Dicari Hidup atau Mati: Perlindungan Real-Time Terhadap Gerakan Lateral
01 Mei 2023Berita PeretasAncaman / Otentikasi Cyber
Beberapa tahun yang lalu, gerakan lateral merupakan sebuah taktik yang hanya dilakukan oleh organisasi-organisasi kejahatan dunia maya APT dan operator negara-bangsa. Namun saat ini, alat ini telah menjadi alat yang dikomoditisasi dan berada dalam jangkauan kemampuan setiap pelaku ancaman ransomware. Hal ini membuat deteksi dan pencegahan pergerakan lateral secara real-time menjadi suatu kebutuhan bagi organisasi dari semua ukuran dan di semua industri. Namun kenyataan yang meresahkan adalah bahwa sebenarnya tidak ada alat dalam tumpukan keamanan saat ini yang dapat memberikan perlindungan real-time, sehingga menciptakan kelemahan keamanan paling kritis dalam arsitektur keamanan organisasi.
Dalam artikel ini, kita akan membahas pertanyaan paling penting seputar tantangan perlindungan gerakan lateral, memahami mengapa autentikasi multifaktor (MFA) dan perlindungan akun layanan merupakan celah yang memungkinkan hal ini, dan mempelajari bagaimana platform Silverfort membalikkan keadaan terhadap penyerang dan membuat perlindungan gerakan lateral akhirnya dapat dijangkau.
Webinar Mendatang: Jika Anda tertarik untuk mempelajari lebih lanjut tentang gerakan lateral dan cara mencegahnya secara real-time, kami mengundang Anda untuk mendaftar ke webinar kami yang akan datang. Pakar industri akan berbagi wawasan berharga mengenai subjek ini dan menjawab pertanyaan apa pun yang Anda miliki.
Siap? Mari kita mulai.
Daftar Isi
- 1 Mengapa pergerakan lateral merupakan risiko penting bagi suatu organisasi?
- 2 Jadi bagaimana sebenarnya gerakan lateral bekerja?
- 3 Kedengarannya sederhana, lalu mengapa sulit untuk mencegahnya?
- 4 Namun bukankah seharusnya MFA bisa menyelesaikan masalah ini?
- 5
- 6 Jangan lupakan akun layanan – tidak terlihat, memiliki hak istimewa, dan hampir mustahil untuk dilindungi
- 7 Silverfort memungkinkan perlindungan real-time terhadap pergerakan lateral
Mengapa pergerakan lateral merupakan risiko penting bagi suatu organisasi?
Pergerakan lateral adalah tahap di mana kompromi pada satu titik akhir menjadi kompromi pada stasiun kerja dan server tambahan di lingkungan yang ditargetkan. Inilah perbedaan antara satu mesin terenkripsi dan potensi penghentian operasional. Pergerakan lateral digunakan dalam lebih dari 80% serangan ransomware, sehingga menimbulkan risiko bagi setiap organisasi di dunia yang bersedia membayar untuk menebus datanya dari penyerang.
Jadi bagaimana sebenarnya gerakan lateral bekerja?
Ini sebenarnya cukup sederhana. Tidak seperti malware, yang hadir dalam berbagai bentuk, proses perpindahan lateral sangatlah mudah. Dalam lingkungan organisasi, setiap pengguna yang masuk ke stasiun kerja atau server dapat mengakses mesin tambahan dalam lingkungan tersebut dengan membuka prompt baris perintah dan mengetikkan perintah koneksi, bersama dengan nama pengguna dan kata sandi mereka. Artinya, yang harus dilakukan musuh untuk bergerak ke samping adalah mendapatkan nama pengguna dan kata sandi yang valid. Setelah diperoleh, penyerang kemudian dapat menggunakan kredensial yang telah disusupi ini untuk mengakses sumber daya seolah-olah mereka adalah pengguna yang sah.
Kedengarannya sederhana, lalu mengapa sulit untuk mencegahnya?
Meski terdengar mengejutkan, sebenarnya tidak ada alat dalam tumpukan identitas atau keamanan yang dapat mendeteksi dan mencegah pergerakan lateral secara real-time. Hal ini karena yang diperlukan adalah kemampuan untuk mencegat otentikasi itu sendiri, di mana penyerang memberikan kredensial yang disusupi ke Active Directory (AD). Sayangnya, AD – yang pada dasarnya merupakan perangkat lunak lama – hanya mampu melakukan satu pemeriksaan keamanan: apakah nama pengguna dan kata sandi cocok. Jika ya, akses diberikan; jika tidak, akses ditolak. AD tidak memiliki kemampuan untuk membedakan antara otentikasi yang sah dan yang berbahaya, hanya kemampuan untuk memvalidasi kredensial yang diberikan.
Namun bukankah seharusnya MFA bisa menyelesaikan masalah ini?
Secara teori. Tapi inilah masalahnya: Ingat jendela baris perintah yang disebutkan sebelumnya tentang bagaimana gerakan lateral dilakukan? Tebak apa. Akses baris perintah didasarkan pada dua protokol autentikasi (NTLM dan Kerberos) yang sebenarnya tidak mendukung MFA. Protokol ini ditulis jauh sebelum MFA ada. Dan dengan “tidak mendukung”, yang kami maksud di sini adalah Anda tidak dapat menambahkan tahap tambahan ke proses autentikasi yang mengatakan, “kredensial ini valid, tetapi mari kita tunggu hingga pengguna memverifikasi identitasnya.” Kurangnya perlindungan MFA di lingkungan AD – yang merupakan titik buta utama – yang memungkinkan serangan gerakan lateral terus terjadi.
Pada titik ini, Anda mungkin bertanya-tanya mengapa pada tahun 2023 kami masih menggunakan teknologi dari lebih dari 20 tahun yang lalu yang tidak mendukung tindakan keamanan dasar seperti MFA. Anda benar jika menanyakan pertanyaan ini, namun saat ini, yang lebih penting adalah kenyataan bahwa hal ini hampir 100% terjadi di lingkungan – termasuk di lingkungan Anda. Itulah mengapa penting untuk memahami implikasi keamanan ini.
Membuat kebijakan MFA yang mudah diterapkan untuk semua akun istimewa Anda adalah satu-satunya cara untuk memastikan kebijakan tersebut tidak disusupi. Tanpa memerlukan penyesuaian atau ketergantungan segmentasi jaringan, Anda dapat aktif dan berjalan dalam hitungan menit dengan Silverfort. Temukan cara melindungi akun istimewa Anda dari penyusupan dengan cepat dan lancar dengan kebijakan akses adaptif yang menerapkan perlindungan MFA pada semua sumber daya lokal dan cloud saat ini.
Jangan lupakan akun layanan – tidak terlihat, memiliki hak istimewa, dan hampir mustahil untuk dilindungi
Untuk menambahkan dimensi lain pada tantangan perlindungan pergerakan lateral, perlu diingat bahwa tidak semua akun diciptakan sama. Beberapa dari mereka secara material lebih rentan terhadap serangan dibandingkan yang lain. Akun layanan, yang digunakan untuk akses mesin-ke-mesin, adalah contoh utama. Akun-akun ini tidak dikaitkan dengan pengguna manusia mana pun, sehingga kurang diawasi dan bahkan terkadang dilupakan oleh tim TI. Namun mereka biasanya memiliki hak akses yang tinggi dan dapat mengakses sebagian besar mesin di lingkungan. Hal ini menjadikannya target kompromi yang menarik bagi pelaku ancaman, yang menggunakannya kapan pun mereka bisa. Kurangnya visibilitas dan perlindungan terhadap layanan jasa merupakan titik buta kedua yang diandalkan oleh para pelaku gerakan lateral.
Silverfort memungkinkan perlindungan real-time terhadap pergerakan lateral
Silverfort memelopori platform Perlindungan Identitas Terpadu pertama yang dapat memperluas MFA ke sumber daya apa pun, terlepas dari apakah sumber daya tersebut mendukung MFA atau tidak. Memanfaatkan teknologi agentless dan proxyless, Silverfort terintegrasi langsung dengan AD. Dengan integrasi ini, setiap kali AD mendapat permintaan akses, AD meneruskannya ke Silverfort. Silverfort kemudian menganalisis permintaan akses dan, jika diperlukan, menantang pengguna dengan MFA. Berdasarkan respon pengguna, Silverfort menentukan apakah akan mempercayai pengguna atau tidak, dan memberikan keputusan kepada AD yang kemudian memberikan atau menolak akses seperlunya.
Mencegah pergerakan lateral di root #1: Memperluas MFA ke akses baris perintah
Silverfort dapat menerapkan perlindungan MFA ke alat akses baris perintah apa pun – PsExec, Remote PowerShell, WMI, dan lainnya. Dengan mengaktifkan kebijakan MFA, jika penyerang mencoba melakukan gerakan lateral melalui baris perintah, Silverfort akan mengirimkan perintah MFA ke pengguna sebenarnya, meminta mereka memverifikasi apakah mereka telah memulai upaya akses tersebut. Ketika pengguna menolak hal ini, akses akan diblokir — membuat penyerang bingung mengapa metode yang sebelumnya bekerja dengan sempurna kini menemui jalan buntu.
Mencegah pergerakan lateral pada akar #2: Visibilitas otomatis dan perlindungan akun layanan
Meskipun akun layanan tidak dapat dilindungi MFA – sebagai pengguna non-manusia, mereka tidak dapat mengonfirmasi identitas mereka dengan notifikasi ponsel – mereka masih dapat dilindungi. Hal ini karena akun layanan (tidak seperti pengguna manusia) menampilkan perilaku yang sangat berulang dan dapat diprediksi. Silverfort memanfaatkan hal ini dengan mengotomatiskan pembuatan kebijakan untuk setiap akun layanan. Saat diaktifkan, mereka dapat mengirimkan peringatan atau memblokir akses akun layanan sama sekali setiap kali aktivitas standar deviasi terdeteksi. Penggunaan akun layanan yang disusupi secara jahat pasti akan menciptakan penyimpangan karena meskipun penyerang memiliki kredensial akun layanan tersebut, mereka tidak akan mengetahui penggunaan standar akun tersebut. Hasilnya adalah setiap upaya untuk menggunakan akun layanan yang dikompromikan untuk pergerakan lateral akan dihentikan.
Apakah Anda melihat pergerakan lateral sebagai risiko yang perlu diatasi? Jadwalkan panggilan dengan salah satu pakar kami.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
