Lebih dari Separuh Infeksi Awal dalam Serangan Siber Datang Melalui Eksploitasi, Kompromi Rantai Pasokan

Lebih dari Separuh Infeksi Awal dalam Serangan Siber Datang Melalui Eksploitasi, Kompromi Rantai Pasokan

Lamanya waktu penyerang tetap tidak terdeteksi di jaringan korban menurun untuk tahun keempat berturut-turut, tenggelam menjadi 21 hari pada tahun 2021, turun dari 24 hari pada tahun 2020, menurut laporan baru tentang investigasi respon insiden (IR) yang dilakukan oleh Mandiant.

Mandiant dalam kasus IR-nya menemukan bahwa perusahaan telah menyesuaikan kemampuan deteksi mereka untuk menemukan serangan paling berbahaya dengan cepat, dengan ransomware terdeteksi rata-rata dalam lima hari; serangan non-ransomware tetap aktif selama 36 hari pada tahun 2021, turun dari 45 hari pada tahun 2020. Namun deteksi serangan ransomware yang lebih cepat belum tentu positif, melainkan karena aktivasi muatan, kata Steven Stone, direktur senior musuh operasi untuk Mandiant.

Namun, secara umum, peningkatan didorong oleh deteksi lebih cepat dari ancaman non-ransomware karena lebih banyak perusahaan yang bekerja dengan perusahaan keamanan siber pihak ketiga, dan lembaga pemerintah dan perusahaan keamanan sering memberi tahu korban serangan, yang mengarah ke deteksi yang lebih cepat, katanya.

“Kami pikir kombinasi faktor-faktor seperti ini berkontribusi pada apa yang telah kami lihat sebagai peningkatan dari tahun ke tahun di wilayah ini,” kata Stone. “Pada akhirnya, vektor ancaman awal datang ke pilihan penyerang dan ketersediaan kerentanan yang berbeda. Secara keseluruhan, kami melihat beberapa kelompok penyerang menggunakan metode yang berbeda secara bersamaan, kemungkinan menunjukkan preferensi per upaya goal.”

Perusahaan memiliki meningkatkan waktu deteksi mereka secara dramatis selama dekade terakhir, mengurangi waktu untuk mendeteksi penyerang hampir 20 kali lipat, dari 418 hari pada 2011 menjadi 21 hari pada 2021, menurut laporan Mandiant M-Traits 2022.

Sumber: Mandiant

Peningkatan kemampuan deteksi perusahaan bervariasi secara signifikan menurut wilayah, dengan perusahaan di kawasan Asia-Pasifik mengalami penurunan dramatis dalam apa yang disebut “waktu tinggal” menjadi 21 hari pada tahun 2021, dari 76 hari pada tahun 2020. Perusahaan-perusahaan Eropa juga mengalami penurunan yang signifikan menjadi 48 hari, dari 66 hari pada tahun 2020, sementara deteksi perusahaan Amerika Utara tidak berubah, tetap pada stage 17 hari.

Penyerang Menyukai Serangan Cobalt
Alat serangan paling populer tetap menjadi pintu belakang Beacon, yang menyumbang 28% dari semua keluarga malware yang teridentifikasi. Beacon adalah komponen alat pengujian penetrasi Cobalt Strike, yang juga populer di kalangan penyerang jahat. Alat serangan lainnya dengan cepat turun dalam frekuensi dan termasuk backdoor Sunburst untuk lingkungan .NET, platform pengujian penetrasi Metasploit, dan SystemBC, toolkit proxy.

Secara keseluruhan, dua metode kompromi awal – mengeksploitasi kerentanan dan serangan melalui rantai pasokan – menyumbang 54% dari semua serangan dengan vektor infeksi awal yang teridentifikasi pada tahun 2021, naik dari kurang dari 30% bagian serangan pada tahun 2020, menurut Mandiant. Taktik yang berubah menggarisbawahi bahwa perusahaan perlu terus mendapat informasi tentang teknik penyerang, Jurgen Kutscher, wakil presiden eksekutif untuk pemberian layanan di Mandiant, mengatakan dalam sebuah pernyataan yang mengumumkan laporan tersebut.

“Mengingat peningkatan penggunaan eksploitasi yang berkelanjutan sebagai vektor kompromi awal, organisasi perlu mempertahankan fokus pada eksekusi pada basic keamanan — seperti aset, risiko, dan manajemen patch,” katanya. “Kunci untuk membangun ketahanan terletak pada persiapan. Mengembangkan rencana kesiapsiagaan yang kuat dan proses pemulihan yang terdokumentasi dengan baik dan teruji dapat membantu organisasi berhasil menavigasi serangan dan dengan cepat kembali ke operasi bisnis regular.”

Direktori Aktif di Bullseye
Dalam tren lain, penyerang semakin membidik penginstalan Energetic Listing (AD) hibrid, karena kesalahan konfigurasi dalam mannequin identitas hibrid — di mana kredensial dan kunci disinkronkan antara layanan AD lokal dan Azure Energetic Listing di cloud — menyebabkan kompromi, Mandiant menyatakan dalam laporannya.

Perusahaan harus memperlakukan server Direktori Aktif hibrid sebagai tingkat aset yang paling sensitif, tingkat 0, dan hanya mengizinkan akses dari stasiun kerja yang diistimewakan dari jaringan tersegmentasi. Seiring dengan pemantauan, langkah-langkah ini akan membuat eksploitasi menjadi lebih sulit, kata Evan Pena, direktur pelaksana tim merah international Mandiant.

Untungnya, menerapkan praktik keamanan terbaik untuk server AD hybrid tidak sulit dilakukan dengan benar, katanya.

“Saat perusahaan memindahkan sumber daya mereka ke cloud saat menggunakan mannequin hybrid, penyerang akan menargetkan server hybrid ini untuk mencapai kompromi area dan cloud,” katanya. “Server hibrid ini biasanya memiliki hak istimewa tingkat tinggi ke server lokal — [such as] pengontrol area — dan sumber daya cloud.”

Perusahaan harus mengatasi ancaman utama tahun ini dengan meninjau dan menilai implementasi Energetic Listing mereka untuk kerentanan atau kesalahan konfigurasi, memahami cara mendeteksi dan mencegah upaya gerakan lateral yang tidak biasa di lingkungan mereka, dan menerapkan daftar putih aplikasi dan menonaktifkan makro untuk secara signifikan membatasi serangan akses awal, kata Pena.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts