Setahun telah berlalu sejak Pipa Kolonial Serangan ransomware yang menyebabkan Pipa Kolonial menghentikan layanan selama lima hari. Serangan ini menyebabkan kekurangan bahan bakar yang besar di negara bagian timur dan selatan, dan memaksa Pipa Kolonial untuk membayar uang tebusan sebesar $4.4 juta.
Serangan ransomware terus berlanjut tanpa henti sejak saat itu, dengan serangan terbaru termasuk LAPSUS$ dan ONYX. (Serangan ini tidak hanya mengenkripsi file, tetapi juga mengancam untuk menghancurkan seluruh sistem.) Black Kite telah merilis Laporan Pelanggaran Pihak Ketiga 2022, yang menyoroti bahwa Ransomware menjadi metode serangan pihak ketiga yang paling umum pada tahun 2021. Yang diperlukan hanyalah satu celah: satu kata sandi yang dicuri, satu port terbuka (bahkan hanya untuk waktu yang singkat untuk pengujian), atau satu kerentanan perangkat lunak seperti Log4j untuk membiarkan pintu Ransomware terbuka.
Berikut adalah beberapa pelajaran yang kami pelajari dari Serangan Saluran Pipa Kolonial dan apa yang harus dilakukan organisasi untuk melindungi diri mereka sendiri:
1: Meningkatkan kesadaran keamanan dan menegakkan kebijakan keamanan, misalnya:
- Gunakan Autentikasi Multifaktor (MFA) untuk mempersulit penyerang untuk membobol akun. Akun VPN Colonial Pipeline dibobol karena kata sandinya ditemukan di web gelap. Mengaktifkan MFA akan mempersulit penyerangan daripada sekadar mendapatkan kata sandi.
- Cadangkan sistem secara berkala. Setelah tebusan dibayarkan, alat dekripsi yang disediakan sangat lambat sehingga alat perencanaan kesinambungan bisnis perusahaan lebih efektif dalam mengembalikan kapasitas operasional.
2: Sistem Deteksi dan Respon adalah wajib
Setelah pesan tebusan diterima, Colonial Pipeline harus menghentikan produksi karena mereka tidak tahu bagaimana hal itu terjadi dan sejauh mana perkembangannya. Mereka butuh beberapa hari untuk memastikan bahwa serangan itu telah terkendali sepenuhnya. Memiliki sistem deteksi dan respons dapat menghindari penghentian tersebut. Sistem deteksi dan respons seharusnya:
- Deteksi tanda-tanda awal serangan dan hentikan dengan cepat sebelum berkembang untuk meminimalkan kerusakan. Dalam kasus Colonial Pipeline, pencurian data terjadi sebelum serangan ransomware. Sistem deteksi dan respons dapat memicu peringatan pencurian data, yang akan mendorong penyelidikan dan respons untuk menghentikan serangan agar tidak berkembang menjadi serangan ransomware.
- Mendeteksi perilaku mencurigakan selain memiliki cakupan pada MITRE ATT & CK teknik dan taktik. Penyerang mungkin cukup membeli kredensial dari web gelap dan masuk sebagai pengguna yang sah. Mereka tidak akan memicu deteksi berdasarkan taktik dan teknik MITRE ATT&CK. Namun, setelah mereka masuk, mereka pasti akan menunjukkan perilaku yang mencurigakan.
- Tunjukkan gambaran yang jelas tentang bagaimana serangan itu terjadi, untuk menunjukkan secara meyakinkan bahwa serangan itu telah diatasi. Colonial Pipeline menyewa Mandiant untuk melakukan pencarian menyeluruh di lingkungan mereka guna memastikan bahwa tidak ada aktivitas terkait lainnya sebelum penyerang memperoleh akses ke jaringan pada tanggal 29 April menggunakan akun VPN. Namun, sistem deteksi yang baik akan menunjukkan hal ini secara langsung tanpa harus melakukan penelusuran dan penyisiran manual selama berhari-hari.
- Tunjukkan sejauh mana serangan telah berlangsung dan pahami dampaknya. Apakah serangan telah mencapai aset penting? Ini membantu menentukan dampak terhadap bisnis untuk menghindari gangguan yang tidak perlu. Target utama serangan adalah infrastruktur penagihan perusahaan. Sistem pemompaan minyak yang sebenarnya masih dapat berfungsi. Namun, Colonial Pipeline tidak yakin apakah penyerang telah membahayakan jaringan teknologi operasional mereka — sistem komputer yang mengendalikan aliran bensin yang sebenarnya, hingga beberapa hari kemudian setelah Mandiant menyapu dan melacak seluruh jaringan mereka. Sistem deteksi harus menunjukkan dengan jelas sejauh mana serangan telah berlangsung dan aset apa saja yang terkena dampak untuk menentukan tindakan yang sesuai.
- Tampilkan serangan susulan baru yang sedang berlangsung. Selama investigasi, Mandiant memasang alat deteksi untuk memantau setiap serangan susulan. Sistem deteksi dan respons yang solid akan memantau 24/7 kapan pun (atau jika) serangan terjadi.
Pelajaran utama di sini adalah menggunakan sistem deteksi dan respons terpadu yang memantau seluruh infrastruktur keamanan 24X7, mendeteksi tanda-tanda awal serangan, menghubungkan sinyal yang berbeda untuk menunjukkan bagaimana serangan terjadi dan seberapa jauh perkembangannya. Itulah yang dilakukan Stellar Cyber Open XDR Platform menyediakan.
