Merah, ungu, dan biru — tim keamanan mencegah para peretas

Merah, ungu, dan biru -- tim keamanan mencegah para peretas

Terlepas dari berapa banyak uang yang dihabiskan untuk keamanan siber, kemungkinan diretas, terus meningkat. Lanskap ancaman terus berkembang dengan serangan ransomware dan pemerasan baru yang dilaporkan setiap hari, selain negara-negara musuh yang mencuri informasi pribadi dan kekayaan intelektual untuk tujuan jahat.

Alasannya bermacam-macam dan kompleks. Infrastruktur TI menjadi semakin rumit, dengan program pengembangan perangkat lunak baru yang memperkenalkan kerentanan baru. Penjahat dunia maya menjadi lebih canggih dan terorganisir dengan lebih baik, dengan ancaman persisten lanjutan (APT) baru yang terus ditemukan. Diperparah dengan spionase dunia maya yang disponsori negara yang mencari apa pun yang dapat digunakan untuk keuntungan ekonomi atau politik.

Sebagian besar perusahaan berusaha memecahkan masalah dengan membeli perangkat lunak keamanan tambahan untuk tujuan tertentu — namun produk terpisah ini tidak serta merta menawarkan perlindungan lengkap dan terkadang dapat menimbulkan masalah tambahan, dengan memperluas aset TI organisasi dan menciptakan tanggung jawab baru untuk pemeliharaan dalam tim TI, tetapi juga dengan berpotensi meninggalkan celah di antara solusi. Kerentanan, celah, dan proses bisnis yang buruk memungkinkan peretas jahat untuk berkompromi dengan infrastruktur TI; dan aplikasi pertahanan dunia maya konvensional tidak dapat mengatasinya sendiri.

Berpikirlah seperti seorang peretas

Solusinya adalah menemukan kelemahan Anda sendiri dan kemudian memulihkannya, sebelum dapat dimanfaatkan oleh penjahat. Cara terbaik untuk melakukan ini? Tim merah.

‘Tim Merah’ adalah istilah yang berasal dari game perang militer, yang dimaksudkan untuk meniru penyerang dan menyelidiki pertahanan. Dalam permainan perang seperti itu, sisi pertahanan disebut tim biru. Tim ungu menggambarkan upaya untuk menyelaraskan kedua kelompok; yaitu, menggunakan metode yang ditemukan oleh tim merah untuk memungkinkan tim biru meningkatkan pertahanan.

Dalam keamanan dunia maya, tim merah mencoba menerobos pertahanan keamanan perusahaan untuk menemukan dan menunjukkan cara-cara di mana peretas sejati dapat menyerang dan membahayakan organisasi. Tim merah berpikir dan bertindak seperti peretas, dan operatornya sangat terampil dan harus dikerahkan dengan cara yang terfokus. Organisasi yang sangat besar terkadang memiliki tim merah permanen dalam daftar gaji, tetapi sebagian besar perusahaan tidak mampu membayar kemewahan ini dan oleh karena itu seringkali tidak memiliki sumber daya khusus.

Tim ungu dalam keamanan siber adalah kolaborasi antara tim merah dan biru untuk meningkatkan hasil keterlibatan secara keseluruhan. Ini termasuk bekerja sama untuk mengidentifikasi kelemahan, dan membantu membangun rencana yang kuat untuk organisasi, termasuk upaya deteksi dan perbaikan, untuk meningkatkan postur keamanan siber perusahaan secara keseluruhan.

Penting untuk dicatat bahwa tim merah jauh melampaui lingkup tradisional pengujian penetrasi (pentesting). Pentesting mencari kerentanan yang diketahui, sementara tim merah mencoba eksploitasi aktual melalui skenario yang telah ditentukan yang mencakup pengujian orang, proses, dan teknologi, dan seberapa baik ketiga komponen dapat bekerja sama. Seringkali kelemahan dalam prosedur operasional, serta menemukan kerentanan yang dapat dieksploitasi dalam infrastruktur TI, ditemukan.

Proses kerja tim ungu adalah salah satu cara paling ampuh untuk memastikan pertahanan keamanan siber yang efektif karena memberikan gambaran menyeluruh tentang organisasi dan telah terbukti berkali-kali sebagai investasi yang berharga.

Keberhasilan tim merah

Ada beberapa contoh keberhasilan tim merah yang dipublikasikan karena hasilnya sangat relevan, dan seringkali merupakan hak milik, bagi perusahaan yang sedang diuji. Google, bagaimanapun, telah memberikan ilustrasi tentang salah satu serangan tim merahnya terhadap dirinya sendiri.

Penyerang mengirim hadiah palsu kepada karyawan — bola dunia plasma bermerek Google yang dapat dicolokkan ke komputer. Melakukan hal itu mengirimkan sistem pintu belakang, dan cukup banyak karyawan yang dikompromikan agar penyerang mendapatkan akses. Akses awal ini memungkinkan tim merah bergerak menyamping menuju target utama mereka: cetak biru Google Glass. Tim merah dapat mengakses dan mengunduh cetak biru untuk membuktikan keberhasilan mereka.

Contoh lain datang dari tim kami sendiri. Kami ditugaskan mencuri data dari CEO perusahaan FTSE 100. Upaya phishing awal terhadap staf gagal, tetapi ini diikuti oleh panggilan telepon di mana tim merah mengaku sebagai staf keamanan internal yang mencoba memeriksa laptop. Serangan ini berhasil dan ‘penyerang’ memperoleh akses jarak jauh ke laptop. Begitu masuk, kesalahan konfigurasi memungkinkan mereka mengambil alih akun administrator — yang kemudian memberi mereka akses langsung ke email CEO.

Skenario khas tim merah

Kami menggunakan metodologi tim merah yang secara longgar didasarkan pada model rantai pembunuh intrusi dunia maya tujuh tautan Lockheed Martin (istilah lain yang diadaptasi dari penggunaan militer).

Model ini memiliki delapan fase: perencanaan, pengintaian, serangan awal, membangun pijakan, eksploitasi titik akhir, pergerakan lateral, pencapaian tujuan, dan pelaporan. Yang kedelapan sering kali berada di luar jangkauan rantai pembunuhan yang sebenarnya, tetapi mungkin yang paling penting agar latihan tim merah berhasil. Ini terdiri dari laporan tentang operasi tim merah, yang memungkinkan pelanggan dan tim keamanannya untuk memahami dan memulihkan setiap kelemahan dalam postur keamanan sebelum mereka dapat dieksploitasi oleh peretas musuh yang sebenarnya.

Tim merah untuk semua

Bagi sebagian besar perusahaan, pendekatan terbaik untuk tim merah adalah dengan menggunakan tim siap pakai dari penyedia spesialis.

Pertama, ini adalah pendekatan yang paling terjangkau. Kedua, spesialis tim merah dari penyedia akan memberikan pengalaman terakreditasi yang luar biasa. Dan yang terakhir, namun tidak kalah pentingnya, membawa perhatian dari luar ke masalah tersebut akan memberikan pendekatan yang benar-benar baru dan unik terhadap sikap keamanan siber perusahaan dan kelemahan keamanan siber.

Kredit gambar: BeeBright/depositphotos.com

Dhruv Bisani adalah Red Team Practice Operations Lead di Eurofins Cyber ​​Security, dengan pengalaman industri lebih dari 6 tahun. Dhruv berspesialisasi dalam pengujian tim merah dan telah memimpin dan memberikan keterlibatan tim merah di beberapa industri seperti layanan keuangan, ritel, dan klien sektor swasta, termasuk proyek pendukung di bawah skema UK CBEST yang diamanatkan oleh Bank of England untuk bank-bank papan atas Inggris. Selain itu, Dhruv juga mengelola dan memberikan beberapa jenis keterlibatan pengujian penetrasi termasuk pengujian aplikasi, pengujian nirkabel, pengujian API, dan latihan phishing.

Author: Kenneth Henderson