Mikrosegmentasi adalah topik yang sangat dibahas dalam lingkup arsitektur InfoSec dan merupakan elemen penting dalam berbagai arsitektur serta model kematangan Zero Trust. Banyak organisasi mengandalkannya sebagai metode untuk secara signifikan mengurangi permukaan serangan mereka, dan memang hal ini terbukti efektif.
Namun, meskipun sering dipahami demikian, mikrosegmentasi tidak secara langsung mencegah pergerakan lateral. Mikrosegmentasi bukanlah strategi untuk sepenuhnya menolak pergerakan lateral, melainkan strategi untuk memperumitnya. Pergerakan lateral tetap mungkin terjadi—hanya saja akan menjadi lebih sulit.
Mari kita lakukan eksperimen pemikiran yang saya sebut “berpikir seperti penyerang.” Bayangkan Anda adalah seorang penyerang yang berusaha menembus organisasi yang telah menerapkan pendekatan mikrosegmentasi. Apakah mikrosegmentasi ini berbasis jaringan atau berbasis host/agen—itu tidak masalah untuk eksperimen kita.
Sebagai penyerang, Anda jarang memiliki kendali atas lokasi awal Anda. Kerentanan dalam layanan yang terhubung ke internet mungkin memberikan akses ke server tersebut. Mungkin Anda berhasil menipu pengguna dengan serangan phishing untuk menginstal RAT, dan sekarang Anda berada di PC mereka. Atau Anda berhasil mengkompromikan rantai pasokan dan memasukkan perangkat OT yang telah disisipi backdoor ke dalam lingkungan mereka. Anda hampir pasti tidak mendarat di dekat target utama Anda, sehingga Anda perlu bergerak secara lateral, berusaha tetap tersembunyi, dan merencanakan strategi Anda.
Pada titik ini, seorang penyerang tidak akan menyerah. Sebaliknya, mereka akan menjelajahi permukaan serangan yang tersedia dengan menjalankan beberapa pemindaian penemuan untuk melihat apa yang dapat mereka sambungkan. Ini bisa mencakup layanan, infrastruktur cloud, bahkan perangkat IoT/OT seperti printer. Anda dapat memeriksa tabel koneksi di host, tetapi jika itu tidak memberikan sesuatu yang dapat Anda manfaatkan, Anda akan terpaksa melakukan pemindaian.
Jika Anda menghadapi segmentasi berbasis jaringan, Anda mungkin perlu menjalankan pemindaian untuk melihat apa yang dapat Anda akses berdasarkan segmentasi yang diterapkan. Pemindaian ini akan sangat tidak biasa dan akan terdeteksi bahkan oleh IDS dasar. Namun, sebagian besar segmentasi berbasis jaringan tidak memantau pemindaian ini, sehingga pemindaian tersebut tidak akan terlihat, dan Anda akan menemukan kesempatan untuk pergerakan lateral dan mengeksploitasinya.
Sekarang, jika Anda memiliki segmentasi berbasis agen dan dapat memperoleh hak admin, Anda mungkin dapat menonaktifkan endpoint atau membuka port yang memungkinkan pergerakan lateral. Beberapa solusi berbasis agen juga memberikan visibilitas, jadi menonaktifkan agen kemungkinan juga menjadi agenda Anda. Setelah Anda memiliki hak admin, misalnya, melalui serangan BYOVD (bring your own vulnerable driver) di Windows, agen yang “tahan gangguan” sebagian besar menjadi tidak relevan. Sekali lagi, Anda tetap perlu melakukan pemindaian, mencari permukaan serangan, tetapi pemindaian ini akan terlihat sangat tidak biasa, terutama dibandingkan dengan agen yang berjalan di endpoint serupa.
Semua yang dilakukan mikrosegmentasi hanyalah membuatnya lebih sulit (strategi degradasi) daripada mustahil (strategi penolakan).
Jadi, mari kita ubah skenario dan perkenalkan mikrosegmentasi dengan observabilitas mendalam yang dapat diaktifkan oleh Gigamon, yang terhubung dengan alat NDR atau bahkan IDS.
Begitu Anda mulai melakukan pemindaian, Anda akan terdeteksi, dan ini akan memberi tahu tim SecOps tentang keberadaan Anda.
Realitasnya adalah bahwa tanpa visibilitas jaringan dari Gigamon Deep Observability Pipeline, mikrosegmentasi adalah solusi yang tidak lengkap di mana penyerang dapat bersembunyi. Mikrosegmentasi dengan observabilitas mendalam adalah yang terbaik dari kedua dunia, membatasi permukaan serangan sekaligus dengan mudah mengungkapkan keberadaan penyerang. Ini adalah skenario menang-menang dan hasil terbaik yang mungkin.
Ingin tahu lebih banyak mengenai gigamon, silahkan hubungi gigamon@ilogoindonesia.id