idNSA.id - Meskipun banyak
serangan yang dapat diidentifikasi dan dicegah melalui sistem berbasis tanda
tangan ancaman, banyak serangan yang tidak dapat dan dengan mudah melewati setidaknya
lapisan pertahanan awal yang biasanya
ada. Dan dengan meningkatnya ketersediaan AI, pelaku kejahatan memiliki lebih
banyak cara untuk mengubah mekanisme deteksi dengan cepat.
Berikut adalah empat serangan
siber yang dikenal karena kemampuannya melewati sistem deteksi dan pencegahan.
Ancaman-ancaman ini mungkin
tampak terstandarisasi dan kurang canggih dibandingkan teknik-teknik lain yang
lebih canggih, namun karena sangat
efektif dalam menghindari deteksi, ancaman-ancaman ini menimbulkan kekhawatiran
yang signifikan bagi masyarakat,
organisasi, dan juga konsumen.
Kloning Situs Web
Kloning situs web adalah salinan
palsu dari situs web bermerek yang dimaksudkan untuk mengelabui pengguna yang
tidak menaruh curiga agar mengirimkan kredensial login atau data pribadi
mereka, yang akan ditangkap oleh penjahat.
Serangan-serangan ini sering kali
luput dari perhatian karena meniru situs web bermerek yang sah dan menggunakan
taktik menipu untuk menarik pelanggan.
Terkadang penipu bahkan
menggunakan pengalihan ke situs web asli
setelah pengguna memasukkan informasi mereka di situs web palsu untuk
menghindari kecurigaan, yang membuat pendeteksian menjadi lebih sulit.
Terlepas dari tingkat keparahan
penyalinan situs web dan potensi dampaknya, organisasi sering kali mengabaikan
pentingnya keamanan situs web dan malah memprioritaskan intranet mereka. Mereka
biasanya hanya menemukan versi kloning
situs web mereka melalui laporan pelanggan atau solusi intelijen ancaman
pasca-insiden. Hal ini tidak boleh terjadi karena menduplikasi situs web Anda
dapat mengakibatkan pencurian data, merusak reputasi Anda, dan membuat
pelanggan menjauh.
Untuk mengurangi dampak buruk
yang disebabkan oleh masalah ini, organisasi dapat menyiapkan peringatan
Google untuk melihat apakah sesuatu yang baru-baru ini diposting secara
online tampaknya meniru situs atau merek mereka. Alternatifnya, organisasi
dapat berinvestasi pada perangkat lunak perlindungan phishing situs web yang
dapat mendeteksi domain mencurigakan serupa.
Solusi ini memperingatkan merek tetapi tidak serta merta melindungi pelanggan mereka dari potensi kegagalan situs kloning selama situs tersebut tetap aktif. Proses penghapusan situs web hasil kloning bisa memakan waktu berhari-hari, berminggu-minggu, atau bahkan berbulan-bulan hingga situs tersebut benar-benar terhapus dari mesin pencari atau dijadikan offline oleh penyedia hosting. Organisasi harus mempertimbangkan alat deteksi dan perlindungan real-time agar dapat mengatasi masalah ini secara lebih efektif. Memcyco adalah platform waktu nyata yang mendeteksi duplikat situs web, langsung memperingatkan organisasi, memberikan rincian serangan lengkap, dan mencegah pelanggan jatuh ke dalam perangkap dengan menawarkan peringatan merah muncul di situs yang dikloning hingga situs tersebut dihapus.
Meskipun saat ini tidak ada
solusi untuk mencegah duplikasi situs web, hal terbaik yang dapat dilakukan
organisasi adalah mencoba meminimalkan kerusakan secepat mungkin.
Malware Tanpa File
Juga dikenal sebagai malware
berbasis memori, malware tanpa file adalah perangkat lunak tidak biasa yang
bahkan tidak perlu menulis ke perangkat penyimpanan perangkat target. Yang
harus dilakukan hanyalah menginfeksi RAM perangkat atau memanipulasi registri
Windows, yang membuat pendeteksiannya menjadi sangat sulit. Ia bekerja secara
diam-diam dengan bersembunyi di bawah proses dan alat sah yang sudah ada di sistem.
Vendor keamanan siber Morphiesc
mengakui bahwa malware tanpa file dapat dengan mudah melewati sistem deteksi
yang ada, termasuk analisis statis dan dinamis.
Memasukkan ke dalam daftar putih
dapat mengurangi risiko infeksi malware tanpa file, namun hal ini tidak dapat
dimengerti karena pelaku mungkin menemukan cara untuk menghindari daftar putih
tersebut. Selain itu, daftar putih yang liberal dapat menghambat
fleksibilitas organisasi.
Untuk memerangi malware tanpa
file, organisasi harus menggunakan kombinasi strategi. Ini termasuk analisis
perilaku file atau aplikasi, EDR tingkat lanjut, analisis lalu lintas jaringan,
manajemen hak istimewa, isolasi dan segmentasi, dan analisis memori.
Selain itu, sangat penting untuk
menerapkan kebijakan no-trust untuk memastikan bahwa tindakan, file, atau aplikasi apa pun
dianggap berbahaya dan diteliti sebelum memberikan akses atau hak istimewa.
Teknologi keamanan siber
preventif seperti Automated Moving Target Defense (AMTD) juga berguna
karena memblokir serangan
tingkat aplikasi sebelum pihak jahat berhasil mengeksploitasinya.
Kredensial yang Dicuri
Seringkali diperlukan waktu berminggu-minggu atau bahkan berbulan-bulan bagi
organisasi untuk mengetahui bahwa mereka telah mengalami pelanggaran data,
termasuk pencurian nama pengguna dan kata sandi. Deteksi kredensial yang dicuri
biasanya hanya terjadi ketika ada upaya untuk menggunakan kredensial yang
dicuri untuk masuk ke akun.
Masalah ini dapat dicegah dan
diatasi. Mekanisme keamanan seperti perubahan kata sandi yang sering dan
otentikasi multi-faktor adalah cara efektif untuk mencegah penjahat dunia maya
menggunakan kredensial yang dicuri.
Selain itu, menggunakan layanan
seperti “Saya Telah Pwned” yang cukup andal akan membantu menentukan apakah
pelanggaran telah memengaruhi akun.
Namun, masalah bagi sebagian besar organisasi dan individu adalah mereka cenderung meremehkan ancaman pencurian
kredensial.
Banyak orang tidak repot-repot
memeriksa apakah akun mereka telah disusupi, bahkan ketika lembaga pemerintah
atau organisasi swasta seperti bank mengeluarkan pemberitahuan yang meminta
mereka untuk mengubah kata sandi karena beberapa insiden keamanan baru-baru ini.
Oleh karena itu, prevalensi ancaman ini dapat menurun jika organisasi lebih mematuhi praktik terbaik keamanan siber pada akun mereka.
Malware Polimorfik
Oleh karena itu, malware
polimorfik adalah malware yang terus-menerus mengubah kode dan tampilannya
untuk mencegah solusi berbasis tanda tangan dan pola mendeteksinya. Setiap
kasus malware berbeda-beda, sehingga menyulitkan identifikasi dengan metode
tradisional. Dengan kata lain, ini adalah malware yang sering berevolusi atau
bermutasi, sehingga deteksi berbasis tanda tangan dan bahkan analisis perilaku
sampai batas tertentu tidak efektif melawannya.
Yang menambah masalah malware
polimorfik adalah munculnya AI sintetis. Seperti yang dilaporkan baru-baru ini,
ChatGPT mampu menghasilkan malware polimorfik yangmampu melewati sebagian besar solusi EDR. Perusahaan keamanan siber Hyas menunjukkan
kemampuan ini dengan menciptakan BlackMamba, sebuah bukti konsep sederhana yang
menunjukkan bahwa model bahasa besar dapat
dieksploitasi untuk membuat malware polimorfik yang mampu memperbaiki perubahan
kode mereka secara dinamis dan independen pada waktu eksekusi. Ia beroperasi
tanpa infrastruktur komando dan kontrol.
Solusi malware polimorfik mencakup analisis
perilaku, analisis heuristik, sandboxing, analisis memori, analisis lalu lintas
jaringan, dan deteksi yang didukung AI.
Perlu ditekankan bahwa penting
untuk memanfaatkan AI untuk memerangi eksploitasi AI yang tidak bersahabat.
Seperti yang ditunjukkan oleh Jeff Sims dari Hyas dalam postingan blognya: "Penting bagi
organisasi untuk tetap waspada, selalu memperbarui langkah-langkah keamanan,
dan beradaptasi terhadap ancaman baru yang muncul. dengan menjalankan
penelitian mutakhir di lapangan.
Kesimpulanya
Tidak diragukan lagi, teknologi
dan strategi keamanan siber telah berkembang. Namun, ancaman dan serangan juga
meningkat, dan bahkan pendeteksiannya mungkin sulit dilakukan dalam konteks
praktik keamanan siber tradisional. Sungguh melegakan mengetahui bahwa solusi terhadap
banyak masalah sudah ada.
Ini hanya untuk memastikan bahwa
solusi ini diterapkan. Praktik terbaik, termasuk pendidikan keamanan siber,
harus diwajibkan. Selain itu, teknologi keamanan modern yang dirancang untuk
memerangi ancaman baru dan yang muncul harus dioptimalkan dan diintegrasikan
sebagai bagian penting dari postur keamanan setiap organisasi.
