FinTechnesia.com | Di tengah pandemi, banyak pekerjaan dilakukan dari rumah. Pekerjaan ini membutuhkan akses jarak jauh alias remote. Dan ternyata ini menjadi incara penjahat siber.
Hampir sepertiga (30%) dari serangan siber yang diselidiki tim Tanggap Darurat Global Kaspersky atau Kaspersky Global Emergency Response Team pada tahun 2019 ternyata melibatkan alat manajemen dan administrasi jarak jauh yang sah. Akibatnya, para pelaku kejahatan siber tidak terdeteksi untuk jangka waktu lebih lama.
Serangan spionase siber berkelanjutan dan pencurian data rahasia memiliki durasi rata-rata selama 122 hari. Temuan ini berasal dari Laporan Analisis Respon Insiden terbaru Kaspersky.
Perangkat lunak pemantauan (monitoring) dan manajemen dapat membantu TI dan administrator jaringan melakukan tugas sehari-hari mereka. Namun, pelaku kejahatan siber juga dapat memanfaatkan alat sah ini selama terjadi serangan dunia maya.
Analisis data anonim kasus respons insiden (IR) menunjukkan, sebanyak 18 alat sah disalahgunakan aktor ancaman untuk tujuan berbahaya. Salah satu yang paling banyak digunakan PowerShell (25% kasus). Alat administrasi ini dapat digunakan untuk berbagai tujuan,.Mulai mengumpulkan informasi hingga menjalankan malware.
Menyusul PsExec yang dimanfaatkan dalam 22% serangan. Aplikasi konsol ini untuk proses peluncuran pada titik akhir jarak jauh. Kemudian diikuti oleh SoftPerfect Network Scanner (14%). Tujuannya mengambil informasi tentang lingkungan sekitar jaringan.
Lebih sulit bagi solusi keamanan mendeteksi seranga menggunakan alat yang sah. Tindakan ini dapat dianggap sebagai bagian aktivitas kejahatan siber yang direncanakan atau tugas administrator sistem reguler.
Namun, para ahli Kaspersky mencatat, terkadang tindakan berbahaya yang menggunakan perangkat lunak sah mengungkapkan dirinya lebih cepat. Untuk menghindari deteksi dan tetap tidak terlihat, para aktor ancaman banyak menggunakan perangkat lunak yang dikembangkan untuk aktivitas pengguna normal, tugas administrator, dan diagnostik sistem.
Dengan alat ini, mereka dapat mengumpulkan informasi tentang jaringan perusahaa. Kemudian melakukan gerakan lateral, mengubah pengaturan perangkat lunak dan perangkat keras. Bahkan melakukan beberapa bentuk tindakan berbahaya. Misalnya, mereka dapat menggunakan perangkat lunak yang sah untuk mengenkripsi data pelanggan.
Perangkat lunak yang sah juga dapat membantu para aktor ancaman tetap di bawah radar analis keamanan. Mereka sering mendeteksi serangan hanya setelah kerusakan telah dilakukan.
“Tidak mungkin tidak menggunakan alat ini karena berbagai alasan. Tapi sistem logging dan pemantauan yang diterapkan dengan tepat akan membantu mendeteksi aktivitas mencurigakan di jaringan dan serangan kompleks pada tahap awal,” terang Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.pekan lalu.
Meminimalkan kemungkinan perangkat lunak manajemen jarak jauh digunakan dalam menembus infrastruktur, Kaspersky merekomendasikan beberapa langkah.
• Batasi akses ke alat manajemen jarak jauh dari alamat IP eksternal. Pastikan antarmuka kendali jarak jauh hanya dapat diakses dari sejumlah titik akhir yang dibatas
• Terapkan kebijakan kata sandi yang ketat untuk seluruh sistem TI dan terapkan otentikasi multi-faktor
• Ikuti prinsip penawaran hak istimewa terbatas bagi staf dan hanya memberikan akun dengan hak istimewa tinggi kepada pihak yang membutuhkan untuk memenuhi pekerjaan mereka