Kejahatan Siber Bisa Memanfaatkan Alat yang Sah, Ini Tips Kaspersky

Suara.com - Perangkat lunak pemantauan atau monitoring dan manajemen bisa membantu TI dan administrator jaringan melakukan tugas seperti pemecahan masalah dan memberikan dukungan teknis. Namun, para pelaku kejahatan siber juga bisa memanfaatkan alat yang sah dalam melakukan serangan dunia maya di infrastruktur perusahaan.

Menurut Laporan Analisis Respon Insiden terbaru dari Kaspersky, hasil penyelidikan tim Kaspersky Global Emergency Response pada 2019 menunjukkan hampir sepertiga atau 30 persen dari serangan siber melibatkan alat manajemen dan administrasi jarak jauh yang sah.

Akibatnya, para pelaku kejahatan siber tidak terdeteksi untuk jangka waktu lama. Perangkat lunak itu memungkinkan para pelaku menjalankan proses pada titik akhir, mengakses dan mengekstrak informasi sensitif, melewati berbagai kontrol keamanan.

Secara total, analisis data anonim dari kasus respon insiden (IR) menunjukkan 18 alat sah yang disalahgunakan oleh aktor ancaman untuk tujuan berbahaya.

Salah satu yang paling banyak digunakan adalah PowerShell dengan 25 persen kasus. Alat administrasi yang kuat ini digunakan untuk berbagai tujuan, mulai mengumpulkan informasi hingga menjalankan malware.

Kemudian alat lainnya adalah PsExec yang dimanfaatkan dalam 22 persen serangan siber. Aplikasi konsol ini ditujukan untuk proses peluncuran pada titik akhir jarak jauh.

Lalu diikuti SoftPerfect Network Scanner sebanyak 14 persen kasus.

Lebih sulit bagi solusi keamanan untuk mendeteksi serangan yang dilakukan oleh alat yang sah karena tindakan ini dianggap sebagai bagian dari aktivitas kejahatan siber yang direncanakan atau tugas administrator sistem reguler.

Sebagai contoh, pada segmen serangan yang berlangsung lebih dari sebulan, insiden siber memiliki durasi rata-rata 122 hari. Karena tidak terdeteksi, para pelaku kejahatan siber dapat mengumpulkan data sensitif korban.

Namun, para ahli Kaspersky mencatat bahwa terkadang tindakan berbahaya yang menggunakan perangkat lunak sah mengungkapkan pelaku atau si aktor lebih cepat.

"Untuk menghindari deteksi dan tetap tidak terlihat dalam jaringan yang disusupi dalam jangka lama, para aktor ancaman banyak menggunakan perangkat lunak yang dikembangkan untuk aktivitas pengguna normal, tugas administrator, dan diagnostik sistem," jelas Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky, dalam keterangan pada siaran pers yang diterima Suara.com.

"Dengan alat ini, mereka dapat mengumpulkan informasi tentang jaringan perusahaan dan kemudian melakukan gerakan lateral, mengubah pengaturan perangkat lunak dan perangkat keras atau bahkan melakukan beberapa bentuk tindakan berbahaya," lanjutnya.

Konstantin Sapronov menambahkan contoh penggunaan perangkat lunak yang sah untuk mengenkripsi data pelanggan. Sehingga pelaku kejahatan tetap di bawah radar analis keamanan. Namun, sistem logging dan pemantauan yang diterapkan dengan tepat akan membantu mendeteksi aktivitas mencurigakan di jaringan dan serangan kompleks pada tahap awal.

Untuk meminimalkan kemungkinan perangkat lunak manajemen jarak jauh digunakan dalam menembus infrastruktur, Kaspersky memberikan rekomendasi ini:

1. Batasi akses ke alat manajemen jarak jauh dari alamat IP eksternal
2. Terapkan kebijakan kata sandi yang ketat untuk seluruh sistem IT dan otentikasi multi-faktor
3. Ikuti prinsip penawaran hak istimewa terbatas bagi staf dan hanya memberikan akun dengan hak istimewa tinggi kepada pihak yang membutuhkan.