Apa itu Ancaman Persisten Tingkat Lanjut?

Ancaman persisten tingkat lanjut adalah jenis serangan di mana peretas atau pengguna yang tidak sah secara paksa mengakses sistem atau jaringan untuk waktu yang cukup lama dan tetap di sana tanpa ada yang menyadarinya.

Advanced Persistent Threats (APT) sangat berbahaya, terutama bagi perusahaan karena peretas ini memiliki akses yang konsisten ke data perusahaan yang sangat rahasia. Tujuan utama dari ancaman persisten tingkat lanjut bukanlah untuk menyebabkan kerusakan apa pun pada mesin atau jaringan lokal, tetapi lebih terkait dengan pencurian data.

• Cara Kerja APT
• Tahapan adalah Evolusi Serangan Persistent Threat (APT) Tingkat Lanjut
• Bagaimana mengidentifikasi Ancaman Persisten Tingkat Lanjut
• Contoh Ancaman Persisten Tingkat Lanjut
• Tindakan Keamanan APT
• Praktik Terbaik Keamanan Jaringan

Apa Langkah-Langkah Ancaman Persisten Lanjutan Dan Bagaimana Cara Kerjanya?

Ancaman persisten tingkat lanjut biasanya dilakukan secara bertahap, yang dimulai dengan meretas jaringan diikuti dengan menghindari deteksi peretasan. Selanjutnya, para peretas menyusun rencana serangan, di mana mereka memetakan data perusahaan untuk mengetahui di mana rata-rata paling mudah diakses. Akhirnya, mereka mengumpulkan data sensitif ini dan menyedotnya.

Ancaman ini dikatakan menyebabkan banyak pelanggaran data yang mengakibatkan dampak finansial yang besar. Kemampuannya untuk tetap tidak terdeteksi oleh beberapa langkah keamanan tradisional adalah hal yang mengkhawatirkan bagi perusahaan. Dan untuk menambah kekhawatiran perusahaan, peretas menciptakan metode yang lebih canggih untuk mencapai tujuan mereka, menyebabkan peningkatan yang merajalela dalam ancaman persisten tingkat lanjut.

Ancaman persisten tingkat lanjut menggunakan metode berbeda untuk mendapatkan akses awal ke jaringan; dalam beberapa kasus, penyerang dapat menggunakan internet untuk mendorong malware dan mendapatkan akses. Terkadang mereka juga menyebabkan infeksi malware fisik atau eksploitasi eksternal sehingga mereka dapat masuk ke dalam jaringan yang dilindungi.

Dibandingkan dengan banyak ancaman tradisional seperti virus dan malware yang menunjukkan perilaku yang sama secara konsisten, setiap saat, ancaman persisten tingkat lanjut sangat berbeda. Ancaman persisten tingkat lanjut tidak memiliki pendekatan yang luas atau umum.

Sebaliknya, mereka adalah ancaman yang direncanakan dengan cermat dan hati-hati, dengan tujuan yang jelas untuk menargetkan organisasi tertentu. Jadi, ancaman persisten tingkat lanjut sangat disesuaikan dan dirancang dengan sangat canggih untuk menghindari tindakan keamanan yang ada di perusahaan.

Lebih sering, peretas menggunakan koneksi tepercaya untuk mendapatkan entri awal. Ini berarti bahwa peretas dapat memperoleh akses melalui kredensial dari karyawan atau mitra bisnis, yang sekali lagi diakses melalui serangan phishing. Dengan menggunakan kredensial ini, penyerang dapat tetap tidak terdeteksi dalam sistem untuk waktu yang lama, cukup untuk memetakan sistem dan data organisasi dan menyiapkan rencana serangan untuk menguras data perusahaan.

Dari sudut pandang keberhasilan ancaman persisten tingkat lanjut, malware adalah komponen penting. Setelah jaringan tertentu dilanggar, malware dapat dengan mudah bersembunyi dari beberapa sistem navigasi standar, berpindah dari satu sistem ke sistem lainnya, mulai mengumpulkan data dan memantau aktivitas jaringan.

Aspek kunci lainnya adalah kemampuan para peretas ini untuk beroperasi dari jarak jauh dan mengendalikan ancaman persisten tingkat lanjut ini dari jarak jauh. Ini memberi para peretas kesempatan untuk menavigasi melalui pencarian jaringan perusahaan untuk data penting, mendapatkan akses ke informasi dan kemudian mulai menyedot data itu.

Lima Tahap Serangan Persisten Lanjutan yang Berkembang

Serangan ancaman persisten tingkat lanjut dapat dilakukan dalam lima tahap berbeda seperti:

• Tahap 1: Dapatkan Akses

  Di sinilah para peretas atau peretas mendapatkan akses awal ke jaringan dengan salah satu dari tiga cara. Baik melalui sistem berbasis web, jaringan atau pengguna manusia. Mereka mencari kerentanan aplikasi dan mengunggah file berbahaya.

• Tahap 2: Membangun pijakan

  Setelah akses awal diperoleh, peretas mengkompromikan sistem yang masuk dengan membuat trojan pintu belakang, yang disamarkan agar terlihat seperti perangkat lunak yang sah. Dengan cara ini mereka bisa mendapatkan akses ke jaringan mengontrol sistem yang dimasukkan dari jarak jauh.

• Tahap 3: Memperdalam Akses

  Setelah mereka membangun pijakan mereka, penyerang mengumpulkan lebih banyak informasi tentang jaringan. Mereka mencoba menyerang dengan paksa dan mencari tahu kerentanan dalam jaringan, di mana mereka bisa mendapatkan akses yang lebih dalam dan dengan demikian mengontrol sistem tambahan.

• Tahap 4: Bergerak ke Lateral

  Begitu mereka berada jauh di dalam jaringan, penyerang ini membuat saluran pintu belakang tambahan, yang memberi mereka kesempatan untuk bergerak secara lateral melintasi jaringan dan mengakses data saat dan saat mereka membutuhkannya.

• Tahap 5: Lihat, Pelajari & Tetap

  Begitu mereka mulai bergerak melintasi jaringan, mereka akan mulai mengumpulkan data dan bersiap untuk mentransfernya ke luar sistem – yang dikenal sebagai eksfiltrasi. Mereka akan membuat penyimpangan dalam bentuk serangan DDoS, sementara penyerang menyedot data keluar. Jika serangan APT tidak terdeteksi, maka penyerang akan tetap berada di dalam jaringan dan terus mencari peluang untuk serangan lain.

( Baca Juga : Apa Itu Keamanan Cloud?)

Bagaimana Cara Mendeteksi Ancaman Persisten Tingkat Lanjut?

Karena sifatnya, ancaman persisten tingkat lanjut tidak mudah dideteksi. Faktanya, ancaman-ancaman ini bergantung pada kemampuan mereka untuk tetap tidak diperhatikan untuk melaksanakan tugas mereka. Namun, ada beberapa indikator yang dapat dialami perusahaan Anda, yang dapat dianggap sebagai tanda peringatan dini:

• Peningkatan jumlah login larut malam atau saat karyawan tidak mengakses jaringan.

• Ketika Anda melihat trojan backdoor skala besar. Ini biasanya digunakan oleh peretas yang menggunakan ancaman persisten tingkat lanjut untuk memastikan bahwa mereka dapat mempertahankan akses ke jaringan.

• Anda harus mencari aliran data yang tiba-tiba dan besar, dari sumber internal hingga mesin internal dan eksternal.

• Lihat bundel data. Ini biasanya digunakan oleh penyerang yang merencanakan ancaman persisten tingkat lanjut saat mereka mengumpulkan data di dalam jaringan sebelum peretas memindahkan data ke luar jaringan.

• Mengidentifikasi serangan pass-the-hash. Ini biasanya ditargetkan pada penyimpanan pass-the-hash atau memori tempat data kata sandi disimpan. Mengakses ini akan memberikan kesempatan untuk membuat sesi otentikasi baru. Meskipun itu mungkin bukan ancaman terus-menerus tingkat lanjut dalam semua kasus setelah mengidentifikasi kondisi seperti itu, masih harus diselidiki lebih lanjut.

Apa yang sebelumnya dianggap sebagai target hanya pada organisasi yang lebih besar, ancaman persisten tingkat lanjut tidak juga menembus perusahaan kecil dan menengah. Karena peretas ini menggunakan metode canggih untuk menyerang, organisasi, terlepas dari ukurannya, harus menerapkan langkah-langkah keamanan yang kuat untuk mengatasi hal ini.

Apa Beberapa Contoh Ancaman Persisten Tingkat Lanjut?

Perusahaan keamanan siber seperti Crowdstrike(1) telah melacak lebih dari 150 situasi buruk seperti itu di seluruh dunia; yang mencakup aktivis peretasan dan eCriminals. Mereka sebenarnya memiliki metode penggunaan nama-nama aktor dan hewan yang diasosiasikan dengan wilayah tersebut.

Misalnya, BEAR mengacu pada Rusia, PANDA mengacu pada Cina, KITTEN mengacu pada Iran dan SPIDER adalah eCrime yang tidak terbatas pada suatu wilayah. Berikut adalah beberapa contoh ancaman persisten tingkat lanjut yang terdeteksi oleh Crowdstrike.

1. APT 27 (GOBLIN PANDA)

   Ini pertama kali terdeteksi pada tahun 2013 ketika peretas menyerang jaringan perusahaan teknologi besar yang memiliki operasi bisnis di berbagai sektor.

2. APT28 (FANCY BEAR)

   Ancaman persisten tingkat lanjut khusus ini menggunakan spoof situs web dan pesan phishing yang sebenarnya mirip dengan yang sah untuk mendapatkan akses ke perangkat seperti komputer dan ponsel.

3. APT32 (Kerbau Laut)

   Ini adalah musuh yang berbasis di Vietnam dan telah aktif sejak 2012. Ancaman persisten tingkat lanjut ini menggunakan kombinasi alat yang tersedia bersama dengan distribusi malware melalui Strategic Web Compromise, juga dikenal sebagai SWC.

Selain yang disebutkan di atas, yang terdeteksi oleh Crowstrike, ada contoh lain dari ancaman persisten tingkat lanjut seperti:

• Ghostnet: Ini berbasis di China, di mana serangan direncanakan dan dieksekusi melalui email phishing yang berisi malware. Grup ini sebenarnya menargetkan perangkat di lebih dari 100 negara
• Stuxnet: Ini adalah malware yang terutama menargetkan sistem SCADA (aplikasi industri berat), yang terbukti dari keberhasilannya menembus mesin yang digunakan dalam program nuklir Iran.
• Sykipot: Ini adalah jenis malware yang terutama menyerang kartu pintar.

Langkah-langkah keamanan APT

Jelas bahwa ancaman persisten tingkat lanjut adalah serangan multi-segi, dan seseorang harus melakukan beberapa langkah keamanan, dalam bentuk alat dan teknik.

• Pemantauan Lalu Lintas: Ini akan memungkinkan perusahaan untuk mengidentifikasi penetrasi, segala jenis gerakan lateral, dan eksfiltrasi data.

• Aplikasi & Daftar Putih Domain: Pastikan bahwa domain dan aplikasi yang dikenal dan dapat dipercaya dimasukkan ke dalam daftar putih.

• Kontrol Akses: Perlu menyiapkan protokol otentikasi yang kuat dan pengelolaan akun pengguna. Jika ada akun yang diistimewakan, maka mereka perlu memiliki fokus khusus.

Langkah-langkah praktik terbaik yang harus diambil saat mengamankan jaringan Anda.

Kenyataan pahit tentang ancaman persisten tingkat lanjut adalah bahwa tidak ada solusi tunggal yang akan 100% efektif. Oleh karena itu, kita akan melihat beberapa praktik terbaik untuk perlindungan APT.

• Instal firewall:

  Penting untuk memilih struktur firewall yang tepat yang akan bertindak sebagai lapisan pertahanan pertama terhadap ancaman persisten tingkat lanjut.

• Aktifkan firewall aplikasi web:

  Hal ini berguna karena akan mencegah serangan yang datang dari internet/aplikasi web, terutama yang menggunakan trafik HTTP.

• Anti Virus:

  Memiliki antivirus terbaru dan terkini yang dapat mendeteksi dan mencegah program seperti malware, trojan, dan virus.

• Sistem pencegahan intrusi:

  Penting untuk memiliki sistem pencegahan intrusi (IPS) karena mereka berfungsi sebagai layanan keamanan yang memantau jaringan Anda untuk setiap kode berbahaya dan segera memberi tahu Anda.

• Memiliki lingkungan kotak pasir:

  Ini akan berguna untuk menguji skrip atau kode yang mencurigakan tanpa menyebabkan kerusakan pada sistem langsung.

• Siapkan VPN:

  Ini akan memastikan bahwa peretas APT tidak mendapatkan akses mudah ke jaringan Anda.

• Siapkan perlindungan email:

  Karena email adalah salah satu aplikasi yang paling sering digunakan, mereka juga rentan. Oleh karena itu, aktifkan perlindungan spam dan malware untuk email Anda.

Pikiran Akhir

Ancaman persisten tingkat lanjut terus-menerus mengetuk pintu dan mereka hanya perlu satu celah kecil ke jaringan Anda untuk membuat kerusakan skala besar. Ya, serangan ini tidak dapat dideteksi, tetapi dengan tindakan yang tepat, perusahaan dapat waspada untuk menghindari kesulitan akibat serangan ini. Mengikuti praktik terbaik dan menyiapkan langkah-langkah keamanan akan menghasilkan pencegahan yang efektif dari serangan tersebut.

Sumber Daya Berguna Lainnya:

Lima Tips dan Strategi Menghindari Ancaman Cyber

10 Cara Mencegah Ancaman Orang Dalam

Ancaman Cyber ​​untuk Memerangi pada tahun 2021

Pentingnya Keamanan Siber dalam Bisnis