Mikrosegmentasi adalah topik yang sangat dibahas dalam lingkup arsitektur InfoSec dan merupakan elemen penting dalam berbagai arsitektur serta model kematangan Zero Trust. Banyak organisasi mengandalkannya sebagai metode untuk secara signifikan mengurangi permukaan serangan mereka, dan memang hal ini terbukti efektif. Namun, meskipun sering dipahami demikian, mikrosegmentasi tidak secara langsung mencegah pergerakan lateral. Mikrosegmentasi bukanlah strategi untuk sepenuhnya menolak pergerakan lateral, melainkan strategi untuk memperumitnya. Pergerakan lateral tetap mungkin terjadi—hanya saja akan menjadi lebih sulit. Mari kita lakukan eksperimen pemikiran yang saya sebut “berpikir seperti penyerang.” Bayangkan Anda adalah seorang penyerang yang berusaha menembus organisasi yang telah menerapkan pendekatan mikrosegmentasi. Apakah mikrosegmentasi ini berbasis jaringan atau berbasis host/agen—itu tidak masalah untuk eksperimen kita. Sebagai penyerang, Anda jarang memiliki kendali atas lokasi awal Anda. Kerentanan dalam layanan yang terhubung ke internet mungkin memberikan akses ke server tersebut. Mungkin Anda berhasil menipu pengguna dengan serangan phishing untuk menginstal RAT, dan sekarang Anda berada di PC mereka. Atau Anda berhasil mengkompromikan rantai pasokan dan memasukkan perangkat OT yang telah disisipi backdoor ke dalam lingkungan mereka. Anda hampir pasti tidak mendarat di dekat target utama Anda, sehingga Anda perlu bergerak secara lateral, berusaha tetap tersembunyi, dan merencanakan strategi Anda. Pada titik ini, seorang penyerang tidak akan menyerah. Sebaliknya, mereka akan menjelajahi permukaan serangan yang tersedia dengan menjalankan beberapa pemindaian penemuan untuk melihat apa yang dapat mereka sambungkan. Ini bisa mencakup layanan, infrastruktur cloud, bahkan perangkat IoT/OT seperti printer. Anda dapat memeriksa tabel koneksi di host, tetapi jika itu tidak memberikan sesuatu yang dapat Anda manfaatkan, Anda akan terpaksa melakukan pemindaian. Jika Anda menghadapi segmentasi berbasis jaringan, Anda mungkin perlu menjalankan pemindaian untuk melihat apa yang dapat Anda akses berdasarkan segmentasi yang diterapkan. Pemindaian ini akan sangat tidak biasa dan akan terdeteksi bahkan oleh IDS dasar. Namun, sebagian besar segmentasi berbasis jaringan tidak memantau pemindaian ini, sehingga pemindaian tersebut tidak akan terlihat, dan Anda akan menemukan kesempatan untuk pergerakan lateral dan mengeksploitasinya. Sekarang, jika Anda memiliki segmentasi berbasis agen dan dapat memperoleh hak admin, Anda mungkin dapat menonaktifkan endpoint atau membuka port yang memungkinkan pergerakan lateral. Beberapa solusi berbasis agen juga memberikan visibilitas, jadi menonaktifkan agen kemungkinan juga menjadi agenda Anda. Setelah Anda memiliki hak admin, misalnya, melalui serangan BYOVD (bring your own vulnerable driver) di Windows, agen yang “tahan gangguan” sebagian besar menjadi tidak relevan. Sekali lagi, Anda tetap perlu melakukan pemindaian, mencari permukaan serangan, tetapi pemindaian ini akan terlihat sangat tidak biasa, terutama dibandingkan dengan agen yang berjalan di endpoint serupa. Semua yang dilakukan mikrosegmentasi hanyalah membuatnya lebih sulit (strategi degradasi) daripada mustahil (strategi penolakan). Jadi, mari kita ubah skenario dan perkenalkan mikrosegmentasi dengan observabilitas mendalam yang dapat diaktifkan oleh Gigamon, yang terhubung dengan alat NDR atau bahkan IDS. Begitu Anda mulai melakukan pemindaian, Anda akan terdeteksi, dan ini akan memberi tahu tim SecOps tentang keberadaan Anda. Realitasnya adalah bahwa tanpa visibilitas jaringan dari Gigamon Deep Observability Pipeline, mikrosegmentasi adalah solusi yang tidak lengkap di mana penyerang dapat bersembunyi. Mikrosegmentasi dengan observabilitas mendalam adalah yang terbaik dari kedua dunia, membatasi permukaan serangan sekaligus dengan mudah mengungkapkan keberadaan penyerang. Ini adalah skenario menang-menang dan hasil terbaik yang mungkin. Ingin tahu lebih banyak mengenai gigamon, silahkan hubungi gigamon@ilogoindonesia.id
Author: basri i
7 Hal Penting yang Perlu Diketahui untuk Dekripsi yang Efektif
Saat ini, lebih dari 96 persen lalu lintas web menggunakan enkripsi. Dengan meningkatnya volume lalu lintas web yang terenkripsi, serangan yang memanfaatkan malware dalam lalu lintas tersebut juga mengalami lonjakan signifikan. Faktanya, 90 persen malware menggunakan enkripsi. Hal ini berpotensi menyebabkan pelanggaran data yang biayanya rata-rata mencapai $9,5 juta per insiden. Kurangnya visibilitas terhadap lalu lintas terenkripsi merupakan masalah besar bagi organisasi—Anda tidak dapat mengamankan apa yang tidak dapat Anda lihat. Bagaimana cara mengatasi tantangan ini? Anda perlu mendekripsi lalu lintas yang terenkripsi untuk melindungi organisasi Anda dari ancaman yang tersembunyi. NSA merekomendasikan pengelolaan lalu lintas yang tidak terenkripsi, kebijakan harus dibangun untuk menghadapi ancaman dari dalam, dan proses dekripsi harus dilakukan secara terpusat sambil mematuhi persyaratan dan regulasi privasi. Selain panduan dari NSA, berikut adalah tujuh hal penting yang perlu Anda ketahui untuk melakukan dekripsi dengan efektif. 1. Pahami Trafficmu Pertama, sebelum menerapkan solusi dekripsi TLS/SSL, ketahui total volume lalu lintas di jaringan Anda dan seberapa banyak yang terenkripsi. Dasbor TLS/SSL Gigamon memberikan visibilitas terperinci terhadap lalu lintas terenkripsi Anda. Ini memberikan wawasan tentang total volume lalu lintas dan tingkat dekripsi. 2. Ketahui Arah Lalu Lintas Kedua, ketahui bagaimana dan ke mana lalu lintas Anda bergerak di jaringan. Agar solusi TLS/SSL berfungsi dengan baik, ia perlu melihat kedua arah lalu lintas. Lalu lintas yang tidak simetris dapat menyebabkan dekripsi TLS/SSL yang tidak lengkap jika seluruh lalu lintas tidak digabungkan dan disalurkan ke solusi tersebut. Kemampuan Penataan Inline Resilient Gigamon dengan solusi GigaSMART TLS/SSL menangani hal ini dengan mendekripsi dan mengorelasikan lalu lintas sebelum meneruskannya ke alat inspeksi, memastikan visibilitas yang lengkap tanpa perubahan jaringan yang mengganggu. 3. Ketahui Batasanmu Berbagai solusi menawarkan kapasitas dekripsi TLS/SSL yang berbeda untuk lalu lintas masuk maupun keluar. Penting untuk memahami seberapa banyak lalu lintas yang dapat didekripsi oleh suatu solusi berdasarkan jumlah koneksi aktif dan volume lalu lintas TLS/SSL 4. Ketahui Apa yang Kamu Butuhkan Penting untuk mengetahui jenis lalu lintas yang perlu didekripsi. Apakah Anda menyelenggarakan aplikasi web di lokasi yang diakses secara internal atau eksternal, atau Anda ingin mendekripsi seluruh lalu lintas yang keluar dari jaringan Anda. Untuk kepatuhan, sangat penting untuk mendekripsi hanya lalu lintas tertentu. Misalnya, mendekripsi data keuangan dan kesehatan dapat melanggar undang-undang privasi. Oleh karena itu, penting untuk memiliki fleksibilitas dalam melakukan dekripsi secara selektif. Gigamon memberikan fleksibilitas untuk memilih apakah akan mendekripsi atau tidak mendekripsi jenis lalu lintas tertentu. Sebagai contoh, untuk kepentingan PCI, Anda dapat memilih untuk tidak mendekripsi data keuangan seperti informasi kartu kredit. Setelah Anda mendapatkan lalu lintas yang telah didekripsi, Anda dapat mengarahkan lalu lintas tersebut ke alat pilihan Anda, apakah itu hanya satu alat atau beberapa alat. 5. Ketahui Prioritasmu Banyak alat keamanan dan firewall menyediakan solusi dekripsi TLS/SSL. Namun, mengidentifikasi malware dalam lalu lintas yang terenkripsi dapat meningkatkan keamanan dan kinerja di seluruh lingkungan cloud hibrid. 6. Pahami Pertumbuhan Anda Dekripsi TLS/SSL mungkin mudah dikonfigurasi untuk kebutuhan Anda saat ini, tetapi bagaimana jika volume lalu lintas Anda meningkat? Seberapa mudah Anda dapat menyesuaikan solusi dekripsi TLS/SSL seiring waktu, dan apa dampak biaya yang mungkin timbul? Dengan dekripsi TLS/SSL terpusat dari Gigamon, Anda dapat melakukan dekripsi sekali dan mengalirkannya ke banyak alat. Solusi ini mudah untuk diukur sesuai kebutuhan dan dapat mengalirkan lalu lintas ke berbagai alat inline dan out-of-band, termasuk alat keamanan dan kinerja aplikasi. 7. Ketahui Solusi Untukmu Lakukan penelitian mendalam saat menerapkan solusi dekripsi TLS/SSL. Setiap solusi memiliki kinerja yang berbeda tergantung pada cipher yang digunakan. Beberapa solusi mungkin lebih mudah diterapkan atau lebih fleksibel dalam skala dibandingkan yang lain. Evaluasilah berbagai solusi yang tersedia dengan cermat, serta kelebihan dan kekurangannya. Dekripsi TLS/SSL dari Gigamon menawarkan observabilitas mendalam terhadap lalu lintas yang terenkripsi. Temukan bagaimana Gigamon dapat memperlancar dan meningkatkan efektivitas alat keamanan dan pemantauan Anda dengan Dekripsi TLS/SSL GigaSMART®. Ingin tahu lebih banyak mengenai Gigamon, silahkan hubungi gigamon@ilogoindonesia.id
Keamanan Hybrid Cloud: Perspektif CISO
CISO menghadapi pertanyaan yang menakutkan hari ini, apakah upaya saya untuk menciptakan organisasi yang lebih aman berhasil? Ini hampir pertanyaan yang tidak mungkin untuk dijawab: tahun lalu, penelitian global kami mengungkap kesenjangan yang mengkhawatirkan antara posisi keamanan yang dirasakan oleh sebuah organisasi dan kenyataannya. Sejak itu, pengeluaran keamanan informasi terus meningkat, dengan pengeluaran global diperkirakan akan melampaui $215 miliar tahun ini. Namun, Laporan Keamanan Hybrid Cloud 2024 kami mengungkapkan bahwa organisasi sekarang bahkan kurang siap menghadapi serangan dibandingkan setahun yang lalu. Sementara laporan tahun 2023 mengungkapkan bahwa 31 persen pelanggaran keamanan tidak terdeteksi, angka ini telah meningkat menjadi 37 persen dalam 12 bulan terakhir, tantangan yang menakutkan memang. Jadi, apa yang kurang dari strategi keamanan saat ini? Meskipun survei lebih luas melibatkan lebih dari 1.000 pemimpin Keamanan dan TI dari seluruh dunia, saya telah menyelami tanggapan survei dari 234 CISO untuk menjelaskan bagaimana mereka melihat lanskap ancaman yang terus berkembang saat ini dan untuk memahami mengapa mereka percaya lebih dari 60 persen pelanggaran terus lolos dari kebijakan dan kontrol yang ada. Tentu saja, CISO tidak bisa disalahkan. Alam keamanan cyber modern yang seperti permainan kucing dan tikus telah membuat pertahanan sebuah organisasi menjadi jauh lebih menantang. Dengan ancaman serangan yang didukung AI yang mengintai di cakrawala dan sudah memengaruhi 41 persen organisasi, rekan-rekan saya di seluruh industri keamanan sadar bahwa bahkan tindakan keamanan yang kuat mungkin tidak cukup untuk menangkal taktik-taktik cyber kriminal di masa depan. Bahkan hari ini, hanya separuh dari CISO yang merasa sangat siap untuk mengidentifikasi ancaman di infrastruktur hybrid cloud mereka dan hanya satu dari lima CISO yang melaporkan mampu mendeteksi dan meredam kerusakan dari pelanggaran secara real-time dengan alat keamanan yang ada. Meskipun ini merupakan tanda keprihatinan akan kepercayaan keamanan, ini juga mencerminkan bahwa sebagian besar CISO memahami bahwa selalu ada lebih banyak yang harus dilakukan untuk menghentikan serangan tersembunyi dari merajalela. Adapting to a New Landscape Keamanan cyber modern berkaitan dengan membedakan antara risiko yang dapat diterima dan tidak dapat diterima. Setiap organisasi perlu menetapkan tingkat toleransi risiko untuk dapat beroperasi—tidak ada dunia di mana risiko nol bisa tercapai. Memang, dengan 41 persen organisasi sudah mengamati lonjakan serangan terkait AI, delapan dari 10 CISO memperkirakan teknologi ini akan meningkatkan ancaman ransomware global. AI hadir untuk tinggal, dan para penjahat cyber akan terus mengadopsi taktik dan teknologi baru untuk mengeksploitasi titik lemah organisasi. Tantangan bagi CISO saat ini adalah untuk mempersiapkan diri dengan intelijen dan visibilitas untuk tetap selangkah lebih maju dari setiap metode serangan yang semakin canggih untuk melindungi lingkungan cloud hybrid dan organisasi dari ancaman yang muncul. Namun, dengan regulator yang semakin keras dalam menindak organisasi yang gagal mengamankan data dengan memadai—dan semakin keras dalam menindak para eksekutif mereka—tingkat toleransi risiko ini jelas semakin menyusut seiring para pemimpin bisnis mengambil tingkat akuntabilitas yang lebih besar. Bahkan, 85 persen CISO melaporkan bahwa keamanan cloud sekarang menjadi prioritas di ruang rapat. Dengan enam dari 10 CISO menempatkan minat tingkat dewan terhadap risiko cyber sebagai faktor nomor satu dalam kesuksesan mereka, dorongan ini menuju keterlibatan dewan adalah kabar yang menggembirakan. Namun, keberadaan risiko cyber yang merata dalam semua operasi modern meninggalkan pemimpin TI dan Keamanan dengan daftar tanggung jawab yang semakin bertambah. Kecerdasan Buatan (AI)—teknologi saat ini—menjanjikan efisiensi tingkat lanjut, tetapi juga menjadi kotak hitam terbaru yang masuk ke dalam lingkup tanggung jawab CISO. Secara bertahap, tanggung jawab untuk implementasi AI, dan khususnya mengurangi potensi risiko internalnya, semakin kuat jatuh pada pundak CISO. Mungkin karena alasan ini, laporan kami menemukan bahwa CISO menunjukkan antusiasme yang lebih rendah terhadap potensi AI untuk mengatasi celah visibilitas. Meskipun lebih dari setengah responden total menempatkan otomatisasi keamanan dan AI sebagai pendekatan mereka untuk menghilangkan celah visibilitas, hal ini turun ke posisi keempat di kalangan CISO. Sebagai gantinya, mereka yang paling dekat dengan keamanan fokus pada hal-hal mendasar: memperbaiki titik buta, mengoptimalkan peralatan, dan mempersiapkan diri untuk mandat Zero Trust yang akan datang. Mengatasi blink spot Visibilitas real-time merupakan perhatian utama di kalangan responden kami, terutama terkait dengan lalu lintas lateral East-West dan lalu lintas terenkripsi. Pelaku ancaman menyembunyikan pergerakan mereka dalam lalu lintas terenkripsi untuk menghindari kendali keamanan, dan yang mengkhawatirkan, 93 persen serangan malware sekarang disamarkan dengan enkripsi. Namun demikian, CISO menunjukkan kepercayaan implisit terhadap lalu lintas terenkripsi. Empat dari lima responden CISO masih percaya bahwa lalu lintas terenkripsi aman, sementara hanya 71 persen dari rekan-rekan teknis mereka yang setuju. Selain itu, 62 persen CISO melaporkan bahwa mereka belum menangani dekripsi, dengan alasan biaya dan waktu sebagai hambatan. Mengubah pola pikir ini menjadi kritis untuk mencapai visibilitas yang sebenarnya dan memulai langkah proaktif melawan serangan yang tidak terlihat. Sementara itu, lonjakan baru-baru ini dalam serangan “living off the land” telah menyoroti seberapa efektif pelaku jahat dapat menyembunyikan diri dan berdiam dalam lalu lintas lateral. Meskipun demikian, hanya 53 persen CISO yang merasa sangat siap untuk mendeteksi ancaman dalam lalu lintas lateral. Enam dari sepuluh CISO menempatkan konsolidasi dan optimisasi alat sebagai prioritas utama mereka untuk memperbaiki titik buta, yang diikuti dengan investasi dalam alat-alat tambahan, serta dekripsi dan pemeriksaan lalu lintas terenkripsi. Sekitar 70 persen responden CISO tidak percaya bahwa alat-alat yang ada efektif dalam mendeteksi pelanggaran, dibandingkan dengan 65 persen di kalangan seluruh responden global. Efektivitas bukan satu-satunya masalah: empat dari lima CISO melaporkan tim mereka kewalahan dengan alert dari tumpukan alat yang menjalar. Kebutuhan untuk melakukan revolusi alat sangat jelas, namun ini bukan hal baru: CISO umumnya bertahan sekitar dua tahun dalam setiap peran, dan organisasi terbiasa dengan pemimpin baru yang mengganti tumpukan alat untuk membawa solusi-solusi terpercaya mereka sendiri. Meskipun ada siklus strategi alat baru, para penjahat cyber terus menghindari kendali. Mungkin saatnya bagi CISO untuk mencoba pendekatan lain, yang kurang berfokus pada alat-alat baru tetapi lebih berpusat pada memperoleh visibilitas yang lebih komprehensif terhadap aset dan data di jaringan. Salah satu pendekatan yang bisa dipertimbangkan adalah memperkuat alat-alat keamanan berbasis log yang ada dengan intelijen dan wawasan yang diperoleh dari jaringan untuk memberikan tim keamanan observabilitas mendalam secara real-time di seluruh infrastruktur cloud hybrid. Tingkat visibilitas yang tak tertandingi ini akan memastikan efisiensi maksimal…