Memahami Taktik Pengintaian Peretas dalam Cyber Kill Chain

BEBERAPA waktu lalu telah saya bahas mengenai pentingnya manajemen waktu dalam insiden siber. (Baca: Mengapa Waktu Sangat Penting bagi Keamanan Siber?)

Sekarang, saya akan menerangkan tentang “Cyber Kill Chain” (CKC)--memahami bagaimana langkah-langkah serangan siber dengan sederhana. Kelihatannya sederhana, tapi kenyataannya tidak. Setiap langkah memiliki banyak kompleksitas proses.

Terdapat tujuh langkah atau fase sebelum penyerang melakukan sebuah serangan siber. Terdapat tujuh langkah yang sebelum penyerang melakukan sebuah serangan sibe, antara lain reconnaissance, weaponization, delivery, exploitation, installation, command & control, dan actions on objectives.

Dalam tulisan ini, saya akan menjelaskan langkah atau fase pertama dari rantai mematikan (kill chain) yaitu reconnaissance atau pengintaian.

Pada fase tersebut mengenai bagaimana teknik rekayasa sosial (social engineering) dan human malware diterapkan oleh penyerang Tahapan ini layaknya tim pengujian penetrasi (pentest) terhadap lingkungan TI dan pertahanan sebelum dilakuan sebuah eksploitasi atau serangan.

Dari tahap ini bisa diketahui, apakah bisnis Anda menerapkan operasi keamanan (opsec) atau tidak. Jangan salah, penyerang juga memantau informasi iklan lowongan kerja perusahaan Anda. Mereka memantau kebutuhan karyawan yang diinginkan, misalnya, yang berspesialisasi dengan alat keamanan tertentu atau mmeiliki keahlian tertentu untuk aplikasi tertentu.

Semuanya itu informasi kedua yang perlu diketahui oleh penyerang tentang bisnis Anda di masa depan.

Penyerang meneliti bisnis Anda dengan menyertakan pangsa pasar, pendapatan, dan karyawan Anda. Mereka memetakan Anda dengan mengidentifikasi kelemahan tim dan model operasi untuk dieksploitasi. Semua  itu bagian dari rencana serangan siber, bisa berupa business email compromise (BEC), ransomware, atau lebih buruk lagi menggunakan serangan remote administration trojan (RAT) untuk mencuri data rahasia perusahaan.

Tak hanya itu, tweet, obrolan, cerita, dan pesan teks karyawan Anda juga akan dikumpulkan oleh penyeang sebagai bahan informasi pendukung.

Bisa saja serangan akan menargetkan staf yang ditawari untuk wawancara pekerjaan; ditanya tentang apa yang mereka lakukan saat bekerja dan alat yang digunakan atau masalah yang mereka alami setiap hari. Semua itu untuk mengenal Anda lebih baik dan untuk menyederhanakan serangan.

Terdengar seperti fantasi atau naskah Mission Impossible, ya? Namun, itu terjadi setiap hari di seluruh dunia, termasuk di Indonesia. Miliaran rupiah dapat hilang setiap pekan, bahkan setiap hari karena serangan yang berhasil dilakukan berdasarkan langkah-langkah tersebut.

Kelompok penyerang canggih yang diduga berafiliasi dengan sebuah pemerintah (nation state) atau baisa dikenal dengan Advanced Persistent Threats (APT) biasa mengunakan teknik-teknik tersebut. Teknik-teknik tersebut digunakan untuk peretasan skala massal dengan target lingkup regional atau nasional.

Apakah Anda siap? Itu pertanyaan besarnya.

Jika bisnis Anda, ini yang biasa saya temui di Indonesia, hanya menerapkan stateful firewall dan perangkat lunak antivirus yang tidak dikelola. Maaf, Anda seperti melawan rudal jarak jauh dengan senjata sebilah pisau. Anda pasti kalah.

Cyber Security Framework (CSF), standar kematangan keamanan yang dirujuk oleh Badan Siber dan Sandi Negara, lebih komprehensif daripada standar keamanan ISO 27001 dengan tambahan 134 kontrol yang diperlukan.

ISO 27001 adalah awal dari solusi yang dibutuhkan untuk cybersecurity, tetapi hanya langkah pertama, sedangkan CSF mencakup semua ISO 27001. Oleh karenanya, bisnis harus menyelesaikan standar ISO 27001. Namun, harus dipahami bahwa standar ini baru 56 persen dari kontrol melalui manusia, kebijakan, dan teknologi untuk perlindungan keamanan 4.0.

Fase-fase penyerangan oleh peretas atau dikenal dengan sebutan Cyber Kill Chain. | Sumber: Lock Heed Martin

Kembali ke stateful firewall dan dampak perubahan. Ketika kami pertama kali mulai menggunakan firewall pada 1990-an, itu adalah cara pertama melindungi jaringan kami dengan memberikan perlindungan lapisan 2 dan 3 yang bagus dengan router yang secara efektif bekerja. Saat itu bentuk peretasan (attack surface) telah berubah secara besar-besaran sejak 1990-an, sayangnya sebagian besar implementasi firewall saat ini belum berubah.

Firewall dan proteksi jaringan lainnya pada 1990-an jika dipakai saat ini tak relevan lagi. Kapabilitas yang saat ini tidak dimiliki, yaitu visibilitas data di jaringan. Saat ini, misal, data lapisan 2 dan 3 terlihat, tetapi konten paket lapisan 4 hingga 7 semakin dienkripsi setiap hari oleh SSL dan TLS. Kurangnya visibilitas ini menurunkan kinerja firewall karena lebih banyak sesi dibuat.

Firewall bisa saja bekerja keras untuk memberikan perlindungan yang diperlukan, tetapi mereka sendiri bukan yang terbaik bagi perlindungan pusat data (data center). Mengapa? Karena firewall hanya melihat sesi keluar dan bukan sesi masuk yang baru ke server Anda. Reverse-Proxy dan Internet Access Gateway harus ditambahkan ke pusat data untuk perlindungan jaringan yang penuh ke level aplikasi.

Untuk itu, di level titik akhir (endpoint), di bagian pengguna, disarankan menginstal Application Layer 7 Firewall yang lengkap dan memiliki akses ke perubahan real-time dalam aturan perlindungan jaringan.

Internet berubah sangat cepat, perlindungan jaringan harus dapat melindungi Anda terhadap pengintaian dengan taktik dan teknik peretas yang terus berkembang. Anda tidak bisa melupakan yang lama dan hanya melindungi dari ancaman terbaru.

Dalama amatan kami terkait dengan tingkat serangan endpoint terhadap sistem dari 1990-an hingga awal 2000-an, yang dapat melewati perlindungan jaringan pelanggan, satu hal yang perlu dicatat: terlalu percaya terhadap lalu lintas masuk dari internet.

Oleh karenanya, firewall harus mengizinkan lingkungan Anda untuk masuk ke Internet dan menyediakan NAT (Network Address Translation) pada semua lalu lintas keluar. Sistem yang perlu dikomunikasikan dari luar harus berada di DMZ, sepenuhnya jauh dari endpoint lain.

Perlindungan wilayah harus ada. Jika pengguna Anda hanya di Indonesia, maka tidak ada alasan Anda menerima lalu lintas masuk dari Eropa Timur. Lebih baik lagi adalah komunikasi harus menggunakan VPN atau Virtual LAN dengan sistem VL2. Dengan teknologi ini, tidak ada yang dapat melihat atau menyentuh sistem internal Anda dari lapisan 2 hingga 7.

Pengintaian oleh APT yang sukses dimulai dari Anda dan rekaman bisnis Anda yang permanen di internet. Setelah mereka menentukan cara terbaik untuk merampok uang Anda, mereka akan bermigrasi ke pemetaan lingkungan digital guna memverifikasi data sebelumnya. Dari sini, langkah atau faser berikutnya yang disiapkan oleh penyerang adalah senjata (weapon) atau alat untuk bergerak masuk melalui jaringan yang dipakai sebagai langkah/fase pengiriman (delivery). Langkah-langkah tersebut akan dibahas di artikel berikutnya.

Yang perlu Anda sadari sekarang: apakah Anda masih menggunakan praktik perlindungan keamanan terbaik era 1990-an atau sudah beralih ke tren sekarang, seperti CSF, MITRE ATT&CK, dan CKC?[]

Penulis adalah COO dan Chief Geek untuk PT. DNA yang berbisnis di Naga Cyber, Naga Cybersecurity dan Naga Cyber Defense. Dengan pengalaman 41 tahun dalam TI dan 34 tahun pengalaman cybersecurity di seluruh spektrum siber, ia pernah menjadi guru dan Enterprise Security Solution Architect yang bekerja di Amerika, Eropa, Timur Tengah dan Asia untuk Bisnis Global 2000 dan Pemerintah.