NIST merilis Cybersecurity Framework untuk Usaha Kecil dan Menengah

The National Institute of Standards and Technology (NIST) adalah sebuah organisasi penelitian yang fokusnya untuk membuat standar tertentu dalam bidang Teknologi. NIST merupakan bagian dari U.S. Department of Commerce.

nistir7621

Di awal bulan November, NIST telah mempublikasikan dokumen baru terkait Cybersecurity Framework untuk Organisasi dengan level kecil dan menengah atau jika di Indonesia biasa disebut UKM. Publikasi ini terdiri dari 54 halaman yang terdiri dari penjelasan terkait Framework tersebut dan Cybersecurity secara umum termasuk juga didalamnya proses yang bisa diadopsi oleh UKM dalam mengimplementasikan Framework ini.

Dan berikut adalah sekilas dari beberapa proses yang diambil dari dokumen tersebut

Manage Risk: Proses pertama adalah tentang bagaimana pemilik UKM dapat mengklasifikasikan setiap informasi yang dimilikinya untuk kemudian dapat dipilah lebih lanjut mana yang penting dan harus dilindungi.

Train the Staff: Proses ini berfokus pada sumber daya manusia dimana dalam cybersecurity manusia terkadang menjadi bagian paling lemah sehingga perlu dilakukannya sosialisasi dan edukasi berkelanjutan untuk menjaga kepekaan karyawan terhadap keamanan informasi.

Stay up to date: Menjaga setiap perangkat lunak dan sistem operasi yang dipakai untuk selalu menjalankan versi yang terbaru memang tidaklah mudah, apalagi jika dalam UKM tersebut tidak terdapat orang atau divisi khusus yang menangani masalah IT. Disini kemudian dijelaskan pentingnya bagaimana melakukan automatisasi untuk memudahkan hal ini.

Backups Routinely: Setelah melakukan klasifikasi terhadap berbagai informasi yang dianggap penting, maka hal selanjutnya adalah melakukan backup terhadap informasi tersebut. Ransomware telah menjadi ancaman yang nyata, dan salah satu cara untuk terhindar dari dampaknya adalah dengan melakukan backup.

Proses lainnya dan bagaimana cara melakukannya dapat dibaca secara lengkap pada dokumen : http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.7621r1.pdf

Mengenal Intrusion Kill Chain

Intrusion Kill Chain dapat didefinisikan sebagai sebuah metodologi deteksi berbasis intrusi yang memungkinkan seorang security analyst untuk fokus pada berbagai tahap pada sebuah serangan atau intrusi. Sebuah intrusi pada jaringan tidak bisa terjadi begitu saja dan memerlukan beberapa tahap untuk dapat berhasil dan mencapai tujuannya. Sebagai seorang Security Analyst yang melakukan NSM dan CSM penting untuk memahami bagaimana tahapan atau fase dalam sebuah intrusi terjadi. Dari pemahaman ini diharapkan Security Analyst dapat mengetahui lebih dalam tentang seberapa jauh sebuah intrusi telah terjadi dan dampak apa yang mungkin akan terjadi berdasarkan pada fase mana intrusi tersebut terdeteksi.

Berdasarkan paper yang dikeluarkan oleh Lockheed Martin, Intrusion Kill Chain dibagi menjadi 7 tahapan yakni Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control (C2), dan Actions on Objectives. Masing-masing dari tahapan tersebut akan dijelaskan lebih detail pada penjelasan dibawah

Reconnaissance

Reconnaissance merupakan tahap pertama dari intrusi yang paling sering dilakukan. Terdapat berbagai macam teknik untuk melakukan reconnaissance, yang paling umum reconnaissance ini dikelompokkan kedalam 2 tipe yakni Aktif dan Pasif.

Reconnaissance secara aktif akan melibatkan attacker untuk menyentuh atau terhubung langsung dengan target serangan guna mendapatkan informasi yang lebih lengkap dan spesifik misal seperti informasi kerentanan atau vulnerability pada sistem target. Reconnaissance jenis ini merupakan yang paling mudah dideteksi karena biasanya menggunakan tools otomatis yang sudah ada seperti Nmap. Perangkat perimeter seperti IDS dan IPS juga sangat mudah mengenali serangan jenis ini.

Tindakan pencegahan yang bisa dilakukan untuk mencegah attacker mendapatkan berbagai informasi berharga pada tahap ini adalah dengan mengimplementasikan Firewall disertai dengan ACL yang baik dan terdokumentasi. Penambahan perangkat seperti IPS juga menjadi solusi yang baik untuk melakukan pemblokiran secara otomatis saat terdeteksi adanya serangan ini.

Berbeda dengan tipe aktif, tipe pasif tidak melibatkan target serangan secara langsung. Informasi yang dibutuhkan untuk melakukan serangan pada tahap ini didapatkan biasanya dari pihak ketiga seperti mesin pencari, media sosial, dan beberapa website penyedia informasi. Informasi yang didapatkan biasanya berupa alamat email, nomor telepon, akun media sosial, informasi lowongan pekerjaan, termasuk juga teknologi yang dipakai pada sebuah organisasi atau perusahaan. Informasi ini kemudian diolah sedemikian rupa oleh attacker untuk melancarkan serangan yang memang secara spesifik dikhususkan untuk organisasi tersebut.

Weaponization

Tergantung dari jumlah dan kualitas informasi yang berhasil didapatkan dari proses reconnaissance, attacker akan mulai menyusun skenario serangan yang paling cocok terhadap targetnya, dan tahap ini disebut weaponization. Tahapan ini lebih banyak terjadi pada sisi attacker sehingga cukup sulit dideteksi sampai serangan tersebut dijalankan

Fase ini sangat bergantung pada informasi hasil reconnaissance sehingga untuk mengurangi tingkat keberhasilan dari attacker dapat dilakukan pembatasan informasi apa saja yang mungkin dapat diketahui oleh attacker pada fase reconnaissance. Dan juga memastikan bahwa setiap vulnerability yang terdapat pada jaringan internal dilakukan patch sebelum berhasil dieksploitasi oleh attacker.

Delivery

Skenario yang telah disiapkan sebelumnya pada fase weaponization kemudian dijalankan pada fase delivery. Payload ataupun exploit yang telah dipilih sebelumnya akan dikemas sedemikian hingga dan dikirmkan ke target dengan berbagai cara misal saja seperti lewat email, usb flash-drive yang sengaja dijatuhkan didekat lokasi target, atau melalui website yang telah disusupi payload dan mengarahkan target untuk mengunjungi website tersebut. Berbagai teknik delivery ini akan tergantung dari jenis informasi apa yang didapat pada fase reconnaissance dan skenario serangannya. Attacker yang berpengalaman biasanya memiliki lebih dari 1 skenario untuk mengantisipasi jika skenario yang lain gagal.

Fase delivery menjadi tahap pertama dari sebuah intrusi yang akan terjadi. Reconnaissance dan weaponization masih bisa diibaratkan sebagai tahap persiapan sebelum benar-benar melakukan intrusi yang sebenarnya. Mitigasi yang bisa dilakukan untuk mencegah dan mendeteksi serangan pada tahap delivery ini adalah dengan mengimplementasikan IDS dan IPS. IDS bisa dipakai untuk mendeteksi berbagai macam jenis serangan berdasarkan signature maupun behaviornya. IDS hanya memiliki kemampuan untuk mendeteksi sehingga dibutuhkan reaksi dan tindakan yang tepat ketika IDS berhasil mendeteksi adanya serangan yang sesungguhnya. Sementara IPS memiliki kemampuan untuk memblokir serangan langsung saat serangan itu terdeteksi.

Exploitation

Exploitation adalah tahapan selanjutnya setelah exploit atau payload berhasil dikirimkan, diterima dan dijalankan oleh target. Exploit akan dijalankan dan mengeksploitasi vulnerability yang ada pada target menyebabkan perangkatnya ter-compromise. Exploit ini bisa diberikan langsung pada tahap delivery ataupun hanya berupa dropper dimana exploit yang sesungguhnya akan didownload dari internet saat dropper tersebut dijalankan oleh target

Jenis exploit yang biasa dipakai oleh attacker adalah exploit umum yang sudah banyak beredar di internet yang dapat mengeksploitasi vulnerability yang telah diketahui dan dipublikasikan untuk umum. Patch management yang buruk pada suatu organisasi membuat exploit jenis ini masih menjadi senjata yang ampuh untuk menyerang target. Exploit tingkat lanjut akan melibatkan vulnerability yang belum diketahui oleh siapapun dan melibatkan 0-day malware

Mitigasi yang bisa dilakukan untuk mengurangi tingkat keberhasilan pada fase ini adalah dengan mengimplementasikan Host-based IDS/IPS (HIDS/HIPS), menerapkan application whitelisting, dan patch management yang baik. Hampir sama seperti Network-based IDS/IPS, HIDS/HIPS bekerja berdasarkan signature dan behavior analyis. Application whitelisting akan mencegah aplikasi ataupun script yang tidak ada dalam list untuk berjalan pada sistem. Patch Management akan mencegah exploit umum untuk berhasil berjalan dan mengeksploitasi vulnerability yang sudah dipublikasikan

Installation

Instalasi dari Remote Access Trojan (RAT) dan backdoor pada target membuat attacker memiliki akses berkelanjutan pada sistem target untuk melancarkan serangan lanjutan ataupun mengincar target lainnya. Attacker yang terlatih dan berpengalaman akan dengan mudah menyembunyikan RAT dan backdoor yang diinstallnya untuk menghindari deteksi, RAT dan backdoor jenis ini biasanya merupakan varian yang telah dimodifikasi

Sistem deteksi tingkat lanjut dapat diimplementasikan untuk memitigasi serangan pada tahap ini. Salah satu contoh implementasi yang biasa dilakukan adalah dengan melakukan monitoring pada event logs dan registry sistem. Berbagai macam perubahan pada sistem akan dideteksi oleh sistem monitoring. Application whitelisting juga bisa dipakai untuk mencegah RAT dan backdoor dapat diinstall pada sistem

Command and Control (C2)

Command and Control (C2) dipakai oleh attacker untuk mengontrol sistem target yang telah ter-compromise secara penuh. C2 ini bisa diimplementasikan pada berbagai protokol tergantung dari kemampuan attacker, C2 yang umum adalah via protokol yang tidak terenkripsi seperti HTTP, DNS, ICMP, dan IRC. Beberapa attacker yang terlatih akan memakai jalur komunikasi terenkripsi untuk menghindari pendeteksian seperti HTTPS dan SSH.

IDS dan IPS dapat mendeteksi traffic komunikasi dari C2. Beberapa jenis malware akan melakukan koneksi outbound untuk menghubungi pemiliknya, koneksi atau komunikasi ini biasa disebut dengan istilah callback atau homecalling. Traffic komunikasi jenis ini biasanya memiliki pola tertentu misal saja seperti satu sampai dua kali dalam sehari dan pada jam-jam tertentu. Melakukan monitoring dan analisa dari traffic dapat membantu untuk mendeteksi pola komunikasi C2 ini. Adanya anomali pada traffic bisa dijadikan sebagai sebuah pertanda adanya sesuatu yang tidak semestinya. Implementasi Outbound Filtering menjadi salah satu metode yang sangat ampuh untuk mencegah traffic c2 keluar dari jaringan internal sebuah organisasi.

Actions on Objectives

Setiap attacker pasti memiliki tujuan saat melancarkan serangannya, entah itu hanya untuk melatih kemampuan dan untuk pamer atau yang lebih serius lagi seperti pencurian informasi dan cyberterrorism. Ketika attacker telah berhasil mencapai targetnya maka security analyst yang melakukan NSM dan CSM sebagai defender dapat dikatakan gagal dalam menjalankan tugasnya. Oleh karena itu salah satu tugas security analyst adalah untuk mencegah attacker mendapatkan tujuannya, medeteksi serangannya dan memutus serangan tersebut pada fase atau tahap yang tepat sesuai Intrusion Kill Chain.

Referensi;
1. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (Lockheed Martin Whitepaper)
2. Detecting and Preventing Attacks Earlier in the Kill Chain (SANS Whitepaper)

Mengenal Threat Hunting

Threat Hunting menjadi istilah yang cukup populer dalam beberapa waktu kebelakang. Beberapa perusahaan penyedia jasa keamanan informasi mulai menawarkan hal ini sebagai salah satu produknya. Di era yang serba digital dan derasnya pertukaran informasi seperti sekarang ini, Kebocoran atau Insiden Keamanan Informasi merupakan sesuatu yang tidak lagi dapat dihindari, dan tinggal menunggu waktu saja kapan insiden tersebut terjadi dan diketahui.

Threat Hunting dapat didefinisikan sebagai sebuah usaha berkelanjutan untuk terus secara aktif mencari serangan atau intrusi yang telah berhasil melewati sistem pertahanan dan untuk menangkap atau menghentikan sebuah intrusi saat prosesnya masih berlangsung untuk mencegahnya mencapai tujuan akhir yang diinginkan

Kata kunci dari definisi Threat Hunting diatas adalah aktif, melewati sistem pertahanan, intrusi masih berlangsung, dan tujuan akhir intrusi.

Kegiatan Incident Response telah berubah dari awalnya hanya reaktif dan menunggu datangnya intrusi atau serangan menjadi kegiatan yang lebih aktif untuk mencari serangan yang telah berhasil masuk kedalam sebuah organisasi.

Sistem pertahanan yang hanya fokus pada pencegahan sebuah serangan dinilai tidak terlalu efektif untuk mencegah berbagai jenis serangan yang terus berkembang setiap harinya. Kemampuan untuk mendeteksi adanya sebuah serangan atau insiden yang telah berhasil melewati sistem pertahanan semacam ini menjadi sebuah nilai tambah tersendiri dalam usaha untuk meningkatkan keamanan informasi suatu organisasi

Dalam sebuah serangan atau intrusi dikenal sebuah proses yang dinamakan Intrusion Kill Chain (lihat gambar dibawah untuk lebih jelasnya). Threat Hunting berperan penting dalam memutus proses dari sebuah serangan atau intrusi ini, semakin awal sebuah proses berhasil dideteksi dan dihentikan akan semakin baik karena dampak terhadap organisasi atau bisnis belum terlalu besar

sumber: cyber-ir.com
sumber: cyber-ir.com

Secara umum terdapat 2 jenis Threat Hunting yakni on-demand dan otomatis atau berkelanjutan.

On-demand Threat Hunting

Kegiatan ini difokuskan untuk mencari serangan yang spesifik dan Indicator of Compromise (IOC) pada sebuah jaringan atau sistem. Diperlukan adanya target yang jelas terkait serangan atau IOC apa yang dicari dalam kegiatan ini karena biasanya threat hunting model ini dibatasi oleh waktu.

Threat Hunting Berkelanjutan

Threat Hunting ini berfokus pada anomali, koneksi atau traffic yang tidak semestinya, registry yang mencurigakan, dan berbagai hal yang tidak sesuai dengan standar yang telah ditetapkan. Sesuai namanya, threat hunting ini dilakukan secara terus menerus dan tidak terbatas oleh waktu. Threat Hunting model ini dinilai lebih efektif dan applicable dibanding on-demand karena fokus dari on-demand yang berpusat pada IOC dan keberhasilan dari on-demand threat hunting ditentukan oleh seberapa baik IOC yang dimiliki

Referensi:

Cyber Threat Hunting Intro

The Who, What, Where, When, Why and How of Effective Threat Hunting

Continuous Security Monitoring

Mengacu pada rilis dokumen milik NIST, pengertian dari Information Security Continuous Monitoring (ISCM) adalah sebuah usaha berkelanjutan untuk menjaga kesadaran terkait keamanan informasi, kerentanan, dan ancaman untuk mendukung keputusan terkait manajemen resiko pada suatu organisasi. Information Security Continuous Monitoring (ISCM) untuk lebih mudahnya biasa disingkat menjadi Continuous Monitoring (CM) atau Continuous Security Monitoring (CSM)

Pada tulisan sebelumnya telah dijelaskan sedikit pengenalan terkait Network Security Monitoring (NSM). Banyak yang mengira bahwa dengan menerapkan Continuous Security Monitoring(CSM) maka mereka sudah tidak perlu lagi menerapkan NSM. CSM dan NSM merupakan dua hal yang berbeda jika dilihat dari fokus data yang dimonitor. NSM menitikberatkan pada threats atau ancaman yang melalui jaringan sementara CSM berfokus pada vulnerability atau kerentanan sebuah perangkat lunak atau system.

Pendekatan yang lebih jelas terkait perbedaan CSM dan NSM adalah bahwa pada CSM akan mencari atau mendata setiap asset yang ada pada sebuah organisasi, bisa berupa server, perangkat jaringan, endpoint, untuk kemudian mencari kerentanan yang ada disetiap asset tersebut dan melakukan update atau patch jika memungkinkan. Sementara NSM didesain untuk mendeteksi adanya percobaan berbahaya dari seseorang untuk masuk kedalam system, merespon tindakan tersebut untuk kemudian mencegah orang tersebut berhasil mencapai tujuannya.

Jadi jelas bahwa CSM dan NSM adalah dua hal yang berbeda. CSM adalah pelengkap dari NSM, begitupun sebaliknya.

Referensi:
1. NIST Special Publication 800-137

2. The Practice of Network Security Monitoring oleh Richard Bejtlich

Network Security Monitoring

Network Security Monitoring (NSM) adalah upaya untuk melakukan pengumpulan, analisa, dan dan eskalasi terhadap berbagai indikasi dan bahaya untuk kemudian melakukan pendeteksian dan respon terhadap adanya Insiden Keamanan Informasi.

Fungsi dan tugas untuk melakukan NSM ini biasanya dilakukan oleh sebuah organisasi yang bernama Computer Incident Response Teams (CIRTs). Dalam lingkup yang lebih kecil pada beberapa organisasi, fungsi dan peran CIRTs ini digantikan oleh suatu departemen atau unit tersendiri yang biasa disebut Security Operation Center (SOC). Beberapa tugas yang biasa dilakukan oleh CIRTs terkait NSM adalah seperti:

  • Mengumpulkan sejumlah data dari jaringan, biasanya dari perangkat security dan jaringan (firewall, ids, ips, switch, router, dll)
  • Melakukan analisa terhadap data yang dikumpulkan dari jaringan untuk mencari adanya indikasi Insiden Keamanan Informasi untuk kemudian memberitahukannya kepada pemilik jaringan/aset yang terdeteksi
  • Melakukan remediasi bersama dengan pemilik aset terhadap Insiden Keamanan Informasi
  • Melakukan analisa dampak dari setiap Insiden Keamanan Informasi yang terjadi

Apakah NSM dapat mencegah terjadinya Insiden Keamanan Informasi?

Jawabannya adalah tidak, karena NSM tidak terkait secara langsung dengan pencegahan Insiden. Pencegahan insiden keamanan informasi ini biasanya melibatkan perangkat security perimeter seperti Firewall, IPS, Antivirus, WAF, dll.

Mengacu pada pernyataan bahwa “pencegahan pada akhirnya akan gagal” dan “hanya masalah waktu sampai insiden keamanan informasi akan terjadi” maka peran NSM selanjutnya akan menjadi sangat penting untuk melakukan pengamatan, deteksi, dan eskalasi terhadap suatu insiden keamanan informasi.

Pertanyaan yang sering muncul kemudian adalah “Jika kita bisa mendeteksi adanya sebuah intrusi atau ancaman terhadap suatu keamanan informasi, kenapa kita tidak bisa melakukan pencegahannya juga?”

Jawaban sederhananya adalah karena tidak ada sistem yang sempurna. Mekanisme pencegahan dapat dipakai untuk melakukan pemblokiran terhadap berbagai aktifitas ataupun tindakan berbahaya, akan tetapi teknik, taktik dan perangkat yang dipakai oleh pelaku kejatahan (hackers) semakin hari semakin meningkat dan jumlah ataupun kompleksitas sistem yang harus kita lindungi juga ikut bertambah.

Fungsi dan tugas dari NSM kemudian menjadi vital ketika sebuah mekanisme pencegahan gagal melakukan tugasnya dengan baik dan benar.

Pendekatan baru yang kemudian biasa dipakai pada NSM adalah bagaimana kita melihat sebuah proses insiden keaman terjadi. NSM memang tidak bisa melakukan pencegahan terhadap insiden akan tetapi NSM dapat dipakai untuk mencegah pelaku kejatahan (hackers) mendapatkan apa yang diinginkan dari percobaan intrusi yang dilakukannya

Waktu menjadi faktor kunci dari suksesnya sebuah NSM. Hacker jarang melakukan aksinya dan berhasil mendapatkan apa yang diinginkannya dalam hitungan menit ataupun jam, bahkan tidak jarang mereka membutuhkan waktu beberapa hari, minggu atau mungkin bulan untuk mencapai hal tersebut.

Poin pentingnya adalah pada jeda waktu interval ini, dimulai saat hacker berhasil melakukan compromise terhadap target awal (target awal biasanya hanya dipakai untuk batu loncatan/jumpbox untuk menuju ke target yang sebenarnya) kemudian melakukan pergerakan internal (lateral movement) untuk mencari target sebenarnya sampai pada akhirnya melakukan serangan tersebut ke target akhirnya. Pada compromise awal ini NSM dapat berperan menjadi sebuah mekanisme deteksi yang efektif karena disini telah terbukti bahwa pencegahan telah gagal sehingga membuat seseorang/perangkat berhasil di-compromise atau diambil alih oleh hacker.

Respon yang cepat dari NSM juga akan berperan untuk menentukan seberapa jauh compromise ini telah terjadi dan dampak yang telah ditimbulkannya untuk kemudian melakukan pemberitahuan kepada pemilik perangkat bahwa perangkatnya telah ter-compromise sehingga dapat menghindari hacker untuk melancarkan aksi yang lebih jauh lagi. Pada poin ini NSM dapat dikatakan berhasil karena telah mencegah tujuan utama dari sang hacker untuk mencapai target utamanya dan membuat hacker tidak berhasil mendapatkan apa yang mereka inginkan dari awal.

Mekanisme pencegahan pada dasarnya juga menjadi salah satu komponen yang penting jika perencanaan dan implementasinya dilapangan dapat dilakukan dengan baik dan benar, termasuk juga perawatan, pengaturan, dan pembaruan secara berkala untuk membuat mekanisme pencegahan ini dapat berfungsi secara maksimal

Disini kemudian jelas bahwa fungsi dan peran dari NSM adalah sebagai pelengkap yang tidak dapat menggantikan sepenuhnya peran dari mekanisme pencegahan tersebut karena jika pencegahan gagal maka setidaknya masih ada NSM yang berperan untuk dapat melakukan analisa dan deteksi terhadap ancaman intrusi yang mungkin akan atau telah terjadi.

Semoga bermanfaat

Referensi: The Practice of Network Security Monitoring oleh Richard Bejtlich