja, yang memungkinkan host-based logging untuk monitoring berbasis host. Metode ini mampu mendeteksi perangkat yang terinfeksi, tetapi tidak dapat mengidentifikasi sumber kompromi.
Oleh karena itu, untuk mendapatkan monitoring jaringan internal yang lebih mendalam, Anda perlu mengonfigurasi semua perangkat dan aplikasi, termasuk router, switch, perangkat IoT, dan solusi keamanan endpoint seperti firewall dan solusi anti-malware yang memantau koneksi inbound dan outbound.
4. Kurangnya segmentasi jaringan
Pendekatan satu-untuk-semua tidak bisa digunakan untuk jaringan yang kompleks dan luas. Sering kali, privilege dan permission tidak sama di sepanjang jaringan, sehingga jaringan yang besar harus dibagi menjadi subnet yang lebih kecil.
Dengan membangi jaringan yang besar menjadi unit yang lebih mudah dikelola, Anda dapat mengatur batas-batas keamanan pada jaringan dan mengonfigurasi kontrol keamanan yang spesifik untuk setiap subjaringan.
Tanpa segmentasi jaringan, penyerang dapat bergerak bebas di dalam jaringan dan meningkatkan skala serangan mereka. Sebagai contoh, mereka dapat melakukan serangan supply chain dan serangan ransomware.
5. Manajemen patch yang buruk
Software dan firmware yang usang menjadi titik rentan bagi penyerang untuk mendapatkan akses ke jaringan Anda. Selain itu, software dan firmware bersifat sementara dan bisa saja tidak kompatibel dengan lingkungan IT Anda seiring waktu. Ketidaksesuaian ini ibarat jarum dalam tumpukan jerami, yang dapat melukai Anda jika lebih dulu ditemukan oleh penyerang.
Sebagai contoh, Log4Shell, kerentanan pada logging library Log4j Apache, pernah menjadi subjek eksploitasi zero-day pada 2021. Kerentanan zero-day ini memungkinkan penyerang melakukan eksekusi kode dari jarak jauh, mengakibatkan crypto mining, serangan ransomware, dan serangan DDoS pada sistem korban.
6. Bypass kontrol akses sistem
Menyimpan kredensial pengguna dapat memungkinkan penyerang melewati kontrol akses sistem yang ada. Saat ini, penyerang mampu membobol sistem autentikasi tanpa perlu mengetahui password atau kode keamanan yang sebenarnya.
Serangan seperti brute-force dan password spray dilakukan dengan menggunakan kredensial yang dicuri, sehingga memberikan akses awal bagi penyerang untuk melancarkan serangan siber yang lebih canggih.
7. Metode multi-factor authentication (MFA) yang lemah atau salah dikonfigurasi
Proses login dengan kata sandi konvensional kini mulai digantikan oleh metode MFA seperti smart card dan smart token. Namun, saat organisasi Anda beralih ke metode autentikasi baru, Anda mungkin melupakan kebijakan kata sandi sebelumnya. Padahal, hash dari kata sandi yang sudah tidak digunakan tetap ada dan masih dapat dimanfaatkan oleh peretas untuk menyusup ke jaringan Anda.
8. Access control lists (ACLs) yang tidak memadai pada bagian jaringan dan layanan
ACL jaringan mencakup semua izin (permission) yang terkait dengan resource jaringan. Ketika Anda tidak mengatur ACL dengan baik pada resource jaringan yang dibagikan, orang yang tidak berwenang dapat mengakses data sensitif, repositori, dan informasi administratif yang disimpan di drive bersama.
Pelaku ancaman dapat mengakses data sensitif Anda yang dibagikan bersama dengan menggunakan perintah tertentu, tool open-source, atau malware khusus. Data ini mungkin berisi informasi identitas pribadi (personally identifiable information atau PII), kredensial aplikasi web dan akun layanan, tiket layanan, serta informasi lainnya yang terkait dengan jaringan Anda seperti topologi jaringan, laporan scan kerentanan, dan data threat modelling.
Semua inforamsi tersebut dapat diambil untuk melakukan serangan ransomware, serangan DDoS, atau serangan social engineering. Oleh karena itu, sangat penting untuk memeriksa semua izin yang terkait dengan resource jaringan Anda.
9. Kredensial yang tidak aman
Kredensial yang tidak aman merujuk pada penggunaan password yang mudah diretas, MFA yang tidak dikonfigurasi dengan baik, dan penyimpanan password yang tidak dijaga. Kredensial ini dapat bocor jika password dalam bentuk teks atau hash password dicuri oleh pelaku ancaman.
Oleh karena itu, penting untuk menerapkan kebijakan password yang sesuai dengan pedoman NIST, termasuk mengonfigurasi MFA yang tahan terhadap phishing untuk mengamankan titik akses ke jaringan Anda.
10. Eksekusi kode yang tidak terkendali
Penting sekali untuk mengetahui semua executable file pada jaringan Anda. Sebab, penyerang biasanya menipu pengguna agar mengklik email phishing yang secara otomatis mengeksekusi skrip dan kode berbahaya di balik layar.
Menurut laporan bersama dari CISA dan NSA, pelaku ancaman menjalankan kode yang tidak diverifikasi dalam bentuk executable, dynamic link libraries (DLLs), aplikasi HTML, dan macros (skrip yang digunakan dalam dokumen otomatisasi perkantoran) untuk mengeksploitasi jaringan setelah mendapatkan akses awal.
Anda dapat mencegah eksekusi kode berbahaya ini dengan mengaktifkan pengaturan sistem yang mencegah proses download dari sumber tidak diverifikasi. Selain itu, Anda juga dapat mencegah eksekusi program dengan menganalisis atribut tanda tangan, sertifikat, dan key digital.
Penyerang terus mencari celah untuk mengeksploitasi 20% kesalahan konfigurasi keamanan siber dalam jaringan Anda. Untuk mencegah karyawan jatuh dalam jebakan ini, tim SOC Anda perlu mengevaluasi dan menyesuaikan jaringan agar terbebas dari kesalahan konfigurasi yang disebutkan di atas. Bagaimana caranya? Berinvestasi pada solusi SIEM seperti ManageEngine Log360 adalah langkah pertama untuk melindungi organisasi Anda dari dampak kesalahan konfigurasi keamanan siber.
Inilah alasan mengapa Log360 mampu mengamankan jaringan Anda:
-
Mendapatkan visibilitas secara menyeluruh terhadap jaringan Anda dengan real-time logging dan predefined audit reports.
-
Memantau aktivitas pengguna privilege dan lateral movement dengan predefined correlation rule.
-
Melindungi jaringan dari potensi ancaman dengan alert real-time.
-
Melacak aktivitas pengguna yang mencurigakan dengan UEBA (User and Entity Behavior Analytics).
-
Mencegah potensi serangan dengan respons insiden otomatis.
-
Ingin tahu lebih lanjut? Daftar untuk mendapatkan demo yang dipersonalisasi untuk Anda.
