Ngademin Pegiat Teknologi

FBI dan NSA mengatakan: Berhenti melakukan 10 hal ini untuk membiarkan peretas masuk

2 min read

Penyerang dunia maya sering kali mengeksploitasi kerentanan perangkat lunak yang belum ditambal, tetapi mereka “sering” salah mengonfigurasi keamanan untuk akses awal, sehingga Badan Keamanan Siber dan Infrastruktur AS (CISA) dan rekan-rekannya membuat strategi untuk para pembela HAM di lingkungan ancaman yang meningkat saat ini memiliki tugas yang harus dilakukan. daftar.

CISA, FBI dan Badan Keamanan Nasional (NSA) dan otoritas keamanan siber dari Kanada, Selandia Baru, Belanda dan Inggris telah menyusun daftar Kontrol keamanan yang lemah, konfigurasi yang buruk, dan praktik keamanan yang buruk yang harus diterapkan oleh para pembela HAM untuk memblokir akses awal. Ini juga berisi langkah-langkah mitigasi yang direkomendasikan secara kolektif oleh pihak berwenang.

“Penyerang siber sering mengeksploitasi konfigurasi keamanan yang buruk (salah konfigurasi atau tidak aman), kontrol yang lemah, dan praktik kebersihan siber yang buruk lainnya untuk mendapatkan akses awal atau sebagai bagian dari strategi lain untuk mengkompromikan sistem korban,” kata CISA.

Lihat: Apakah tepat waktu?Atasan akhirnya sadar akan ancaman keamanan siber

Daftar tindakan mencakup semua kandidat yang jelas, seperti mengaktifkan otentikasi multi-faktor (MFA) pada sistem penting, seperti jaringan pribadi virtual (VPN), tetapi rentan terhadap kesalahan konfigurasi saat diterapkan di lingkungan TI yang kompleks.

Misalnya, tahun lalu peretas Rusia menggabungkan kebijakan default yang dibagikan oleh beberapa solusi MFA dan kerentanan eskalasi hak istimewa printer Windows untuk menonaktifkan MFA untuk akun domain aktif dan kemudian membuat koneksi Remote Desktop Protocol (RDP) ke pengontrol domain Windows. Kompleksitas ini juga tercermin dalam pemilihan, penerapan, dan penggunaan VPN, yang meningkat setelah pandemi.

Penelitian terbaru oleh Palo Alto Networks menemukan bahwa 99% layanan cloud menggunakan terlalu banyak izin, bukan yang terkenal prinsip hak istimewa terkecil Batasi kesempatan bagi penyerang untuk berkompromi dengan sistem.

Kontrol keamanan pada daftar CISA berfungsi sebagai daftar periksa yang berguna untuk organisasi, banyak di antaranya dengan tergesa-gesa menggunakan infrastruktur TI untuk pekerjaan jarak jauh karena pandemi dan ketegangan geopolitik yang meningkat oleh invasi Rusia ke Ukraina. Uni Eropa juga bergabung dengan aliansi Lima Mata AS untuk menyalahkan militer Rusia atas serangan siber tahun ini terhadap pelanggan broadband satelit Eropa Viasat.

Seperti yang dijelaskan dalam peringatan bersama, penyerang biasanya memanfaatkan aplikasi yang menghadap publik, layanan jarak jauh eksternal, dan menggunakan phishing untuk mendapatkan kredensial yang valid dan memanfaatkan hubungan tepercaya dan akun yang valid.

Joint Alert merekomendasikan penegakan MFA untuk semua orang, terutama karena RDP sering digunakan untuk menyebarkan ransomware. “Jangan mengecualikan pengguna, terutama administrator, dari persyaratan MFA,” catat CISA.

Hak istimewa yang diterapkan secara tidak benar atau izin dan kesalahan dalam daftar kontrol akses dapat mencegah penerapan aturan kontrol akses dan dapat memungkinkan pengguna atau proses sistem yang tidak sah untuk mengakses objek.

Tentu saja, pastikan perangkat lunaknya mutakhir. Namun juga tidak menggunakan konfigurasi default atau default username dan password yang diberikan oleh vendor. Ini mungkin “ramah pengguna” dan membantu vendor memberikan pemecahan masalah yang lebih cepat, tetapi biasanya “rahasia” terbuka. NSA sangat mendesak administrator untuk menghapus default yang disediakan vendor dalam pedoman keamanan infrastruktur jaringannya.

“Perangkat jaringan juga sering diprakonfigurasi dengan nama pengguna dan kata sandi administrator default untuk menyederhanakan penyiapan,” catat CISA. “Kredensial default ini tidak aman—mereka mungkin secara fisik ditandai di perangkat atau bahkan tersedia di internet. Menjaga kredensial ini tetap utuh menciptakan peluang untuk aktivitas jahat, termasuk akses tidak sah ke informasi dan pemasangan malware.”

Lihat: Apa itu ransomware?Semua yang perlu Anda ketahui tentang salah satu ancaman terbesar di web

CISA mencatat bahwa layanan jarak jauh, seperti VPN, tidak memiliki kontrol yang memadai untuk mencegah akses yang tidak sah. Pembela harus menambahkan mekanisme kontrol akses seperti MFA untuk mengurangi risiko. Selain itu, tempatkan VPN di belakang firewall dan gunakan sensor IDS dan IPS untuk mendeteksi aktivitas jaringan yang mencurigakan.

Masalah utama lainnya termasuk: kebijakan kata sandi yang kuat tidak diterapkan; port terbuka dan layanan yang terpapar di Internet yang dapat dipindai oleh penyerang melalui Internet; Dokumen Microsoft Word dan Excel menggunakan alat jebakan dengan makro jahat tidak dapat mendeteksi atau memblokir phishing; dan titik akhir yang buruk deteksi dan respon.

Rekomendasi CISA termasuk mengendalikan langkah-langkah akses, menanamkan pengerasan kredensial, membangun manajemen log terpusat, menggunakan antivirus, menggunakan alat deteksi dan mencari kerentanan, memelihara prosedur manajemen konfigurasi, dan menerapkan manajemen patch.

CISA juga merekomendasikan model keamanan tanpa kepercayaan, tetapi ini mungkin merupakan tujuan jangka panjang. Badan-badan federal harus membuat kemajuan yang signifikan pada tujuan ini pada tahun 2024.

Daftar lengkap “catatan” keselamatan meliputi:

  • Otentikasi multi-faktor (MFA) tidak diterapkan.
  • Hak istimewa yang diterapkan secara tidak benar atau izin dan kesalahan dalam daftar kontrol akses.
  • Perangkat lunak tidak mutakhir.
  • Gunakan konfigurasi default yang disediakan oleh vendor atau username dan password login default.
  • Layanan jarak jauh seperti VPN tidak memiliki kontrol yang memadai untuk mencegah akses yang tidak sah.
  • Kebijakan kata sandi yang kuat tidak diterapkan.
  • Layanan cloud tidak dilindungi.
  • Port terbuka dan layanan yang salah konfigurasi ditampilkan di Internet.
  • Gagal mendeteksi atau memblokir upaya phishing.
  • Deteksi dan respons titik akhir yang buruk.
Ngademin Pegiat Teknologi

Google menyediakan Earth Engine untuk semua bisnis dan pemerintah

Selama dekade terakhir, para peneliti di akademisi dan organisasi nirlaba telah memperoleh akses ke informasi yang semakin kompleks tentang permukaan bumi melalui Google Earth...
Ngademin
1 min read

Google menyediakan Earth Engine untuk semua bisnis dan pemerintah

Selama dekade terakhir, para peneliti di akademisi dan organisasi nirlaba telah memperoleh akses ke informasi yang semakin kompleks tentang permukaan bumi melalui Google Earth...
Ngademin
1 min read