KEAMANAN CYBER: “TIDAK BISA TAPI KAMU BISA!”
Dengan Paul Ducklin dan Chester Wisniewski
Musik intro dan outro oleh Edith Mudge.
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.
Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.
BACA TRANSKRIPNYA
BEBEK. Halo semua.
Selamat datang di episode mini khusus podcast Keamanan Telanjang ini.
Nama saya Paul Ducklin, dan hari ini saya bergabung dengan teman dan kolega saya Chester Wisniewski.
Chester, saya pikir kita harus mengatakan sesuatu tentang apa yang telah berubah menjadi berita besar minggu ini… mungkin akan menjadi berita besar bulan ini!
Saya hanya akan membacakan Anda membintangi Saya menggunakan Keamanan Telanjang:
“UBER TELAH HACKED, membanggakan hacker – bagaimana menghentikannya terjadi pada Anda.”
Begitu!
Beritahu kami semua tentang itu….
CHET. Yah, saya dapat memastikan bahwa mobil-mobil itu masih mengemudi.
Saya datang kepada Anda dari Vancouver, saya di pusat kota, saya melihat ke luar jendela, dan sebenarnya ada Uber yang duduk di luar jendela…
BEBEK. Itu tidak ada di sana sepanjang hari?
CHET. Tidak, belum. [TERTAWA]
Jika Anda menekan tombol untuk memanggil mobil di dalam aplikasi, yakinlah: saat ini, tampaknya Anda benar-benar akan meminta seseorang datang dan memberi Anda tumpangan.
Tapi itu belum tentu begitu meyakinkan, jika Anda seorang karyawan di Uber, bahwa Anda akan melakukan banyak hal selama beberapa hari ke depan, mengingat dampaknya pada sistem mereka.
Kami tidak tahu banyak detail, sebenarnya, Bebek, tentang apa yang sebenarnya terjadi.
Tetapi, pada tingkat yang sangat tinggi, konsensus tampaknya adalah bahwa ada beberapa rekayasa sosial dari seorang karyawan Uber yang memungkinkan seseorang untuk mendapatkan pijakan di dalam jaringan Uber.
Dan mereka dapat bergerak ke samping, seperti yang kami katakan, atau pivot, begitu mereka masuk ke dalam untuk menemukan beberapa kredensial administratif yang pada akhirnya membuat mereka memiliki kunci kerajaan Uber.
BEBEK. Jadi ini tidak terlihat seperti pencurian data tradisional, atau negara bangsa, atau serangan ransomware, bukan?
CHET. Tidak.
Itu tidak berarti orang lain mungkin tidak pernah berada di jaringan mereka menggunakan teknik serupa – Anda tidak pernah benar-benar tahu.
Faktanya, ketika tim Respons Cepat kami merespons insiden, kami sering menemukan bahwa ada lebih dari satu aktor ancaman di dalam jaringan, karena mereka mengeksploitasi metode akses yang serupa.
BEBEK. Ya… kami bahkan memiliki cerita tentang dua penjahat ransomware, yang pada dasarnya tidak saling kenal, yang masuk pada saat yang bersamaan.
Jadi, beberapa file dienkripsi dengan ransomware-A-then-ransomware-B, dan beberapa dengan ransomware-B-diikuti-oleh-ransomware-A.
Itu adalah kekacauan yang tidak suci …
CHET. Itu berita lama, Bebek. [TERTAWA]
Kami telah menerbitkan yang lain di mana *tiga* ransomware yang berbeda berada di jaringan yang sama.
BEBEK. Aduh Buyung! [TERTAWA BESAR] Saya terus menertawakan ini, tapi itu salah. [TERTAWA]
CHET. Bukan hal yang aneh jika ada banyak pelaku ancaman, karena, seperti yang Anda katakan, jika satu orang dapat menemukan kelemahan dalam pendekatan Anda untuk mempertahankan jaringan Anda, tidak ada yang menyarankan bahwa orang lain mungkin tidak menemukan kelemahan yang sama.
Tetapi dalam hal ini, saya pikir Anda benar, karena tampaknya "untuk lulz", jika Anda mau.
Maksud saya, orang yang melakukannya sebagian besar mengumpulkan piala saat mereka memantul melalui jaringan – dalam bentuk tangkapan layar dari semua alat dan utilitas dan program berbeda yang digunakan di sekitar Uber – dan mempostingnya secara publik, saya kira untuk jalanan kepercayaan.
BEBEK. Sekarang, dalam serangan yang dilakukan oleh seseorang yang *tidak* ingin menyombongkan diri, penyerang itu bisa saja IAB, broker akses awal, bukan?
Dalam hal ini, mereka tidak akan membuat keributan besar tentang hal itu.
Mereka akan mengumpulkan semua kata sandi dan kemudian keluar dan berkata, "Siapa yang mau membelinya?"
CHET. Ya, itu super-super berbahaya!
Seburuk apa pun Uber saat ini, khususnya seseorang di PR Uber atau tim keamanan internal, sebenarnya ini adalah hasil terbaik yang mungkin…
... yang hanya saja hasilnya akan memalukan, mungkin denda karena kehilangan informasi sensitif karyawan, hal semacam itu.
Tetapi kebenaran dari masalah ini adalah untuk hampir semua orang bahwa jenis serangan ini menjadi korban, hasil akhirnya adalah ransomware atau beberapa ransomware, dikombinasikan dengan cryptominers dan jenis pencurian data lainnya.
Itu jauh, jauh lebih mahal bagi organisasi daripada sekadar dipermalukan.
BEBEK. Jadi ide penjahat masuk dan bisa berkeliaran sesuka hati dan memilih ke mana mereka pergi ...
... sayangnya tidak biasa.
CHET. Ini benar-benar menekankan pentingnya mencari masalah secara aktif, bukan menunggu peringatan.
Jelas, orang ini dapat menembus keamanan Uber tanpa memicu peringatan apa pun pada awalnya, yang memberi mereka waktu untuk berkeliaran.
Itulah mengapa perburuan ancaman, seperti istilahnya, sangat penting akhir-akhir ini.
Karena semakin dekat ke menit-nol atau hari-nol Anda dapat mendeteksi aktivitas mencurigakan dari orang-orang yang mengaduk-aduk berbagi file dan tiba-tiba masuk ke sejumlah besar sistem secara berurutan – jenis aktivitas tersebut, atau banyak koneksi RDP yang terbang di sekitar jaringan dari akun yang biasanya tidak terkait dengan aktivitas itu…
…jenis hal mencurigakan tersebut dapat membantu Anda membatasi jumlah kerusakan yang dapat ditimbulkan oleh orang tersebut, dengan membatasi jumlah waktu yang mereka miliki untuk mengungkap kesalahan keamanan lain yang mungkin telah Anda buat yang memungkinkan mereka mendapatkan akses ke kredensial administratif tersebut.
Ini adalah hal yang banyak tim perjuangkan: bagaimana cara melihat alat yang sah ini disalahgunakan?
Itu tantangan nyata di sini.
Karena, dalam contoh ini, sepertinya seorang karyawan Uber ditipu untuk mengundang seseorang masuk, dengan penyamaran yang pada akhirnya mirip dengan mereka.
Anda sekarang memiliki akun karyawan yang sah, akun yang secara tidak sengaja mengundang penjahat ke komputer mereka, berlarian melakukan hal-hal yang biasanya tidak terkait dengan karyawan.
Jadi itu benar-benar harus menjadi bagian dari pemantauan dan perburuan ancaman Anda: mengetahui apa itu normal sebenarnya, sehingga Anda dapat mendeteksi "anomali normal".
Karena mereka tidak membawa alat berbahaya – mereka menggunakan alat yang sudah ada.
Kami tahu mereka melihat skrip PowerShell, hal semacam itu – hal-hal yang mungkin sudah Anda miliki.
Yang tidak biasa adalah orang ini berinteraksi dengan PowerShell itu, atau orang ini berinteraksi dengan RDP itu.
Dan itu adalah hal-hal yang jauh lebih sulit untuk diwaspadai daripada hanya menunggu peringatan muncul di dasbor Anda.
BEBEK. Jadi, Chester, apa saran Anda untuk perusahaan yang tidak ingin berada di posisi Uber?
Meskipun serangan ini dapat dimengerti mendapat publisitas dalam jumlah besar, karena tangkapan layar yang beredar, karena tampaknya, “Wow, penjahatnya benar-benar ada di mana-mana”…
…sebenarnya, ini bukan cerita unik dalam hal pelanggaran data.
CHET. Anda bertanya tentang saran, apa yang akan saya katakan pada organisasi?
Dan saya harus mengingat kembali seorang teman baik saya yang adalah seorang CISO dari sebuah universitas besar di Amerika Serikat sekitar sepuluh tahun yang lalu.
Saya bertanya kepadanya apa strategi keamanannya dan dia berkata: “Ini sangat sederhana. Asumsi pelanggaran.”
Saya berasumsi saya dilanggar, dan orang-orang berada di jaringan saya yang tidak saya inginkan di jaringan saya.
Jadi saya harus membangun semuanya dengan asumsi bahwa seseorang sudah ada di sini yang tidak seharusnya, dan bertanya, "Apakah saya memiliki perlindungan di tempat meskipun panggilan datang dari dalam rumah?"
Hari ini kami memiliki kata kunci untuk itu: Nol Kepercayaan, yang kebanyakan dari kita sudah muak untuk mengatakannya. [TERTAWA]
Tapi itulah pendekatannya: asumsi pelanggaran; kepercayaan nol.
Anda seharusnya tidak memiliki kebebasan untuk berkeliaran begitu saja karena Anda mengenakan penyamaran yang tampak seperti karyawan organisasi.
BEBEK. Dan itu benar-benar kunci dari Zero Trust, bukan?
Itu tidak berarti, "Kamu tidak boleh mempercayai siapa pun untuk melakukan apa pun."
Ini semacam metafora untuk mengatakan, "Jangan berasumsi apa-apa", dan, "Jangan memberi wewenang kepada orang untuk melakukan lebih dari yang mereka perlu lakukan untuk tugas yang ada."
CHET. Tepat.
Dengan asumsi bahwa penyerang Anda tidak terlalu senang dengan fakta bahwa Anda diretas seperti yang terjadi dalam kasus ini…
…Anda mungkin ingin memastikan bahwa Anda memiliki cara yang baik bagi anggota staf untuk melaporkan anomali ketika ada sesuatu yang tidak beres, untuk memastikan bahwa mereka dapat memberi tahu tim keamanan Anda.
Karena berbicara tentang waktu tunggu pelanggaran data dari kami Playbook Musuh Aktif, penjahat paling sering berada di jaringan Anda setidaknya selama sepuluh hari:
Jadi, Anda memiliki minggu hingga sepuluh hari yang padat, biasanya, di mana jika Anda hanya memiliki mata elang yang melihat sesuatu, Anda memiliki peluang bagus untuk mematikannya sebelum yang terburuk terjadi.
BEBEK. Memang, karena jika Anda memikirkan cara kerja serangan phishing biasa, sangat jarang penjahat akan berhasil pada upaya pertama.
Dan jika mereka tidak berhasil pada upaya pertama, mereka tidak hanya berkemas dan berkeliaran.
Mereka mencoba orang berikutnya, dan orang berikutnya, dan orang berikutnya.
Jika mereka hanya akan berhasil ketika mereka mencoba menyerang orang ke-50, maka Jika salah satu dari 49 orang sebelumnya melihatnya dan mengatakan sesuatu, Anda bisa turun tangan dan memperbaiki masalahnya.
CHET. Tentu saja – itu penting!
Dan Anda berbicara tentang menipu orang agar memberikan token 2FA.
Itu poin penting di sini – ada otentikasi multi-faktor di Uber, tetapi orang tersebut tampaknya telah diyakinkan untuk melewatinya.
Dan kita tidak tahu metodologi apa itu, tetapi kebanyakan metode multi-faktor, sayangnya, memiliki kemampuan untuk dilewati.
Kita semua akrab dengan token berbasis waktu, di mana Anda mendapatkan enam digit di layar dan Anda diminta untuk memasukkan enam digit itu ke dalam aplikasi untuk diautentikasi.
Tentu saja, tidak ada yang menghentikan Anda untuk memberikan enam digit kepada orang yang salah sehingga mereka dapat mengautentikasi.
Jadi, otentikasi dua faktor bukanlah obat serba guna yang menyembuhkan semua penyakit.
Ini hanyalah gundukan kecepatan yang merupakan langkah lain di sepanjang jalan untuk menjadi lebih aman.
BEBEK. Penjahat yang bertekad kuat yang punya waktu dan kesabaran untuk terus mencoba akhirnya bisa masuk.
Dan seperti yang Anda katakan, tujuan Anda adalah meminimalkan waktu yang mereka miliki untuk memaksimalkan keuntungan dari fakta yang mereka dapatkan di tempat pertama…
CHET. Dan pemantauan itu perlu dilakukan setiap saat.
Perusahaan seperti Uber cukup besar untuk memiliki pusat operasi keamanan 24/7 mereka sendiri untuk memantau berbagai hal, meskipun kami tidak yakin apa yang terjadi di sini, dan berapa lama orang ini berada, dan mengapa mereka tidak dihentikan.
Tetapi sebagian besar organisasi belum tentu dalam posisi untuk dapat melakukan itu di dalam perusahaan.
Sangat berguna untuk memiliki sumber daya eksternal yang tersedia yang dapat memantau – *terus menerus* memantau – untuk perilaku berbahaya ini, mempersingkat lebih jauh jumlah waktu terjadinya aktivitas jahat.
Untuk orang-orang yang mungkin memiliki tanggung jawab TI reguler dan pekerjaan lain yang harus dilakukan, mungkin cukup sulit untuk melihat alat yang sah ini digunakan, dan melihat satu pola tertentu dari mereka digunakan sebagai hal yang jahat…
BEBEK. Kata kunci yang Anda bicarakan di sana adalah apa yang kita kenal sebagai MDR, kependekan dari Deteksi dan Respons Terkelola, di mana Anda mendapatkan sekelompok ahli baik untuk melakukannya untuk Anda atau untuk membantu Anda.
Dan saya rasa masih cukup banyak orang di luar sana yang membayangkan, “Jika saya terlihat melakukan itu, bukankah sepertinya saya telah mencabut tanggung jawab saya? Bukankah itu pengakuan bahwa saya sama sekali tidak tahu apa yang saya lakukan?”
Dan tidak, bukan?
Faktanya, Anda dapat berargumen bahwa itu sebenarnya melakukan sesuatu dengan cara yang lebih terkontrol, karena Anda memilih orang untuk membantu Anda menjaga jaringan Anda *yang melakukan itu dan hanya itu* untuk mencari nafkah.
Dan itu berarti bahwa tim TI reguler Anda, dan bahkan tim keamanan Anda sendiri… dalam keadaan darurat, mereka sebenarnya dapat terus melakukan semua hal lain yang perlu dilakukan, bahkan jika Anda sedang diserang.
CHET. Benar.
Saya kira pikiran terakhir yang saya miliki adalah ini ...
Jangan menganggap merek seperti Uber diretas sebagai berarti tidak mungkin bagi Anda untuk membela diri.
Nama-nama perusahaan besar hampir merupakan perburuan trofi besar untuk orang-orang seperti orang yang terlibat dalam peretasan khusus ini.
Dan hanya karena perusahaan besar mungkin tidak memiliki keamanan yang seharusnya tidak berarti Anda tidak bisa!
Ada banyak obrolan kekalahan di antara banyak organisasi yang saya ajak bicara setelah beberapa peretasan besar sebelumnya, seperti Target, dan Sony, dan beberapa peretasan ini yang kami beritakan sepuluh tahun lalu.
Dan orang-orang seperti, “Aaargh… jika dengan semua sumber daya Target mereka tidak dapat membela diri, apa harapan untuk saya?”
Dan menurut saya itu tidak benar sama sekali.
Dalam sebagian besar kasus ini, mereka menjadi sasaran karena mereka adalah organisasi yang sangat besar, dan ada lubang yang sangat kecil dalam pendekatan mereka yang dapat dimasuki oleh seseorang.
Itu tidak berarti bahwa Anda tidak memiliki kesempatan untuk membela diri.
Ini adalah rekayasa sosial, diikuti oleh beberapa praktik penyimpanan kata sandi yang dipertanyakan dalam file PowerShell.
Ini adalah hal-hal yang dapat Anda perhatikan dengan mudah, dan mendidik karyawan Anda, untuk memastikan bahwa Anda tidak membuat kesalahan yang sama.
Hanya karena Uber tidak bisa melakukannya, bukan berarti Anda tidak bisa!
BEBEK. Memang – saya pikir itu sangat tepat, Chester.
Apakah Anda keberatan jika saya mengakhiri dengan salah satu klise tradisional saya?
(Hal tentang klise adalah bahwa mereka umumnya menjadi klise dengan menjadi benar dan berguna.)
Setelah insiden seperti ini: “Mereka yang tidak bisa mengingat sejarah dikutuk untuk mengulanginya – jangan jadi orang itu!”
Chester, terima kasih banyak telah meluangkan waktu dari jadwal sibuk Anda, karena saya tahu Anda benar-benar memiliki pembicaraan online yang harus dilakukan malam ini.
Jadi, terima kasih banyak untuk itu.
Dan mari kita selesaikan dengan cara biasa kita dengan mengatakan, “Sampai waktu berikutnya, tetap aman.”
[MODEM MUSIK]
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- podcast
- Kepemimpinan keamanan
- VPN
- website security
- zephyrnet.dll
