logo
Teknologi

Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots

Analis cybersecurity telah mencatat bahwa trafik serangan terhadap bisnis kecil dan menengah telah mengalami peningkatan sepanjang tahun 2019, mencapai tingkat yang luar biasa tinggi dibandingkan dengan trafik serangan Telnet dan SSH. Tidak jelas siapa yang menyebabkan kenaikan tersebut karena tidak ada file yang diunggah, hanya koneksi dari beberapa negara yang dapat diidentifikasi sebagai penyebab utama.

|
Jul 09, 2023
Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots

Bagaimana caranya kami dapat mengetahui hal ini? Sama halnya seperti cara kami dapat mengetahui sebagian besar cyber threat global, teknik yang digunakan, pemilihan waktu, dan tools yang digunakan, bahkan gagasan tentang siapa mereka - Honeypots.

Honeypot merupakan sumber daya sistem informasi yang nilainya terletak pada penggunaan ilegal atau tanpa otorisasi atas sumber daya tersebut, artinya ia akan terbukti bernilai ketika seorang hacker mencoba berinteraksi dengannya. Sumber daya honeypot biasa disamarkan sebagai server jaringan, ia terlihat dan terasa seperti server tetapi sebenarnya merupakan perangkap yang digunakan untuk memancing penyusup yang tidak memiliki otorisasi.

Bagaimana analis menemukan EternalRocks? Hal tersebut bisa terjadi karena adanya honeypot.

Sebuah permainan kreatif “kucing dan tikus” yang meletakkan perangkap cerdik. Musuh yang datang mencoba mengelabui perangkap atau mengenali sesuatu yang mencurigakan dan menghindarinya, atau dalam beberapa kasus, merusaknya. Hal ini ditanggapi oleh seorang peneliti dengan menulis tweet untuk menghibur banyak orang, "Bagi Anda yang mengetahui honeypot saya adalah sebuah ‘honeypot’ (wadah madu), bisakah Anda berhenti menaruh gambar beruang (madu) Pooh di atasnya?.

Silakan mengecek sumber daya HoneyDB untuk mengetahui analisis real-time mengenai penyerang, yang dibuat oleh honeypot dengan mengumpulkan data dari sensor honeypot yang telah diletakkan di dalam internet secara global.

Hal yang unik dan aneh dalam dunia monitoring dan intelijen jaringan, banyak sekali justifikasi yang digunakan oleh organisasi kecil maupun besar. Tool dan teknik seringkali diabaikan dalam Standar Keamanan Informasi utama, dianggap tidak perlu dimasukkan ke dalam peraturan standar tata kelola yang paling populer seperti SANS/NIST/PCI/DSS/ISO.

Klien kami jarang meminta atau mempersyaratkan sistem honeypot dalam RFP. bagi saya hal ini membingungkan, mengingat betapa penting dan berharganya honeypot. Apakah ada teknik cyber lain yang dapat memberikan tingkat kepercayaan bagi CISO bahwa jaringan tidak mengalami breach, serta dapat memberikan rincian informasi host atau port yang digunakan dalam serangan, khususnya untuk jaringan yang terbuka / belum matang?

Umumnya, pekerjaan ini adalah bidang tugas tim SIEM yang membutuhkan waktu berbulan-bulan untuk menyelesaikan pengembangan use case. Artikel ini berupaya untuk meluruskan dan menghentikan kesalahpahaman terhadap honeypot. Di bawah ini saya telah mencantumkan beberapa contoh honeypot yang memiliki kredibilitas dan layak dimasukkan ke dalam sistem cyber defense siapapun baik yang berukuran besar atau kecil.

Berbasis Host: enis honeypot yang paling sederhana dan paling terkenal memiliki tantangan untuk menyatu dengan infrastruktur yang ada, tidak terlalu panas untuk terlihat tetapi juga tidak terlalu dingin untuk tidak diperhatikan. Nama host dan sistem operasi harus sesuai dengan konvensi yang ada, dilengkapi dengan sedikit sentuhan umpan yang menarik perhatian penyerang untuk menjelajahi sistem lebih lanjut.

Jenis umpan seperti apa yang digunakan sepenuhnya tergantung pada organisasi Anda. Selain itu, permintaan otentikasi harus merespons dengan cara yang persis sama dengan host lain di jaringan, tetapi dengan dilengkapi monitoring tambahan yang berfungsi untuk membuat peringatan jika terdeteksi aktivitas seperti upaya login dari luar.

Proyek open-source bernama Artillery yang dikeluarkan oleh Binary Defense adalah salah satu opsi untuk membantu mengonfigurasi dan memonitor honeypot stand-alone di dalam sistem Linux atau Windows. Ini dapat digunakan bersamaan dengan bermacam-macam program honeypot dengan interaksi rendah atau menengah yang mensimulasikan sistem atau layanan. Misalnya, Cowrie mensimulasikan layanan ssh yang memungkinkan otentikasi oleh penyerang dan memantau aktivitas penyerang dengan honeypot yang menghasilkan pencatatan dan peringatan yang terperinci.

Berbasis Kredensial: Jika kita berasumsi musuh berada dalam jaringan, peringatan tentang adanya aktivitas beberapa teknik lateral umum menjadi sangat penting. Jadi memperluas konsep honeypot menjadi honey hash dapat memberikan bantuan. Honey hash adalah penyisipan kredensial palsu ke dalam memori sistem yang sedang berjalan. Keberadaan honey hash sama sekali tidak diketahui oleh sistem dan user, kecuali jika penyerang menggunakan alat seperti Mimikatz untuk mencuri kredensial dan menggunakannya kembali di dalam environment. Jika penyerang mencoba menggunakan kredensial honey hash yang ditanam, peringatan sistem akan terpicu dengan adanya aktivitas tersebut sehingga investigasi dapat diluncurkan.

Untuk menjalankan honey hash, harus dibuat akun honey istimewa yang tidak akan pernah digunakan dalam proses produksi, seperti anggota grup administrator domain. Sehingga akun istimewa dapat menyediakan target yang menarik bagi penyerang. Akun tersebut harus dikonfigurasikan dengan kata sandi acak yang sangat panjang untuk mencegah paparan realistis dari tebakan kata sandi.

Secara bersamaan, sebuah use case dikonfigurasikan pada SIEM untuk memberikan peringatan untuk setiap upaya masuk menggunakan akun ini. Setelah akun istimewa diletakkan sebagai umpan, honey hash pada sistem di dalam environment dapat ditanam menggunakan skrip New-HoneyHash.ps1 dari EmpireProject. Skrip PowerShell mengambil parameter domain, nama akun, dan kata sandi akun. Kemudian menyimpan kredensial terkait dan informasi yang disediakan di dalam memori proses Local Security Authority Subsystem Service (Layanan Subsistem Otoritas Keamanan Lokal).

Dengan meletakkan akun palsu administrator domain (tetapi dengan kata sandi salah) kredensial dalam memori komputer, akan tampak sangat menggoda bagi musuh yang melakukan pencarian kata sandi di dalam memori komputer. Tumpukan kredensial yang disimpan di dalam memori dan usaha lanjutan untuk menggunakan kembali nama pengguna dan kata sandi akun akan mengakibatkan aktivitas login gagal dan peringatan dapat dikirim ke SOC untuk penyelidikan lebih lanjut. Skrip startup, yang didorong melalui kebijakan grup, untuk meletakkan honey hash pada beberapa sistem di seluruh environment dapat dibuat jika Anda ingin mengotomatisasi proses di seluruh sistem Anda.

Berbasis File: Di bagian bawah dari rantai cyber kill, dengan asumsi kasus terburuk telah terjadi, data telah berhasil dibawa ke luar organisasi, ada juga jenis honey yang dapat mendeteksi skenario semacam ini. File bisnis yang tidak memiliki fungsi bisnis sebenarnya dapat digunakan pada server produksi apa pun dan dikonfigurasikan dengan audit terperinci untuk mengingatkan setiap kali interaksi dibuka atau digunakan. File-file tersebut harus memiliki nama yang menarik tetapi tetap sesuai dengan ketentuan penamaan di dalam organisasi. Dengan menanamkan konten aktif dalam dokumen, maka ia dapat mencoba menghubungi URL atau mengungkapkan alamat IP sistem dari mana dokumen dibuka secara otomatis, sehingga dapat membuka identitas penyerang.

Aktivitas semacam itu memiliki sejumlah tantangan hukum dan logistik untuk menciptakan disinformasi yang dapat dipercaya. Salah satu contohnya adalah Canarytokens oleh Thinkst. Ketika sebuah dokumen MS Word atau PDF dibuka, ia dapat menghasilkan dan mengirim e-mail ke alamat e-mail yang telah dikonfigurasikan sebelumnya. Jika file dibuka, e-mail yang dihasilkan tidak terlihat oleh pembuka file. E-mail yang dikirim juga memuat metadata lainnya seperti alamat IP pembuka dan token spesifik yang digunakan CanaryToken. Hal itu menyediakan data yang memadai bagi tim SOC untuk melakukan penyelidikan lebih lanjut.

Berbasis Cloud: Jenis terakhir ini adalah bidang yang sedang berkembang. Untuk memahami aktivitas berbahaya dalam beban kerja cloud, saya merekomendasikan honey baits berikut ini di seluruh portofolio layanan AWS seperti SpaceCrab, HoneyBuckets, HoneyLambda, atau CanaryTokensDocker. Sementara honeypots merupakan teknologi yang relatif lama (baca lebih lanjut dalam tulisan C.Stoll berjudul 'The Cuckoos Egg: Tracking a spy through the maze of espionage’/‘Melacak mata-mata melalui labirin spionase'). Memilih salah satu, atau beberapa campuran dari set peralatan berbiaya rendah yang mudah dikonfigurasikan ini, akan menambahkan dimensi ekstra terhadap kapabilitas monitoring security dan terbukti sangat bermanfaat bagi para defender untuk lebih memahami risiko dan kemungkinan serangan langsung. Dalam konteks seperti ini, honeypots memang memiliki prospek yang sangat manis.

Share this post

You may also like

Panduan ITSEC Mengenai DevSecOps
Teknologi

Panduan ITSEC Mengenai DevSecOps

Tips
Hacks

Setiap tim teknis yang saat ini menggunakan kerangka kerja DevOps harus mencari cara untuk bergerak ke arah pola pikir DevSecOps dengan cara meningkatkan keahlian security yang dimiliki oleh masing-masing anggota tim yang berasal dari berbagai latar belakang teknologi. Dari membangun layanan cybersecurity yang berfokus pada bisnis hingga pengujian potensi eksploitasi cybersecurity, kerangka kerja DevSecOps memastikan bahwa cybersecurity dibangun dengan cara ditanamkan ke dalam aplikasi dan tidak hanya menjadi sebuah tempelan yang baru ditambahkan belakangan. Dengan memastikan pertimbangan keamanan ada di setiap tahap pengiriman perangkat lunak (software delivery), Anda secara terus-menerus melakukan integrasi keamanan sehingga dapat mengurangi biaya compliance (kepatuhan) dan perangkat lunak dapat dikirimkan dengan cepat dan aman. DEVSECOPS DALAM PRAKTEK Keuntungan DevSecOps sederhana, yaitu bahwa Anda dapat melihat peningkatan otomatisasi di sepanjang jalur pengiriman perangkat lunak. Otomatisasi ini berguna untuk jangka panjang karena dapat menghapuskan kesalahan, mengurangi cyberattack dan mengurangi downtime. Organisasi yang ingin mengintegrasikan keamanan ke dalam kerangka DevOps mereka mendapati bahwa proses ini bisa menjadi relatif mulus jika Anda menggunakan alat DevSecOps yang tepat. Alur kerja DevOps dan DevSecOps terlihat

AdministratorAdministrator
|
Jul 10, 2023 4 minutes read
Pengantar SOAR
Teknologi

Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda. APA PERBEDAAN ANTARA SOAR VS SIEM? SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif

|
Jul 10, 2023 4 minutes read
Panduan untuk Open Source Intelligence (OSINT)
Teknologi

Panduan untuk Open Source Intelligence (OSINT)

Tips
Hacks

OSINT dapat menjadikan Anda mampu melihat lebih jauh dan hal ini dapat membawa keuntungan besar bagi bisnis Anda, yaitu dengan cara melindungi Anda dari ancaman, memberikan informasi mengenai strategi kompetitor Anda dan membantu Anda untuk memahami mitra dan orang-orang sebelum Anda melakukan investasi pada diri mereka, hal paling utama adalah OSINT merupakan alat investigasi yang penting bagi pengacara, detektif, penegak hukum, dan siapapun yang mempunyai kebutuhan untuk mengumpulkan intelijen dan menginvestigasi sebuah subjek. Artikel ini, bagian pertama dalam seri yang saya tulis mengenai OSINT, akan menjelaskan apa OSINT itu dan bagaimana Anda dapat menggunakan OSINT bagi keuntungan kehidupan profesional Anda, karena kita semua dapat mengambil keuntungan dari memandang lebih jauh dan mengetahui sesuatu daripada hanya mengasumsikan mengenai sesuatu. Pengantar Seiring waktu internet telah mengubah dunia menjadi tempat yang sangat kecil, terbukanya akses internet bagi miliaran orang di seluruh dunia untuk berkomunikasi dan bertukar data digital telah menjadikan seluruh dunia bergeser memasuki ‘era informasi’. Pada era informasi ini, istilah open-source intelligence (OSINT) mengacu pada semua informasi yang tersedia untuk publik yang dapat anda lihat

|
Jul 10, 2023 8 minutes read

Receive weekly
updates on new posts

Subscribe