Blog

3 tindakan yang harus diambil berdasarkan serangan ransomware Colonial Pipeline

lookoutRansomware telah menjadi duri bagi tim keamanan siber selama beberapa tahun terakhir. Ketika ancaman keamanan lainnya datang dan pergi, ancaman berbahaya ini telah menjadi tantangan konstan bagi setiap organisasi.

Setahun terakhir ini terbukti sangat menguntungkan bagi operator ransomware, karena organisasi besar seperti United Health Services, Orange, dan Acer telah menjadi korban serangan ini.

Korban terakhir adalah Colonial Pipeline, pemilik sistem pipa terbesar di AS, yang terpaksa menghentikan operasinya dan membayar $ 5 juta sebagai tebusan. Laporan awal menyebutkan banyak kesalahan langkah arsitektur dan keamanan termasuk memiliki VPN yang lemah, server Microsoft Exchange yang belum ditambal dengan kerentanan kritis, dan protokol jaringan yang terbuka untuk umum yang dapat dieksploitasi.

Grup ransomware sekarang beroperasi seperti bisnis. Ada lebih banyak bukti dari kelompok terorganisir yang melaksanakan kampanye yang dapat diskalakan yang meningkatkan tingkat keberhasilan mereka dan memungkinkan mereka untuk berinvestasi kembali pada alat dan prosedur baru. Terlepas dari di mana atau bagaimana kami bekerja, kelompok-kelompok ini terus memanfaatkan arsitektur yang rentan untuk memeras uang dari para korban.

Lingkungan jarak jauh dipersiapkan untuk ransomware

Karena organisasi terus mendukung pekerjaan jarak jauh atau hibrida, mereka tidak lagi memiliki visibilitas dan kendali yang pernah mereka miliki di dalam batasan mereka. Penyerang memanfaatkan kelemahan ini dan mengambil untung. Berikut tiga alasan mengapa mereka dapat melakukannya:

Visibilitas dan kontrol telah berubah. Sebagian besar organisasi sekarang memiliki karyawan yang bekerja dari mana saja. Karyawan ini mengharapkan akses tanpa batas ke semua sumber daya dari perangkat yang tidak dikelola dan pribadi di jaringan di luar batas tradisional. Ini sangat mengurangi visibilitas dan kontrol yang dimiliki tim keamanan dan dapat mempersulit pemahaman risiko yang ditimbulkan oleh pengguna dan perangkat tempat mereka bekerja.

Perangkat seluler memudahkan penyerang untuk menipu kredensial. Penyerang selalu mencari cara rahasia untuk masuk ke infrastruktur Anda. Mengompromikan kredensial karyawan memungkinkan mereka mendapatkan akses yang sah dan tetap tidak terdeteksi.

Taktik utama mereka untuk mencuri kredensial adalah menipu karyawan di perangkat seluler. Karena ponsel cerdas dan tablet digunakan untuk pekerjaan dan alasan pribadi, karyawan dapat ditargetkan melalui berbagai aplikasi seperti SMS, platform media sosial, dan aplikasi perpesanan pihak ketiga. Antarmuka pengguna ponsel atau tablet yang disederhanakan menyembunyikan tanda-tanda phishing dan menjadikannya target tepat untuk kampanye phishing yang direkayasa secara sosial.

VPN memungkinkan gerakan lateral. Organisasi mengandalkan VPN untuk memberi karyawan mereka akses jarak jauh ke sumber daya, tetapi pendekatan ini memiliki sejumlah kekurangan keamanan. Pertama, VPN memberikan akses tak terbatas kepada siapa pun yang terhubung, artinya siapa pun yang masuk dapat dengan bebas mengakses aplikasi apa pun di infrastruktur Anda. Kedua, VPN tidak mengevaluasi konteks di mana pengguna atau perangkat terhubung. Konteks diperlukan untuk mendeteksi aktivitas anomali yang mengindikasikan akun atau perangkat yang disusupi.

 

Tiga hal yang dapat Anda lakukan untuk melindungi dari ransomware

Serangan ransomware tidak ke mana-mana. Jika ada, para pelaku ancaman ini telah menjadikan operasi mereka sebagai perusahaan, menciptakan kampanye yang dapat diskalakan, berulang, dan menguntungkan. Meskipun tidak ada solusi ampuh untuk membuktikan ransomware organisasi Anda, ada sejumlah pendekatan Zero Trust yang dapat mengurangi risiko.

Kaji risiko secara terus menerus. Langkah pertama untuk mengurangi ransomware adalah melihat tingkat risiko perangkat dan pengguna untuk memastikan mereka tidak disusupi. Dengan terus menilai tingkat risiko perangkat seluler karyawan Anda, Anda meminimalkan kemungkinan mereka disusupi oleh serangan phishing. Untuk memastikan akun karyawan Anda tidak disusupi, Anda juga perlu memantau perilaku mereka sehingga Anda dapat mengidentifikasi aktivitas berbahaya.

Menerapkan kontrol akses terperinci dan dinamis. Anda harus menjauh dari pendekatan VPN semua atau tidak sama sekali. Alih-alih memberikan akses tak terbatas, berikan akses hanya ke aplikasi dan data tertentu yang dibutuhkan setiap karyawan. Akibatnya, jika penyerang menyusupi perangkat atau akun mereka, pergerakan mereka dibatasi.

Modernkan aplikasi lokal Anda. Banyak organisasi masih memiliki perangkat lunak yang dihosting di pusat data dan dapat diakses dari internet. Untuk memastikan keamanannya, perbarui dengan kebijakan akses cloud yang menutupi aplikasi - menyembunyikannya dari internet publik tetapi tetap memungkinkan pengguna yang berwenang untuk mengaksesnya dari mana saja. Hal ini tidak hanya memberikan kontrol akses terperinci, tetapi juga memperluas manfaat keamanan otentikasi yang kuat yang dimiliki aplikasi SaaS dan memastikan tidak ada pengguna yang tidak sah yang dapat menemukan dan mengakses infrastruktur Anda.

Untuk mempelajari selengkapnya tentang bagaimana Anda bisa mengimplementasikan langkah-langkah ini, lihat solusi Lookout Zero Trust Network Access (ZTNA).

Leave a comment