Month: February 2025

Untuk membantu sektor infrastruktur kritis dalam memantau jaringannya terhadap Salt Typhoon dan ancaman persisten tingkat lanjut (APT) yang disponsori negara lainnya, CISA, NSA, FBI, dan empat lembaga mitra internasional telah mengeluarkan panduan penguatan keamanan sepanjang sembilan halaman. Panduan ini menekankan pentingnya peningkatan visibilitas jaringan secara signifikan. “Sulit untuk melebih-lebihkan betapa merusaknya APT Salt Typhoon,” kata Mark Bowling, Chief Information Security and Risk Officer di ExtraHop. Ia merujuk pada aktor ancaman yang disponsori oleh pemerintah Tiongkok, yang berhasil menyusup ke jaringan setidaknya selusin penyedia telekomunikasi, mencuri catatan panggilan pelanggan, serta mengakses komunikasi pribadi pejabat pemerintah dan politik AS dalam upaya mengumpulkan komunikasi terenkripsi. “Dari perspektif keamanan nasional, Salt Typhoon empat hingga lima kali lebih buruk daripada SolarWinds,” tambah Bowling, yang menjadi CISO setelah berkarier selama 20 tahun sebagai agen FBI yang menyelidiki kejahatan siber dan terorisme. “Serangan ini dapat menyebabkan kerusakan yang tidak dapat diperbaiki, menghambat, atau bahkan menghentikan berbagai investigasi kontra-intelijen, intelijen asing, dan kontra-terorisme.” Panduan dari CISA berfokus pada pentingnya visibilitas jaringan, karena Salt Typhoon awalnya memperoleh akses ke lingkungan perusahaan telekomunikasi dengan mengeksploitasi perangkat rentan yang terpapar ke internet publik. Aktor ancaman ini juga memanfaatkan kerentanan yang sudah diketahui pada perangkat jaringan untuk mempertahankan keberadaannya, serta menggunakan alat sah seperti PowerShell dan Windows Management Instrumentation Command-line (WMIC) guna menghindari deteksi saat melakukan pengintaian, pergerakan lateral, dan pencurian data. Dengan visibilitas dan pemantauan jaringan yang lebih baik—termasuk kemampuan untuk mendekripsi lalu lintas dan protokol terenkripsi—organisasi dapat mengidentifikasi perangkat rentan, termasuk yang secara tidak sengaja terekspos ke internet karena kesalahan konfigurasi dan menjadi target empuk bagi peretas. Mereka juga dapat mendeteksi pergerakan lateral, teknik penyalahgunaan alat bawaan sistem (living off the land), serta perubahan mencurigakan di lingkungan yang mengindikasikan aktivitas berbahaya, seperti perubahan konfigurasi yang tidak sah pada perangkat jaringan dan aktivasi mendadak sandi serta protokol lemah. Di bawah ini, kami menguraikan panduan pemantauan dan penguatan jaringan dari CISA serta menjelaskan bagaimana platform ExtraHop® RevealX™—yang berfungsi ganda sebagai deteksi dan respons jaringan (NDR) serta manajemen kinerja jaringan (NPM)—dapat membantu penyedia telekomunikasi dan infrastruktur kritis lainnya dalam menerapkan rekomendasi tersebut serta meningkatkan postur keamanan jaringan mereka terhadap Salt Typhoon dan ancaman negara lainnya. Inti dari Solusi: Bagaimana RevealX Membantu Organisasi Memenuhi Panduan CISA Terkait Salt Typhoon Sebagai rangkuman dari rekomendasi CISA, organisasi disarankan untuk menerapkan alat pemantauan dan manajemen jaringan yang kuat dan beroperasi di luar jalur utama (out-of-band), dengan kemampuan menangkap paket data, yang: Menyediakan visibilitas terhadap lalu lintas jaringan masuk, keluar, dan internal; Menerapkan manajemen konfigurasi secara ketat; Memantau perangkat yang terpapar ke internet publik dan yang melakukan koneksi eksternal; serta Mendeteksi dan memberikan peringatan terkait berbagai perubahan di lingkungan, termasuk perubahan konfigurasi perangkat jaringan, aktivasi protokol lemah, perubahan perilaku pengguna dan aktivitas akun, serta modifikasi daftar kontrol akses (ACL). CISA juga merekomendasikan untuk mengenkripsi sebanyak mungkin lalu lintas jaringan dari ujung ke ujung, membatasi eksposur lalu lintas manajemen ke internet, serta mengumpulkan log di tingkat sistem operasi jaringan, aplikasi, dan perangkat lunak dalam lingkungan organisasi. RevealX mendukung rekomendasi tersebut serta berbagai praktik terbaik lainnya yang diuraikan oleh CISA. Solusi ini beroperasi di luar jalur utama, menangkap salinan penuh paket data dan telemetri NetFlow, serta memberikan organisasi visibilitas yang luas terhadap aktivitas dalam jaringan mereka. RevealX menawarkan kedalaman dan cakupan visibilitas jaringan yang tak tertandingi dengan mengekstrak lebih banyak metadata dari paket penuh dibandingkan solusi lain, mendekode empat kali lebih banyak protokol dibandingkan produk NDR lainnya, mendekripsi lalu lintas jaringan terenkripsi, dan melakukan semua ini dengan kecepatan tingkat perusahaan serta skala cloud. Baca selengkapnya untuk detail lebih lanjut. Perkuat Visibilitas dan Pemantauan Panduan CISA: Dapatkan visibilitas terhadap lalu lintas jaringan north-south dan east-west, aktivitas pengguna, serta aliran data. Terapkan solusi pemantauan arus jaringan yang kuat. Gunakan alat manajemen jaringan out-of-band yang terpisah secara fisik dari jaringan operasional utama serta mencegah koneksi lateral antar perangkat untuk menghindari pergerakan lateral jika terjadi kompromi. Terapkan pemantauan dan manajemen jaringan yang setidaknya mencakup manajemen konfigurasi, otomatisasi fungsi administratif rutin, serta deteksi dan peringatan terhadap perubahan dalam lingkungan, seperti koneksi, aktivitas pengguna, dan aktivitas akun, serta memiliki kemampuan menangkap paket data. Pantau semua perangkat yang menerima koneksi eksternal dari luar jaringan perusahaan. Selidiki konfigurasi yang tidak sesuai dengan standar keamanan, seperti port terbuka, layanan yang tidak dikenal, atau penggunaan tak terduga dari Generic Routing Encapsulation (GRE) atau IPsec tunnel. Pahami arsitektur infrastruktur dan enclave produksi serta bagaimana lingkungan tersebut terhubung atau tersegmentasi. Petakan dan pahami batas serta titik masuk/keluar dari enclave manajemen jaringan. Keunggulan RevealX: RevealX beroperasi di luar jalur utama (out-of-band) dan secara pasif memantau seluruh transaksi kritis dalam jaringan organisasi, termasuk lalu lintas jaringan masuk, keluar, dan lateral internal. Dengan menangkap salinan lalu lintas jaringan di inti tempat data di-host, RevealX dapat memantau lalu lintas east-west secara efektif tanpa mengganggu kinerja jaringan. Selain itu, RevealX menangkap paket penuh serta telemetri NetFlow dari lebih banyak lapisan jaringan (OSI lapisan 2-7) dibandingkan solusi lain yang hanya memeriksa lalu lintas di OSI lapisan 3 dan 4. Kemampuan ini memungkinkan RevealX memberikan konteks yang lebih kaya terhadap aktivitas dalam jaringan, mempercepat deteksi, investigasi, dan respons terhadap ancaman, serta mengurangi jumlah positif palsu. Keunggulan visibilitas RevealX diakui oleh pelanggan dan analis: ExtraHop dinobatkan sebagai pemimpin dalam IDC MarketScape: Worldwide Network Detection and Response 2024 Vendor Assessment dan Forrester Wave: Network Analysis and Visibility Q2 2023. Lee Chieffalo, Direktur Teknis ISP Viasat, pelanggan ExtraHop, mengatakan: “Dengan RevealX, saya dapat mengetahui apa yang dilakukan setiap paket di jaringan, kapan saja: ke mana ia pergi, dari mana asalnya, dan apa yang sedang dikomunikasikan di kedua sisi percakapan. Ini memungkinkan tim saya membuat keputusan yang akurat dan tepat tentang optimalisasi, keamanan, dan pemecahan masalah jaringan.” Deteksi Anomali Panduan CISA: Selidiki dan analisis setiap modifikasi konfigurasi yang tidak biasa pada perangkat jaringan, termasuk switch, router, dan firewall. Terapkan sistem peringatan untuk perubahan tidak sah dalam jaringan, seperti pembaruan rute yang mencurigakan, aktivasi protokol lemah, serta perubahan pada pengguna dan daftar kontrol akses (ACL). Pantau login akun pengguna dan layanan untuk mendeteksi anomali. Keunggulan RevealX: RevealX menggunakan pembelajaran mesin berbasis cloud untuk menganalisis data jaringan dan mendeteksi penyimpangan mencurigakan dari pola perilaku…

Mendeteksi Perangkat Lunak RMM dengan RevealX ExtraHop Baik Anda seorang analis keamanan maupun seorang praktisi IT yang suka melakukan semuanya sendiri (DIY), memiliki alat yang tepat untuk pekerjaan yang tepat memang membuat hidup jauh lebih mudah. Sama seperti saya yang menyukai power tools—khususnya yang nirkabel dengan baterai yang bisa dipertukarkan. Tapi, gergaji mesin listrik nirkabel itu ibarat pedang bermata dua: mampu memotong dua arah dengan sangat mudah, namun juga sangat berbahaya jika digunakan tanpa hati-hati. Dalam dunia IT dan keamanan, perangkat lunak Remote Monitoring and Management (RMM) seperti AnyDesk, ConnectWise ScreenConnect, dan Splashtop bisa diibaratkan seperti gergaji mesin nirkabel tadi. Di satu sisi, perangkat ini sangat membantu tim IT dan keamanan dalam mempercepat tugas-tugas seperti instalasi patch jarak jauh dan pemecahan masalah. Namun, di sisi lain, perangkat lunak ini memberi akses remote yang memungkinkan admin helpdesk atau pihak lain mengambil alih kendali perangkat pengguna. Hal ini membuat perangkat lunak RMM kian sering disalahgunakan oleh aktor ancaman untuk: Membangun saluran Command and Control (C2) secara interaktif. Melakukan lateral movement (pergerakan lateral) di dalam jaringan. Mempertahankan persistence (keberlanjutan akses). Menyamar sebagai aktivitas yang sah, sehingga sulit terdeteksi oleh alat keamanan tradisional. Aktor ancaman bisa saja: Menyalahgunakan perangkat lunak RMM yang memang sudah diizinkan di lingkungan korban. Menginstal perangkat lunak RMM baru setelah menguasai perangkat korban, meskipun perangkat tersebut sebelumnya tidak digunakan dalam organisasi korban. Setelah menginstal RMM, penyerang akan memperoleh passcode untuk perangkat lunak tersebut. Passcode ini memungkinkan mereka berinteraksi dengan perangkat yang telah terinfeksi, atau memanfaatkan fitur perangkat lunak untuk memasang alat lain guna mengumpulkan data dari perangkat korban. Peningkatan Eksploitasi RMM oleh Aktor Ancaman Ancaman ini semakin serius, hingga mendorong Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan pada tahun 2023 terkait penyalahgunaan perangkat lunak RMM, yang dikategorikan dalam kerangka ATT&CK sebagai T1219. Fakta terbaru: CrowdStrike melaporkan adanya peningkatan eksploitasi perangkat lunak RMM oleh penyerang sebesar 70% di tahun 2024. Grup-grup penyerang yang teridentifikasi melibatkan nama besar seperti: Scattered Spider LockBit Static Kitten (Iran) Famous Chollima (Korea Utara) RevealX ExtraHop: Solusi Deteksi RMM yang Semakin Canggih Sebagai bagian dari misi ExtraHop® untuk membantu organisasi mengungkap risiko siber dan membangun ketahanan, kemampuan platform RevealX™ telah diperluas. RevealX kini dapat mengidentifikasi dan mendeteksi penggunaan perangkat lunak RMM di seluruh lingkungan Anda—baik on-premises maupun cloud (publik maupun privat). Riwayat Deteksi RMM di RevealX: 2020: RevealX mulai mengidentifikasi perangkat lunak RMM secara pasif di jaringan sebagai bagian dari proses automatic asset discovery. Dengan memantau lalu lintas jaringan, RevealX dapat secara otomatis mendeteksi endpoint, sistem operasi, cipher suite, dan aplikasi, termasuk perangkat lunak RMM seperti: ConnectWise ScreenConnect TeamViewer Splashtop AnyDesk Atera Agent Desember 2024: ExtraHop meluncurkan New Remote Access Software Activity Detector. Detektor ini mampu mengidentifikasi koneksi pertama kali ke layanan cloud yang berhubungan dengan perangkat lunak remote access dan RMM. Setiap aktivitas pertama kali dari perangkat yang menghubungkan ke layanan RMM akan memicu peringatan ke SOC (Security Operations Center) agar dapat divalidasi atau diselidiki lebih lanjut. Kombinasi Fitur Andalan: Penemuan Otomatis (Automatic Discovery): Mengidentifikasi kehadiran perangkat lunak RMM di jaringan, baik perangkat lunak yang sudah dikenal maupun yang baru muncul. Deteksi Real-Time (Real-Time Detection): Memberikan peringatan instan jika terjadi aktivitas penggunaan perangkat lunak RMM untuk pertama kalinya. Memudahkan tim keamanan membedakan antara penggunaan RMM yang sah dengan yang berpotensi berbahaya. Mengapa Deteksi RMM Penting? Cegah Penyalahgunaan Akses Jarak Jauh: RMM menjadi celah favorit penyerang untuk mempertahankan akses setelah berhasil menembus jaringan. Lindungi dari Serangan Lateral Movement: Setelah menguasai satu perangkat, penyerang menggunakan RMM untuk berpindah ke perangkat lain di dalam jaringan. Respon Dini terhadap Ancaman: Dengan deteksi awal, tim keamanan bisa segera mengisolasi perangkat yang terindikasi, sebelum serangan meluas. Pantauan Aktivitas Abnormal: RevealX memastikan semua koneksi perangkat baru ke layanan RMM dideteksi dan diperiksa keabsahannya. Penggunaan perangkat lunak RMM seperti AnyDesk, ScreenConnect, dan Splashtop memang memudahkan pekerjaan tim IT. Namun, ancaman eksploitasi oleh aktor jahat juga terus meningkat. Oleh karena itu, deteksi dan pemantauan aktivitas RMM menjadi krusial dalam strategi keamanan. Dengan fitur RevealX yang terus berkembang, ExtraHop Indonesia menghadirkan solusi untuk mendeteksi penggunaan RMM secara otomatis dan real-time, memastikan perusahaan dapat membedakan aktivitas yang sah dan berbahaya, serta merespons ancaman dengan cepat. 5 Cara Mitigasi Ancaman RMM (Remote Monitoring and Management) Untuk mengurangi risiko penyalahgunaan perangkat lunak RMM, tim keamanan dan IT dapat menerapkan langkah-langkah berikut: Blokir atau Batasi Lalu Lintas ke Situs dan Layanan RMM: Secara proaktif blokir atau batasi akses keluar (outbound traffic) ke domain dan IP yang terkait dengan layanan perangkat lunak remote access dan RMM yang tidak sah. Pantau Perangkat yang Menjalankan Perangkat Lunak Remote Access Tidak Sah: Lakukan pemantauan aktif untuk mengidentifikasi perangkat yang menjalankan perangkat lunak RMM yang tidak diizinkan dalam lingkungan perusahaan. Terapkan Kontrol untuk Mencegah Aplikasi yang Tidak Sah: Implementasikan kontrol keamanan seperti Application Whitelisting atau Application Control untuk mencegah eksekusi aplikasi yang tidak sah, termasuk perangkat lunak RMM yang tidak disetujui. Karantina Perangkat dengan Koneksi RMM yang Mencurigakan: Isolasi atau karantina perangkat yang melakukan koneksi pertama kali ke layanan RMM yang tidak dikenal. Sambil melakukan karantina, lakukan pemeriksaan mendalam untuk mengidentifikasi indikasi kompromi (Indicators of Compromise/IoC). Pantau dan Investigasi Aktivitas yang Tidak Biasa: Lakukan pemantauan dan investigasi terhadap aktivitas yang mencurigakan untuk mendeteksi dan meminimalkan potensi kerusakan sebelum eskalasi lebih lanjut. Bagi pelanggan RevealX ExtraHop: Fitur identifikasi dan deteksi perangkat lunak RMM sudah dapat digunakan saat ini untuk membantu mengamankan jaringan Anda dari penyalahgunaan perangkat lunak remote access. Belum menjadi pelanggan? Hubungi ExtraHop Indonesia untuk mengetahui teknologi lebih lanjut terkait keamanan Perusahaan anda.

Network Detection and Response (NDR): Pengertian, Cara Kerja, Manfaat, dan Use Case Apa Itu Network Detection and Response (NDR)? Network Detection and Response (NDR) adalah solusi keamanan siber yang dirancang untuk mendeteksi aktivitas jahat dalam jaringan dengan cara menganalisis lalu lintas data jaringan secara real-time, kemudian merespons ancaman secara otomatis atau manual. Berbeda dengan Endpoint Detection and Response (EDR) yang fokus pada endpoint, NDR bekerja dengan mengumpulkan data dari paket-paket jaringan yang bergerak di jalur east-west (antar perangkat dalam jaringan internal) dan north-south (antara jaringan internal dengan eksternal). Menurut Gartner®, NDR menggunakan analitik perilaku untuk mendeteksi aktivitas abnormal, menganalisis paket mentah, metadata lalu lintas jaringan, dan menyediakan respons otomatis seperti karantina perangkat atau pemblokiran lalu lintas.   Bagaimana NDR Bekerja? Pengumpulan Data Jaringan: NDR mengambil salinan lalu lintas jaringan melalui SPAN port (port mirroring), TAP, atau packet broker. Data ini mencakup percakapan antar perangkat, alamat MAC, IP, port, dan informasi koneksi lainnya. Analisis dan Deteksi: Machine Learning: Mempelajari pola perilaku normal jaringan untuk mendeteksi aktivitas mencurigakan. Behavioral Analysis: Menganalisis perilaku jaringan untuk menemukan penyimpangan. Signature Analysis: Mencocokkan lalu lintas jaringan dengan indikator ancaman yang sudah dikenal (Indicators of Compromise/IoCs). Out-of-Band Monitoring: NDR bekerja di luar jalur utama lalu lintas (out-of-band), sehingga tidak mengganggu performa jaringan. Alat ini hanya mengamati dan mencatat data, tanpa mengintervensi lalu lintas asli. Respon Otomatis dan Manual: Mengisolasi perangkat yang terinfeksi. Memblokir lalu lintas mencurigakan. Mengintegrasikan dengan alat keamanan lain seperti SIEM dan SOAR.   Kemampuan Kritis NDR: Dekripsi Lalu Lintas Terenkripsi: Sebagian besar serangan kini menggunakan saluran terenkripsi, sehingga kemampuan mendekripsi lalu lintas menjadi penting. Analisis lalu lintas terenkripsi saja sering kali tidak cukup untuk mendeteksi serangan yang menggunakan protokol seperti MSRPC dan Kerberos. Dukungan Beragam Protokol: Mampu membaca dan mengurai berbagai protokol jaringan, aplikasi, database, dan internet. Semakin banyak protokol yang didukung, semakin tinggi akurasi deteksi.   Mengapa Data Jaringan Penting untuk Deteksi Ancaman? Sumber Data yang Paling Akurat: Data jaringan sulit diubah oleh penyerang, berbeda dengan log atau agen endpoint yang bisa dimanipulasi setelah sistem dikompromikan. Semua aktivitas, baik dari pengguna maupun perangkat, harus melewati jaringan. Oleh karena itu, memantau jaringan memberikan bukti yang tidak dapat disangkal. Deteksi Awal: Tanda-tanda awal serangan seperti beaconing ke Command and Control (C2), pencarian jaringan, pergerakan lateral, dan eskalasi domain paling mudah dideteksi melalui data jaringan.   Manfaat NDR: Visibilitas Ancaman Menyeluruh: Memantau lalu lintas north-south (masuk/keluar jaringan) dan east-west (antar perangkat dalam jaringan internal). Menyediakan deteksi ancaman yang tidak bisa diperoleh dari IDS, firewall generasi baru (NGFW), atau alat lainnya. Mitigasi Risiko: Mengidentifikasi perilaku penyerang di tahap awal, seperti: Komunikasi dengan server C2. Pemindaian dan eksplorasi jaringan. Pergerakan lateral. Eskalasi hak akses. Mengurangi dampak serangan dengan respons cepat. Penemuan Aset dan Shadow IT: Secara otomatis mengidentifikasi semua perangkat yang terhubung ke jaringan, termasuk perangkat yang tidak terkelola (unmanaged devices). Memberikan gambaran yang lebih jelas tentang permukaan serangan (attack surface) organisasi.   Use Case NDR: Deteksi dan Respon Ransomware: Mengidentifikasi klien yang menerima file berbahaya atau menghubungi IP mencurigakan. Deteksi berbasis AI terhadap perilaku pasca-kompromi. Investigasi cepat dan isolasi perangkat yang terinfeksi. Threat Hunting: Mencari aktivitas mencurigakan secara proaktif, sebelum terjadi insiden. Memanfaatkan data jaringan historis untuk analisis mendalam. Network Forensics: Melakukan investigasi pasca-insiden menggunakan rekaman lalu lintas jaringan. Memastikan bukti digital yang kuat untuk memahami cara serangan dilakukan. Deteksi Pergerakan Lateral: Mengungkap upaya penyerang berpindah dari satu sistem ke sistem lain dalam jaringan internal. Identifikasi Komunikasi C2: Mendeteksi perangkat yang mencoba terhubung dengan server yang dikendalikan oleh penyerang.   Kesimpulan: NDR menjadi alat penting dalam strategi keamanan modern, memberikan visibilitas mendalam terhadap aktivitas jaringan yang sulit dilihat dengan alat lain. Dengan kemampuan machine learning, analisis perilaku, dan dekripsi lalu lintas terenkripsi, NDR membantu organisasi mendeteksi ancaman lebih awal, merespons lebih cepat, dan meningkatkan ketahanan siber secara menyeluruh. Hubungi ExtraHop Indonesia untuk info lebih lanjut, POC terkait dengan solusi NDR.