Pergerakan lateral adalah salah satu alasan utama serangan siber menjadi lebih merusak secara signifikan selama beberapa tahun terakhir. Namun hanya sedikit organisasi yang menyadari bagaimana teknik ini digunakan oleh penjahat dunia maya. Pada bagian ini, saya akan menjelaskan konsep di balik gerakan lateral, dan memberikan beberapa tip tentang bagaimana organisasi dapat melindunginya.
Tentang Penulis
Damien Benazet adalah Technical Account Management Director di Tanium (terbuka di tab baru).
Teknik gerakan lateral telah menjadi kunci keberhasilan banyak serangan profil tinggi, termasuk malware WannaCry dan NotPetya (terbuka di tab baru) varian yang menyerang organisasi di seluruh dunia pada tahun 2017. Hampir semua serangan siber melibatkan bentuk gerakan lateral, sebuah taktik yang membuat penyerang memasang ransomware (terbuka di tab baru) di komputer sebanyak mungkin, atau mencari data berharga apa pun (terbuka di tab baru) di jaringan perusahaan, seperti informasi kartu kredit yang disimpan di server
Dalam beberapa serangan, gerakan lateral adalah proses yang lambat, hati-hati, dan diam-diam yang dikelola oleh penipu manusia dari jarak jauh. Dalam serangan lain, ini adalah penjelajahan titik akhir secepat kilat yang diotomatisasi oleh malware yang memanfaatkan izin administratif yang lemah atau kerentanan yang belum ditambal. Prinsip utama pergerakan lateral adalah mendapatkan hak akses di komputer target. Di sebagian besar organisasi, biasanya ada beberapa jenis profil utama, masing-masing memiliki hak akses yang berbeda. Biasanya, profil tamu memiliki akses ke aplikasi dalam jumlah terbatas (terbuka di tab baru)profil pengguna diberi wewenang untuk menggunakan workstation masing-masing, dan profil administrator memiliki hak penuh: penggunaan, penginstalan, modifikasi, dan penghapusan aplikasi dan pengaturan.
Setelah peretas berhasil mengakses mesin di jaringan perusahaan, tujuan mereka adalah menemukan pengidentifikasi koneksi – juga dikenal sebagai kredensial – yang akan memberi mereka hak superior untuk melakukan operasi yang lebih jahat. Langkah pertama dalam ‘gerakan lateral’ ini sering menggunakan spyware kecil yang disebut “dumper kredensial”, yang mengumpulkan kredensial lain yang ada di mesin. Ini kemudian akan memeriksa apakah salah satu kredensial yang dipulihkan memiliki hak akses yang lebih penting daripada yang sudah dimilikinya.
Kredensial login ini sering disimpan di cache komputer segera setelah seseorang mengautentikasinya, dengan metode yang menyimpan kredensial ini di komputer. Kredensial masuk ini sesuai dengan profil lain, misalnya karyawan TI yang mungkin datang untuk menyelesaikan masalah beberapa hari sebelumnya. Langkah kedua terdiri dari mengulangi operasi ini dan menggunakan kredensial ini untuk mendapatkan akses ke mesin lain, seperti laptop (terbuka di tab baru) atau server. Tujuannya adalah untuk mengumpulkan lebih banyak kredensial dengan lebih banyak hak istimewa, untuk memperluas secara bertahap di seluruh lingkungan jaringan dan mendapatkan lebih banyak kekuatan – dan melakukan kerusakan sebanyak mungkin
Sebuah teknik sederhana
Pergerakan lateral adalah pendekatan yang sangat populer bagi peretas karena tidak memerlukan sumber daya dalam jumlah besar atau kebutuhan untuk memiliki akses yang signifikan sejak awal. Yang perlu dilakukan peretas hanyalah mendapatkan akses ke satu mesin, lalu meningkatkan hak istimewa dengan menjelajahi mesin tetangga.
Tujuannya adalah untuk mengendalikan sebanyak mungkin mesin, dengan hak istimewa tertinggi yang diizinkan, untuk memiliki jaringan komputer dan server yang siap meluncurkan serangan, atau yang akan membuat grup tidak dapat bereaksi setelah terinfeksi. Untuk peretas, ini jauh lebih mudah disiapkan daripada serangan jaringan, terutama karena datang dalam bentuk pendekatan permukaan yang seringkali diremehkan oleh manajemen TI (terbuka di tab baru) departemen yang memiliki visibilitas terbatas.
Cara mengurangi jalur pergerakan lateral
Untungnya, ada cara sederhana bagi organisasi untuk melindungi jaringan mereka dari teknik gerakan lateral. Langkah pertama adalah memastikan bahwa delegasi administrator dikelola dengan baik di semua workstation. Kedua, tim TI harus menutup Server Message Block (SMB), protokol jaringan yang memungkinkan pengguna berkomunikasi dengan komputer dan server jarak jauh, di semua titik akhir. Jika terbuka, SMB ini dapat memungkinkan sebuah mesin menjelajahi jaringan dan mencari perangkat lain untuk diinfeksi.
Langkah terakhir adalah menyiapkan autentikasi menggunakan kata sandi acak sementara (terbuka di tab baru) untuk profil administrator lokal, atau dengan meminta autentikasi multifaktor. Dengan strategi ini, penyerang tidak akan dapat menggunakan kembali kata sandi yang disimpan karena hanya dapat digunakan satu kali – mempersulit penjahat dunia maya untuk menggunakan kredensial untuk berpindah secara lateral ke sumber daya lain di jaringan.
Departemen TI sering kekurangan visibilitas ke semua mesin yang terhubung ke jaringan mereka. Kurangnya visibilitas ini dapat mencegah departemen keamanan mengetahui kredensial mana yang ada di mesin mana. Dengan visibilitas titik akhir yang lebih akurat, departemen TI akan dapat melihat sesi mana yang masih di-cache di komputer dan server. Ini berarti bahwa ketika ada indikasi titik akhir yang disusupi terlihat, semua data terkait dapat dikumpulkan dan dengan cepat dikirim ke tim keamanan untuk dianalisis dan ditanggapi.
Mempertimbangkan keberhasilan malware baru-baru ini, seperti serangan baru-baru ini pada sistem perawatan kesehatan Irlandia, organisasi perlu bertindak cepat untuk menerapkan langkah-langkah keamanan ini. Dengan melakukan itu, mereka akan lebih siap dan mampu mencegah penjahat dunia maya mengambil kendali jaringan mereka menggunakan teknik gerakan lateral.
