Para penyerang semakin meninggalkan serangan langsung dan berisik demi taktik yang lebih halus dan sembunyi-sembunyi. Mereka terbang di bawah radar dan mencapai waktu tunggu yang lama dengan bantuan strategi yang lebih modular dan kompleks, multi-tahap perangkat lunak perusak.
Akibatnya, para pembela HAM harus memikirkan kembali pendekatan mereka untuk mengungkap ancaman-ancaman tersembunyi ini sebelum menyerang.
CTO Analisis Ancaman di OPSWAT.
Apakah penghindaran merupakan hal normal yang baru?
Penyerang dunia maya biasanya akan mengambil jalur yang perlawanannya paling sedikit – jika suatu taktik berhasil, mereka akan terus menggunakannya. Ketika cukup banyak perusahaan yang dipersenjatai dengan pertahanan yang efektif, alat dan taktik ofensif akan beradaptasi untuk menyiasatinya.
Kita sedang melihat titik kritisnya sekarang. Sistem deteksi tradisional dapat mendeteksi serangan standar dengan cukup andal sehingga kelompok kriminal mengeksplorasi opsi yang lebih halus dan kompleks. Alih-alih meluncurkan kampanye brute force dalam skala besar, pelaku ancaman justru mengoptimalkan kegigihannya.
Mereka ingin tetap tertanam selama berminggu-minggu atau berbulan-bulan, diam-diam mengumpulkan data atau bersiap menghadapi serangan yang lebih berdampak.
Pola pikir yang mengutamakan kerahasiaan ini juga didorong oleh faktor ekonomi. Cybercrime-as-a-Service telah membuat teknik penghindaran yang canggih tersedia secara luas, yang berarti bahkan operator tingkat rendah pun dapat membeli alat modular yang tersembunyi.
Telemetri OPSWAT sendiri menunjukkan peningkatan kompleksitas malware sebesar 127% hanya dalam enam bulan, biasanya dalam bentuk muatan multi-tahap yang dikaburkan yang dirancang untuk melewati deteksi statis.
Tren apa yang paling mencolok?
Melonjaknya kompleksitas malware jelas merupakan salah satu perkembangan yang paling mengkhawatirkan.
Meskipun tidak ada kekurangan malware dasar di luar sana, semakin banyak kelompok yang menerapkan rantai skrip multi-tahap yang dikaburkan. Mereka sering menggabungkan PowerShell, JavaScriptdan skrip Batch yang menyamarkan setiap tahapan eksekusi. Loader modular yang ringan ini membuat pendeteksian menjadi lebih sulit.
Rata-rata sampel multi-tahap yang kami analisis tahun ini berisi 18 simpul perilaku, naik dari delapan simpul pada enam bulan sebelumnya. Lompatan ini menunjukkan bagaimana penyerang menambahkan lebih banyak kebingungan dan logika pengambilan keputusan ke dalam setiap rantai.
Kami juga melihat penyerang mempersenjatai platform yang banyak digunakan oleh karyawan untuk membantu taktik mengelak mereka dengan lalu lintas perintah dan kontrol yang semakin banyak bersembunyi di dalam alat seperti Google Spreadsheet atau Kalender.
Kampanye juga bertujuan untuk mengeksploitasi perilaku manusia, seperti serangan ‘ClickFix’, yang mengelabui korban agar menjalankan perintah Windows Run yang berbahaya. Tidak ada muatan malware atau URL berbahaya yang terlibat, jadi tidak ada alat standar yang dapat mendeteksinya.
Mengapa begitu banyak pembela HAM masih kesulitan mendeteksi ancaman-ancaman ini?
Banyak organisasi yang masih beroperasi dengan pola pikir “ancaman yang diketahui”, dan mengandalkan alat statis berbasis tanda tangan untuk menandai sesuatu yang familiar. Hal ini cukup berhasil selama bertahun-tahun, hingga pada titik di mana penyerang harus mengubahnya.
Namun malware yang lebih canggih saat ini jarang terlihat sama dua kali. Kebingungan, enkripsidan eksekusi tanpa file berarti sistem ini sering kali tidak dapat menandinginya.
Kami menemukan bahwa satu dari 14 file yang dianggap tidak berbahaya oleh feed publik ternyata berbahaya ketika dianalisis berdasarkan perilaku. Hal ini merupakan titik buta besar bagi strategi pertahanan apa pun yang mengandalkan tanda-tanda ancaman yang diketahui.
Bagaimana organisasi dapat mengatasi serangan diam-diam ini?
Alat deteksi standar masih diperlukan untuk menghadapi berbagai ancaman tingkat rendah yang beredar, namun keamanan arsitek juga harus mengadopsi strategi yang mengutamakan perilaku.
Ini berfokus pada menentukan fungsi suatu file, bukan hanya tampilannya saja. Daripada mempercayai indikator statis, pembela HAM menganalisis eksekusi secara real time untuk melihat bagaimana perilaku file. Hal ini termasuk menilai proses apa yang dihasilkannya, register mana yang disentuhnya, dan bagaimana ia berinteraksi dengan sistem tersebut jaringan atau memori sistem.
Sandboxing dan emulasi adaptif dapat dengan aman mengungkap perilaku tersembunyi seperti malware khusus memori atau skrip yang mendekripsi dan mengeksekusi hanya pada waktu proses.
Di OPSWAT, kami telah melihat bahwa menggabungkan analisis perilaku dengan penelusuran kesamaan yang didukung pembelajaran mesin mencapai akurasi deteksi 99,97%. Pendekatan ini mempercepat deteksi dan presisi, mengungkap ancaman baru hingga 24 jam sebelum muncul di feed OSINT publik.
Apa lagi yang bisa dilakukan para pemimpin keamanan untuk membangun ketahanan
Salah satu faktor terpenting dalam membangun ketahanan sejati adalah dengan melakukan pendekatan berlapis.
Jadi, meskipun pendekatan yang mengutamakan perilaku sangat penting, ada elemen lain yang perlu dipertimbangkan. Salah satu kemampuan penting adalah penerapan dioda data. Ini adalah unit perangkat keras yang menerapkan aliran data searah, memberikan penghalang efektif terhadap taktik C2 dan eksfiltrasi yang lebih halus.
Selain itu, penerapan solusi Managed File Transfer (MFT) akan memberikan lapisan pertahanan lain dengan memblokir dan mem-sandbox potensi risiko secara otomatis.
Terakhir, pendekatan berharga lainnya adalah dengan menerapkan Content Disarm and Reconstruction (CDR). Ini memperlakukan semua file yang masuk sebagai file berbahaya secara default dan akan membangun kembali serta membersihkannya untuk sepenuhnya menghapus segala ancaman tersembunyi sebelum diizinkan masuk ke sistem.
Langkah paling penting adalah menerima bahwa stealth menjadi mode serangan default. Para pembela HAM perlu berevolusi sesuai dengan hal tersebut dengan memprioritaskan kemampuan beradaptasi pada manusia, proses, dan teknologi. Deteksi dan respons berkelanjutan harus menggantikan pemindaian point-in-time, sementara intelijen ancaman harus mengalir dengan bebas antar alat dan tim.
Para pemimpin keamanan harus fokus untuk mengetahui bagaimana suatu ancaman berperilaku. Membangun konteks perilaku ke dalam setiap tahapan jalur keamanan membantu tim membuat keputusan yang lebih cepat dan cerdas.
Yang terpenting, keberhasilan pertahanan menuntut pendekatan keamanan yang berkelanjutan. Organisasi yang belajar dari setiap kejadian akan selalu menjadi yang terdepan.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
