Menghadapi Ancaman Siber: Taktik Deteksi & Respons

By Admin in Berita Keamanan Siber

Berita Keamanan Siber
Dalam satu dekade terakhir, ancaman siber dari aktor negara atau nation-state cyber threats telah mengalami evolusi yang sangat signifikan. Pelaku ancaman ini, yang biasanya didukung oleh pemerintah dan memiliki sumber daya besar, telah beralih dari serangan satu kali menjadi upaya jangka panjang untuk menyusup dan bertahan dalam sistem jaringan target. Mereka menggunakan teknik-teknik canggih untuk tetap tersembunyi, dengan tujuan utama seperti mata-mata digital, sabotase, hingga pencapaian keunggulan strategis dalam konflik geopolitik.

Strategi Deteksi Lanjutan untuk Menghadapi Teknik Persistensi Modern
Mendeteksi kehadiran aktor negara dalam jaringan organisasi tidak bisa hanya mengandalkan antivirus biasa atau sistem deteksi intrusi tradisional. Dibutuhkan pendekatan berlapis dan cerdas untuk mengidentifikasi aktivitas mencurigakan dengan cepat dan akurat.

  1. Analitik Perilaku dan Deteksi Anomali
    Salah satu metode paling efektif dalam mendeteksi teknik persistensi lanjutan adalah dengan analitik perilaku. Sistem keamanan yang baik harus mampu membangun "baseline" atau pola aktivitas normal pengguna dan sistem, kemudian mendeteksi setiap penyimpangan dari pola tersebut.
    Contohnya, jika sebuah akun layanan tiba-tiba menjalankan skrip PowerShell atau mengakses file sensitif di luar jam kerja normal, hal itu bisa menjadi indikasi aktivitas jahat. Alat deteksi anomali juga bisa memantau lalu lintas jaringan yang tidak biasa, seperti pengiriman data ke server eksternal yang mencurigakan atau pergerakan lateral antar sistem internal.
    Menggabungkan teknologi Endpoint Detection and Response (EDR) dengan analisis lalu lintas jaringan (Network Traffic Analysis/NTA) dapat memberikan visibilitas menyeluruh baik pada tingkat host maupun jaringan. Ini meningkatkan kemungkinan untuk mendeteksi ancaman yang sangat terselubung.
  2. Pemantauan Teknik Living-Off-The-Land (LOTL)
    Karena teknik LOTL mengandalkan alat sistem yang sah, organisasi perlu memantau dengan ketat setiap penggunaan alat tersebut. Ini termasuk PowerShell, WMI, command prompt, dan lainnya.
    Beberapa indikator yang perlu diwaspadai antara lain:
    • Penggunaan argumen command-line yang tidak biasa atau menjalankan skrip aneh
    • Pembuatan atau perubahan tugas terjadwal (scheduled task) dan layanan (services)
    • Perubahan tidak sah pada registry atau konfigurasi sistem
  3. Selain itu, mekanisme persistensi seperti entri startup baru, konfigurasi boot yang dimodifikasi, atau pembaruan firmware yang mencurigakan harus diawasi secara ketat. Korelasi dari log aktivitas dengan feed intelijen ancaman akan sangat membantu dalam menghubungkan aktivitas tersebut dengan kelompok aktor negara tertentu.

Kerangka Tanggapan Efektif terhadap Serangan Aktor Negara
Setelah suatu serangan dari aktor negara terdeteksi, respons yang cepat dan terkoordinasi menjadi sangat penting untuk meminimalkan kerusakan dan mencegah serangan ulang. Kerangka respons yang efektif tidak hanya mengandalkan aspek teknis, tetapi juga kesiapan organisasi secara menyeluruh.

  1. Isolasi dan Pemberantasan
    Langkah pertama adalah melakukan isolasi pada sistem yang terdampak, mencabut kredensial yang telah dikompromikan, dan memblokir lalu lintas jaringan yang mencurigakan. Dalam tahap ini, sangat penting untuk menjaga bukti forensik guna kepentingan investigasi lebih lanjut dan atribusi.
    Pemberantasan membutuhkan pemahaman mendalam tentang teknik persistensi yang digunakan oleh penyerang.
    Tim keamanan harus:
    • Mengidentifikasi dan menghapus seluruh backdoor, skrip jahat, dan akun tidak sah
    • Mengembalikan sistem dari cadangan (backup) yang terpercaya
    • Menambal celah keamanan dan memperbarui kontrol keamanan
  2. Mengingat kecanggihan aktor negara, sering kali mereka menyiapkan beberapa metode persistensi cadangan. Oleh karena itu, pemberantasan menyeluruh bisa mencakup analisis firmware, inspeksi perangkat keras, hingga kerja sama dengan vendor atau pakar keamanan eksternal.

  3. Pemulihan Pasca Insiden dan Evaluasi
    Setelah proses pemberantasan selesai, fokus utama organisasi harus beralih ke pemulihan operasional dan peningkatan ketahanan.
    Langkah-langkah yang harus dilakukan antara lain:
    • Mengembalikan layanan penting dan memastikan sistem berjalan normal
    • Menginformasikan insiden kepada pemangku kepentingan terkait
    • Melakukan tinjauan pasca insiden yang mencakup:
      • Jalur serangan dan celah yang dieksploitasi
      • Efektivitas deteksi dan respons
      • Kekurangan dalam kontrol keamanan atau proses internal
  4. Pelajaran dari insiden ini sebaiknya diterjemahkan ke dalam perbaikan rencana respons insiden, pelatihan karyawan, dan perbaikan arsitektur keamanan. Selain itu, berbagi informasi ancaman (dalam bentuk anonim) dengan rekan industri dan lembaga pemerintah dapat membantu meningkatkan pertahanan kolektif terhadap serangan serupa di masa mendatang.

Sumber ; https://csirt.or.id/tips-trik/deteksi-respons-ancaman-siber

Back to Posts