• February 25, 2025

Terapkan Pedoman Pemantauan Jaringan CISA untuk Salt Typhoon dengan RevealX NDR.

Untuk membantu sektor infrastruktur kritis dalam memantau jaringannya terhadap Salt Typhoon dan ancaman persisten tingkat lanjut (APT) yang disponsori negara lainnya, CISA, NSA, FBI, dan empat lembaga mitra internasional telah mengeluarkan panduan penguatan keamanan sepanjang sembilan halaman. Panduan ini menekankan pentingnya peningkatan visibilitas jaringan secara signifikan.

“Sulit untuk melebih-lebihkan betapa merusaknya APT Salt Typhoon,” kata Mark Bowling, Chief Information Security and Risk Officer di ExtraHop. Ia merujuk pada aktor ancaman yang disponsori oleh pemerintah Tiongkok, yang berhasil menyusup ke jaringan setidaknya selusin penyedia telekomunikasi, mencuri catatan panggilan pelanggan, serta mengakses komunikasi pribadi pejabat pemerintah dan politik AS dalam upaya mengumpulkan komunikasi terenkripsi.

“Dari perspektif keamanan nasional, Salt Typhoon empat hingga lima kali lebih buruk daripada SolarWinds,” tambah Bowling, yang menjadi CISO setelah berkarier selama 20 tahun sebagai agen FBI yang menyelidiki kejahatan siber dan terorisme. “Serangan ini dapat menyebabkan kerusakan yang tidak dapat diperbaiki, menghambat, atau bahkan menghentikan berbagai investigasi kontra-intelijen, intelijen asing, dan kontra-terorisme.”

Panduan dari CISA berfokus pada pentingnya visibilitas jaringan, karena Salt Typhoon awalnya memperoleh akses ke lingkungan perusahaan telekomunikasi dengan mengeksploitasi perangkat rentan yang terpapar ke internet publik. Aktor ancaman ini juga memanfaatkan kerentanan yang sudah diketahui pada perangkat jaringan untuk mempertahankan keberadaannya, serta menggunakan alat sah seperti PowerShell dan Windows Management Instrumentation Command-line (WMIC) guna menghindari deteksi saat melakukan pengintaian, pergerakan lateral, dan pencurian data.

Dengan visibilitas dan pemantauan jaringan yang lebih baik—termasuk kemampuan untuk mendekripsi lalu lintas dan protokol terenkripsi—organisasi dapat mengidentifikasi perangkat rentan, termasuk yang secara tidak sengaja terekspos ke internet karena kesalahan konfigurasi dan menjadi target empuk bagi peretas. Mereka juga dapat mendeteksi pergerakan lateral, teknik penyalahgunaan alat bawaan sistem (living off the land), serta perubahan mencurigakan di lingkungan yang mengindikasikan aktivitas berbahaya, seperti perubahan konfigurasi yang tidak sah pada perangkat jaringan dan aktivasi mendadak sandi serta protokol lemah.

Di bawah ini, kami menguraikan panduan pemantauan dan penguatan jaringan dari CISA serta menjelaskan bagaimana platform ExtraHop® RevealX™—yang berfungsi ganda sebagai deteksi dan respons jaringan (NDR) serta manajemen kinerja jaringan (NPM)—dapat membantu penyedia telekomunikasi dan infrastruktur kritis lainnya dalam menerapkan rekomendasi tersebut serta meningkatkan postur keamanan jaringan mereka terhadap Salt Typhoon dan ancaman negara lainnya.

Inti dari Solusi: Bagaimana RevealX Membantu Organisasi Memenuhi Panduan CISA Terkait Salt Typhoon

Sebagai rangkuman dari rekomendasi CISA, organisasi disarankan untuk menerapkan alat pemantauan dan manajemen jaringan yang kuat dan beroperasi di luar jalur utama (out-of-band), dengan kemampuan menangkap paket data, yang:

  • Menyediakan visibilitas terhadap lalu lintas jaringan masuk, keluar, dan internal;
  • Menerapkan manajemen konfigurasi secara ketat;
  • Memantau perangkat yang terpapar ke internet publik dan yang melakukan koneksi eksternal; serta
  • Mendeteksi dan memberikan peringatan terkait berbagai perubahan di lingkungan, termasuk perubahan konfigurasi perangkat jaringan, aktivasi protokol lemah, perubahan perilaku pengguna dan aktivitas akun, serta modifikasi daftar kontrol akses (ACL).

CISA juga merekomendasikan untuk mengenkripsi sebanyak mungkin lalu lintas jaringan dari ujung ke ujung, membatasi eksposur lalu lintas manajemen ke internet, serta mengumpulkan log di tingkat sistem operasi jaringan, aplikasi, dan perangkat lunak dalam lingkungan organisasi.

RevealX mendukung rekomendasi tersebut serta berbagai praktik terbaik lainnya yang diuraikan oleh CISA. Solusi ini beroperasi di luar jalur utama, menangkap salinan penuh paket data dan telemetri NetFlow, serta memberikan organisasi visibilitas yang luas terhadap aktivitas dalam jaringan mereka. RevealX menawarkan kedalaman dan cakupan visibilitas jaringan yang tak tertandingi dengan mengekstrak lebih banyak metadata dari paket penuh dibandingkan solusi lain, mendekode empat kali lebih banyak protokol dibandingkan produk NDR lainnya, mendekripsi lalu lintas jaringan terenkripsi, dan melakukan semua ini dengan kecepatan tingkat perusahaan serta skala cloud. Baca selengkapnya untuk detail lebih lanjut.

Perkuat Visibilitas dan Pemantauan

Panduan CISA:

  • Dapatkan visibilitas terhadap lalu lintas jaringan north-south dan east-west, aktivitas pengguna, serta aliran data.
  • Terapkan solusi pemantauan arus jaringan yang kuat.
  • Gunakan alat manajemen jaringan out-of-band yang terpisah secara fisik dari jaringan operasional utama serta mencegah koneksi lateral antar perangkat untuk menghindari pergerakan lateral jika terjadi kompromi.
  • Terapkan pemantauan dan manajemen jaringan yang setidaknya mencakup manajemen konfigurasi, otomatisasi fungsi administratif rutin, serta deteksi dan peringatan terhadap perubahan dalam lingkungan, seperti koneksi, aktivitas pengguna, dan aktivitas akun, serta memiliki kemampuan menangkap paket data.
  • Pantau semua perangkat yang menerima koneksi eksternal dari luar jaringan perusahaan.
  • Selidiki konfigurasi yang tidak sesuai dengan standar keamanan, seperti port terbuka, layanan yang tidak dikenal, atau penggunaan tak terduga dari Generic Routing Encapsulation (GRE) atau IPsec tunnel.
  • Pahami arsitektur infrastruktur dan enclave produksi serta bagaimana lingkungan tersebut terhubung atau tersegmentasi.
  • Petakan dan pahami batas serta titik masuk/keluar dari enclave manajemen jaringan.

Keunggulan RevealX:

RevealX beroperasi di luar jalur utama (out-of-band) dan secara pasif memantau seluruh transaksi kritis dalam jaringan organisasi, termasuk lalu lintas jaringan masuk, keluar, dan lateral internal. Dengan menangkap salinan lalu lintas jaringan di inti tempat data di-host, RevealX dapat memantau lalu lintas east-west secara efektif tanpa mengganggu kinerja jaringan.

Selain itu, RevealX menangkap paket penuh serta telemetri NetFlow dari lebih banyak lapisan jaringan (OSI lapisan 2-7) dibandingkan solusi lain yang hanya memeriksa lalu lintas di OSI lapisan 3 dan 4. Kemampuan ini memungkinkan RevealX memberikan konteks yang lebih kaya terhadap aktivitas dalam jaringan, mempercepat deteksi, investigasi, dan respons terhadap ancaman, serta mengurangi jumlah positif palsu.

Keunggulan visibilitas RevealX diakui oleh pelanggan dan analis: ExtraHop dinobatkan sebagai pemimpin dalam IDC MarketScape: Worldwide Network Detection and Response 2024 Vendor Assessment dan Forrester Wave: Network Analysis and Visibility Q2 2023.

Lee Chieffalo, Direktur Teknis ISP Viasat, pelanggan ExtraHop, mengatakan:
“Dengan RevealX, saya dapat mengetahui apa yang dilakukan setiap paket di jaringan, kapan saja: ke mana ia pergi, dari mana asalnya, dan apa yang sedang dikomunikasikan di kedua sisi percakapan. Ini memungkinkan tim saya membuat keputusan yang akurat dan tepat tentang optimalisasi, keamanan, dan pemecahan masalah jaringan.”

Deteksi Anomali

Panduan CISA:

  • Selidiki dan analisis setiap modifikasi konfigurasi yang tidak biasa pada perangkat jaringan, termasuk switch, router, dan firewall.
  • Terapkan sistem peringatan untuk perubahan tidak sah dalam jaringan, seperti pembaruan rute yang mencurigakan, aktivasi protokol lemah, serta perubahan pada pengguna dan daftar kontrol akses (ACL).
  • Pantau login akun pengguna dan layanan untuk mendeteksi anomali.

Keunggulan RevealX:

RevealX menggunakan pembelajaran mesin berbasis cloud untuk menganalisis data jaringan dan mendeteksi penyimpangan mencurigakan dari pola perilaku normal. Berbeda dengan pembelajaran mesin yang berjalan di perangkat (on-box), pemrosesan berbasis cloud memungkinkan penanganan volume data yang jauh lebih besar dengan efisiensi lebih tinggi, mempercepat pelatihan model dalam membedakan ancaman dari aktivitas jaringan yang sah.

RevealX juga memberikan peringatan deteksi terhadap pola lalu lintas mencurigakan, penggunaan protokol lemah, sertifikat yang kedaluwarsa, koneksi inbound dan outbound yang tidak biasa, komunikasi command and control (C2), serta berbagai teknik serangan seperti living off the land, penggunaan perangkat lunak manajemen jarak jauh (RMM), eksfiltrasi data, dan enumerasi jaringan.

Selain itu, RevealX mendekode lebih dari 90 protokol jaringan, aplikasi, database, dan internet, termasuk protokol autentikasi terenkripsi seperti Kerberos, MSRPC, dan NTLM, yang sering dieksploitasi oleh Salt Typhoon dan aktor ancaman lainnya untuk bergerak lateral dan menghindari deteksi. Dengan menangkap paket penuh dan mendekripsi komunikasi yang dienkripsi, RevealX dapat mengidentifikasi teknik serangan dengan tingkat kepastian yang lebih tinggi dibandingkan solusi lain.

Kebersihan Keamanan

Panduan CISA:

  • Pastikan inventaris perangkat dan firmware selalu diperbarui agar visibilitas dan pemantauan tetap efektif.
  • Batasi eksposur lalu lintas manajemen ke internet.
  • Identifikasi aset yang seharusnya tidak terpapar ke publik dan hapus eksposur yang tidak perlu.

Keunggulan RevealX:

RevealX secara otomatis menemukan, mengklasifikasikan, dan memetakan hubungan transaksi serta semua perangkat, pengguna, dan file dalam jaringan. Kemampuan ini memastikan organisasi memiliki inventaris perangkat yang real-time dan terkini, serta catatan historis dari setiap komunikasi yang terjadi.

RevealX juga mengamati dan melaporkan perangkat yang terekspos ke internet publik serta melakukan koneksi outbound, sehingga organisasi dapat secara kontinu mengidentifikasi dan mengurangi potensi risiko keamanan dari lalu lintas manajemen yang terekspos.

Logging Keamanan

Panduan CISA:

  • Terapkan SIEM untuk logging yang terpusat dan aman, dengan kemampuan menganalisis serta mengorelasikan data dari berbagai sumber.
  • Kumpulkan log di seluruh tingkat lingkungan, termasuk sistem operasi jaringan, aplikasi, dan perangkat lunak terkait.
  • Aktifkan logging dan auditing pada perangkat serta pastikan log dapat dipindahkan ke sistem terpusat.
  • Tetapkan baseline perilaku jaringan yang normal dan buat aturan di perangkat keamanan untuk mendeteksi perilaku abnormal.

Keunggulan RevealX:

RevealX meningkatkan kinerja SIEM dengan menyediakan telemetri jaringan yang kaya konteks dari log transaksi, data NetFlow, dan paket penuh. Integrasi dengan solusi CrowdStrike Falcon® LogScale dan Splunk memungkinkan semua data RevealX diakses melalui REST API, serta streaming metadata jaringan ke dalam SIEM.

Penguatan Sistem dan Perangkat

Panduan CISA:

  • Pastikan manajemen perangkat terisolasi secara fisik dari jaringan produksi dan pelanggan.
  • Gunakan alat manajemen jaringan out-of-band untuk mengelola perangkat infrastruktur.
  • Terapkan strategi default-deny ACL untuk mengontrol lalu lintas masuk dan keluar, serta pastikan semua lalu lintas yang ditolak tercatat dalam log.
  • Terapkan segmentasi jaringan yang kuat menggunakan ACL router, inspeksi paket stateful, firewall, dan zona demiliterisasi (DMZ).
  • Perkuat keamanan gateway VPN dengan membatasi eksposur port dan hanya mengizinkan lalu lintas minimum yang diperlukan (misalnya UDP/500, UDP/4500, dan ESP).

Keunggulan RevealX:

RevealX memantau protokol yang digunakan dalam jaringan serta mengawasi enclave manajemen, sesuai dengan rekomendasi segmentasi dan isolasi dari CISA. Untuk keamanan gateway VPN, RevealX secara dinamis mendeteksi dan memantau VPN serta penggunanya secara kontinu.

Lebih lanjut, RevealX mampu mendekripsi dan men-deenkapsulasi transaksi yang menggunakan komunikasi terenkripsi, memungkinkan tim keamanan melihat lalu lintas yang sebelumnya tidak dapat diamati dari tabel routing, SNMP counters, dan log NetFlow.

Enkripsi Lalu Lintas

Panduan CISA:

  • Pastikan lalu lintas dienkripsi secara end-to-end sejauh mungkin.
  • Gunakan TLSv1.3 untuk semua protokol yang mendukung TLS serta konfigurasi cipher suite yang kuat.
  • Gunakan sertifikat berbasis PKI, bukan sertifikat yang ditandatangani sendiri.
  • Terapkan proses yang kuat untuk memperbarui sertifikat sebelum kedaluwarsa.

Keunggulan RevealX:

RevealX menyediakan analisis TLS header dan negosiasi kriptografi secara real-time, memungkinkan audit lingkungan enkripsi serta identifikasi pertukaran kunci yang sesuai dengan standar post-quantum cryptography.

RevealX juga mendekripsi lalu lintas SSL dan TLSv1.3 dengan kecepatan hingga 100 Gbps, jauh melampaui pesaing yang hanya mencapai 40 Gbps.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. extrahop menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di extrahop.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami !

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • [email protected]