Mengenal Intrusion Kill Chain

Intrusion Kill Chain dapat didefinisikan sebagai sebuah metodologi deteksi berbasis intrusi yang memungkinkan seorang security analyst untuk fokus pada berbagai tahap pada sebuah serangan atau intrusi. Sebuah intrusi pada jaringan tidak bisa terjadi begitu saja dan memerlukan beberapa tahap untuk dapat berhasil dan mencapai tujuannya. Sebagai seorang Security Analyst yang melakukan NSM dan CSM penting untuk memahami bagaimana tahapan atau fase dalam sebuah intrusi terjadi. Dari pemahaman ini diharapkan Security Analyst dapat mengetahui lebih dalam tentang seberapa jauh sebuah intrusi telah terjadi dan dampak apa yang mungkin akan terjadi berdasarkan pada fase mana intrusi tersebut terdeteksi.

Berdasarkan paper yang dikeluarkan oleh Lockheed Martin, Intrusion Kill Chain dibagi menjadi 7 tahapan yakni Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control (C2), dan Actions on Objectives. Masing-masing dari tahapan tersebut akan dijelaskan lebih detail pada penjelasan dibawah

Reconnaissance

Reconnaissance merupakan tahap pertama dari intrusi yang paling sering dilakukan. Terdapat berbagai macam teknik untuk melakukan reconnaissance, yang paling umum reconnaissance ini dikelompokkan kedalam 2 tipe yakni Aktif dan Pasif.

Reconnaissance secara aktif akan melibatkan attacker untuk menyentuh atau terhubung langsung dengan target serangan guna mendapatkan informasi yang lebih lengkap dan spesifik misal seperti informasi kerentanan atau vulnerability pada sistem target. Reconnaissance jenis ini merupakan yang paling mudah dideteksi karena biasanya menggunakan tools otomatis yang sudah ada seperti Nmap. Perangkat perimeter seperti IDS dan IPS juga sangat mudah mengenali serangan jenis ini.

Tindakan pencegahan yang bisa dilakukan untuk mencegah attacker mendapatkan berbagai informasi berharga pada tahap ini adalah dengan mengimplementasikan Firewall disertai dengan ACL yang baik dan terdokumentasi. Penambahan perangkat seperti IPS juga menjadi solusi yang baik untuk melakukan pemblokiran secara otomatis saat terdeteksi adanya serangan ini.

Berbeda dengan tipe aktif, tipe pasif tidak melibatkan target serangan secara langsung. Informasi yang dibutuhkan untuk melakukan serangan pada tahap ini didapatkan biasanya dari pihak ketiga seperti mesin pencari, media sosial, dan beberapa website penyedia informasi. Informasi yang didapatkan biasanya berupa alamat email, nomor telepon, akun media sosial, informasi lowongan pekerjaan, termasuk juga teknologi yang dipakai pada sebuah organisasi atau perusahaan. Informasi ini kemudian diolah sedemikian rupa oleh attacker untuk melancarkan serangan yang memang secara spesifik dikhususkan untuk organisasi tersebut.

Weaponization

Tergantung dari jumlah dan kualitas informasi yang berhasil didapatkan dari proses reconnaissance, attacker akan mulai menyusun skenario serangan yang paling cocok terhadap targetnya, dan tahap ini disebut weaponization. Tahapan ini lebih banyak terjadi pada sisi attacker sehingga cukup sulit dideteksi sampai serangan tersebut dijalankan

Fase ini sangat bergantung pada informasi hasil reconnaissance sehingga untuk mengurangi tingkat keberhasilan dari attacker dapat dilakukan pembatasan informasi apa saja yang mungkin dapat diketahui oleh attacker pada fase reconnaissance. Dan juga memastikan bahwa setiap vulnerability yang terdapat pada jaringan internal dilakukan patch sebelum berhasil dieksploitasi oleh attacker.

Delivery

Skenario yang telah disiapkan sebelumnya pada fase weaponization kemudian dijalankan pada fase delivery. Payload ataupun exploit yang telah dipilih sebelumnya akan dikemas sedemikian hingga dan dikirmkan ke target dengan berbagai cara misal saja seperti lewat email, usb flash-drive yang sengaja dijatuhkan didekat lokasi target, atau melalui website yang telah disusupi payload dan mengarahkan target untuk mengunjungi website tersebut. Berbagai teknik delivery ini akan tergantung dari jenis informasi apa yang didapat pada fase reconnaissance dan skenario serangannya. Attacker yang berpengalaman biasanya memiliki lebih dari 1 skenario untuk mengantisipasi jika skenario yang lain gagal.

Fase delivery menjadi tahap pertama dari sebuah intrusi yang akan terjadi. Reconnaissance dan weaponization masih bisa diibaratkan sebagai tahap persiapan sebelum benar-benar melakukan intrusi yang sebenarnya. Mitigasi yang bisa dilakukan untuk mencegah dan mendeteksi serangan pada tahap delivery ini adalah dengan mengimplementasikan IDS dan IPS. IDS bisa dipakai untuk mendeteksi berbagai macam jenis serangan berdasarkan signature maupun behaviornya. IDS hanya memiliki kemampuan untuk mendeteksi sehingga dibutuhkan reaksi dan tindakan yang tepat ketika IDS berhasil mendeteksi adanya serangan yang sesungguhnya. Sementara IPS memiliki kemampuan untuk memblokir serangan langsung saat serangan itu terdeteksi.

Exploitation

Exploitation adalah tahapan selanjutnya setelah exploit atau payload berhasil dikirimkan, diterima dan dijalankan oleh target. Exploit akan dijalankan dan mengeksploitasi vulnerability yang ada pada target menyebabkan perangkatnya ter-compromise. Exploit ini bisa diberikan langsung pada tahap delivery ataupun hanya berupa dropper dimana exploit yang sesungguhnya akan didownload dari internet saat dropper tersebut dijalankan oleh target

Jenis exploit yang biasa dipakai oleh attacker adalah exploit umum yang sudah banyak beredar di internet yang dapat mengeksploitasi vulnerability yang telah diketahui dan dipublikasikan untuk umum. Patch management yang buruk pada suatu organisasi membuat exploit jenis ini masih menjadi senjata yang ampuh untuk menyerang target. Exploit tingkat lanjut akan melibatkan vulnerability yang belum diketahui oleh siapapun dan melibatkan 0-day malware

Mitigasi yang bisa dilakukan untuk mengurangi tingkat keberhasilan pada fase ini adalah dengan mengimplementasikan Host-based IDS/IPS (HIDS/HIPS), menerapkan application whitelisting, dan patch management yang baik. Hampir sama seperti Network-based IDS/IPS, HIDS/HIPS bekerja berdasarkan signature dan behavior analyis. Application whitelisting akan mencegah aplikasi ataupun script yang tidak ada dalam list untuk berjalan pada sistem. Patch Management akan mencegah exploit umum untuk berhasil berjalan dan mengeksploitasi vulnerability yang sudah dipublikasikan

Installation

Instalasi dari Remote Access Trojan (RAT) dan backdoor pada target membuat attacker memiliki akses berkelanjutan pada sistem target untuk melancarkan serangan lanjutan ataupun mengincar target lainnya. Attacker yang terlatih dan berpengalaman akan dengan mudah menyembunyikan RAT dan backdoor yang diinstallnya untuk menghindari deteksi, RAT dan backdoor jenis ini biasanya merupakan varian yang telah dimodifikasi

Sistem deteksi tingkat lanjut dapat diimplementasikan untuk memitigasi serangan pada tahap ini. Salah satu contoh implementasi yang biasa dilakukan adalah dengan melakukan monitoring pada event logs dan registry sistem. Berbagai macam perubahan pada sistem akan dideteksi oleh sistem monitoring. Application whitelisting juga bisa dipakai untuk mencegah RAT dan backdoor dapat diinstall pada sistem

Command and Control (C2)

Command and Control (C2) dipakai oleh attacker untuk mengontrol sistem target yang telah ter-compromise secara penuh. C2 ini bisa diimplementasikan pada berbagai protokol tergantung dari kemampuan attacker, C2 yang umum adalah via protokol yang tidak terenkripsi seperti HTTP, DNS, ICMP, dan IRC. Beberapa attacker yang terlatih akan memakai jalur komunikasi terenkripsi untuk menghindari pendeteksian seperti HTTPS dan SSH.

IDS dan IPS dapat mendeteksi traffic komunikasi dari C2. Beberapa jenis malware akan melakukan koneksi outbound untuk menghubungi pemiliknya, koneksi atau komunikasi ini biasa disebut dengan istilah callback atau homecalling. Traffic komunikasi jenis ini biasanya memiliki pola tertentu misal saja seperti satu sampai dua kali dalam sehari dan pada jam-jam tertentu. Melakukan monitoring dan analisa dari traffic dapat membantu untuk mendeteksi pola komunikasi C2 ini. Adanya anomali pada traffic bisa dijadikan sebagai sebuah pertanda adanya sesuatu yang tidak semestinya. Implementasi Outbound Filtering menjadi salah satu metode yang sangat ampuh untuk mencegah traffic c2 keluar dari jaringan internal sebuah organisasi.

Actions on Objectives

Setiap attacker pasti memiliki tujuan saat melancarkan serangannya, entah itu hanya untuk melatih kemampuan dan untuk pamer atau yang lebih serius lagi seperti pencurian informasi dan cyberterrorism. Ketika attacker telah berhasil mencapai targetnya maka security analyst yang melakukan NSM dan CSM sebagai defender dapat dikatakan gagal dalam menjalankan tugasnya. Oleh karena itu salah satu tugas security analyst adalah untuk mencegah attacker mendapatkan tujuannya, medeteksi serangannya dan memutus serangan tersebut pada fase atau tahap yang tepat sesuai Intrusion Kill Chain.

Referensi;
1. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (Lockheed Martin Whitepaper)
2. Detecting and Preventing Attacks Earlier in the Kill Chain (SANS Whitepaper)

Iklan

Mengenal Threat Hunting

Threat Hunting menjadi istilah yang cukup populer dalam beberapa waktu kebelakang. Beberapa perusahaan penyedia jasa keamanan informasi mulai menawarkan hal ini sebagai salah satu produknya. Di era yang serba digital dan derasnya pertukaran informasi seperti sekarang ini, Kebocoran atau Insiden Keamanan Informasi merupakan sesuatu yang tidak lagi dapat dihindari, dan tinggal menunggu waktu saja kapan insiden tersebut terjadi dan diketahui.

Threat Hunting dapat didefinisikan sebagai sebuah usaha berkelanjutan untuk terus secara aktif mencari serangan atau intrusi yang telah berhasil melewati sistem pertahanan dan untuk menangkap atau menghentikan sebuah intrusi saat prosesnya masih berlangsung untuk mencegahnya mencapai tujuan akhir yang diinginkan

Kata kunci dari definisi Threat Hunting diatas adalah aktif, melewati sistem pertahanan, intrusi masih berlangsung, dan tujuan akhir intrusi.

Kegiatan Incident Response telah berubah dari awalnya hanya reaktif dan menunggu datangnya intrusi atau serangan menjadi kegiatan yang lebih aktif untuk mencari serangan yang telah berhasil masuk kedalam sebuah organisasi.

Sistem pertahanan yang hanya fokus pada pencegahan sebuah serangan dinilai tidak terlalu efektif untuk mencegah berbagai jenis serangan yang terus berkembang setiap harinya. Kemampuan untuk mendeteksi adanya sebuah serangan atau insiden yang telah berhasil melewati sistem pertahanan semacam ini menjadi sebuah nilai tambah tersendiri dalam usaha untuk meningkatkan keamanan informasi suatu organisasi

Dalam sebuah serangan atau intrusi dikenal sebuah proses yang dinamakan Intrusion Kill Chain (lihat gambar dibawah untuk lebih jelasnya). Threat Hunting berperan penting dalam memutus proses dari sebuah serangan atau intrusi ini, semakin awal sebuah proses berhasil dideteksi dan dihentikan akan semakin baik karena dampak terhadap organisasi atau bisnis belum terlalu besar

sumber: cyber-ir.com
sumber: cyber-ir.com

Secara umum terdapat 2 jenis Threat Hunting yakni on-demand dan otomatis atau berkelanjutan.

On-demand Threat Hunting

Kegiatan ini difokuskan untuk mencari serangan yang spesifik dan Indicator of Compromise (IOC) pada sebuah jaringan atau sistem. Diperlukan adanya target yang jelas terkait serangan atau IOC apa yang dicari dalam kegiatan ini karena biasanya threat hunting model ini dibatasi oleh waktu.

Threat Hunting Berkelanjutan

Threat Hunting ini berfokus pada anomali, koneksi atau traffic yang tidak semestinya, registry yang mencurigakan, dan berbagai hal yang tidak sesuai dengan standar yang telah ditetapkan. Sesuai namanya, threat hunting ini dilakukan secara terus menerus dan tidak terbatas oleh waktu. Threat Hunting model ini dinilai lebih efektif dan applicable dibanding on-demand karena fokus dari on-demand yang berpusat pada IOC dan keberhasilan dari on-demand threat hunting ditentukan oleh seberapa baik IOC yang dimiliki

Referensi:

Cyber Threat Hunting Intro

The Who, What, Where, When, Why and How of Effective Threat Hunting

Continuous Security Monitoring

Mengacu pada rilis dokumen milik NIST, pengertian dari Information Security Continuous Monitoring (ISCM) adalah sebuah usaha berkelanjutan untuk menjaga kesadaran terkait keamanan informasi, kerentanan, dan ancaman untuk mendukung keputusan terkait manajemen resiko pada suatu organisasi. Information Security Continuous Monitoring (ISCM) untuk lebih mudahnya biasa disingkat menjadi Continuous Monitoring (CM) atau Continuous Security Monitoring (CSM)

Pada tulisan sebelumnya telah dijelaskan sedikit pengenalan terkait Network Security Monitoring (NSM). Banyak yang mengira bahwa dengan menerapkan Continuous Security Monitoring(CSM) maka mereka sudah tidak perlu lagi menerapkan NSM. CSM dan NSM merupakan dua hal yang berbeda jika dilihat dari fokus data yang dimonitor. NSM menitikberatkan pada threats atau ancaman yang melalui jaringan sementara CSM berfokus pada vulnerability atau kerentanan sebuah perangkat lunak atau system.

Pendekatan yang lebih jelas terkait perbedaan CSM dan NSM adalah bahwa pada CSM akan mencari atau mendata setiap asset yang ada pada sebuah organisasi, bisa berupa server, perangkat jaringan, endpoint, untuk kemudian mencari kerentanan yang ada disetiap asset tersebut dan melakukan update atau patch jika memungkinkan. Sementara NSM didesain untuk mendeteksi adanya percobaan berbahaya dari seseorang untuk masuk kedalam system, merespon tindakan tersebut untuk kemudian mencegah orang tersebut berhasil mencapai tujuannya.

Jadi jelas bahwa CSM dan NSM adalah dua hal yang berbeda. CSM adalah pelengkap dari NSM, begitupun sebaliknya.

Referensi:
1. NIST Special Publication 800-137

2. The Practice of Network Security Monitoring oleh Richard Bejtlich