logo
Teknologi

Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots

Analis cybersecurity telah mencatat bahwa trafik serangan terhadap bisnis kecil dan menengah telah mengalami peningkatan sepanjang tahun 2019, mencapai tingkat yang luar biasa tinggi dibandingkan dengan trafik serangan Telnet dan SSH. Tidak jelas siapa yang menyebabkan kenaikan tersebut karena tidak ada file yang diunggah, hanya koneksi dari beberapa negara yang dapat diidentifikasi sebagai penyebab utama.

|
Jul 09, 2023
Inilah Alasan Mengapa Memerlukan Cybersecurity Honeypots

Bagaimana caranya kami dapat mengetahui hal ini? Sama halnya seperti cara kami dapat mengetahui sebagian besar cyber threat global, teknik yang digunakan, pemilihan waktu, dan tools yang digunakan, bahkan gagasan tentang siapa mereka - Honeypots.

Honeypot merupakan sumber daya sistem informasi yang nilainya terletak pada penggunaan ilegal atau tanpa otorisasi atas sumber daya tersebut, artinya ia akan terbukti bernilai ketika seorang hacker mencoba berinteraksi dengannya. Sumber daya honeypot biasa disamarkan sebagai server jaringan, ia terlihat dan terasa seperti server tetapi sebenarnya merupakan perangkap yang digunakan untuk memancing penyusup yang tidak memiliki otorisasi.

Bagaimana analis menemukan EternalRocks? Hal tersebut bisa terjadi karena adanya honeypot.

Sebuah permainan kreatif “kucing dan tikus” yang meletakkan perangkap cerdik. Musuh yang datang mencoba mengelabui perangkap atau mengenali sesuatu yang mencurigakan dan menghindarinya, atau dalam beberapa kasus, merusaknya. Hal ini ditanggapi oleh seorang peneliti dengan menulis tweet untuk menghibur banyak orang, "Bagi Anda yang mengetahui honeypot saya adalah sebuah ‘honeypot’ (wadah madu), bisakah Anda berhenti menaruh gambar beruang (madu) Pooh di atasnya?.

Silakan mengecek sumber daya HoneyDB untuk mengetahui analisis real-time mengenai penyerang, yang dibuat oleh honeypot dengan mengumpulkan data dari sensor honeypot yang telah diletakkan di dalam internet secara global.

Hal yang unik dan aneh dalam dunia monitoring dan intelijen jaringan, banyak sekali justifikasi yang digunakan oleh organisasi kecil maupun besar. Tool dan teknik seringkali diabaikan dalam Standar Keamanan Informasi utama, dianggap tidak perlu dimasukkan ke dalam peraturan standar tata kelola yang paling populer seperti SANS/NIST/PCI/DSS/ISO.

Klien kami jarang meminta atau mempersyaratkan sistem honeypot dalam RFP. bagi saya hal ini membingungkan, mengingat betapa penting dan berharganya honeypot. Apakah ada teknik cyber lain yang dapat memberikan tingkat kepercayaan bagi CISO bahwa jaringan tidak mengalami breach, serta dapat memberikan rincian informasi host atau port yang digunakan dalam serangan, khususnya untuk jaringan yang terbuka / belum matang?

Umumnya, pekerjaan ini adalah bidang tugas tim SIEM yang membutuhkan waktu berbulan-bulan untuk menyelesaikan pengembangan use case. Artikel ini berupaya untuk meluruskan dan menghentikan kesalahpahaman terhadap honeypot. Di bawah ini saya telah mencantumkan beberapa contoh honeypot yang memiliki kredibilitas dan layak dimasukkan ke dalam sistem cyber defense siapapun baik yang berukuran besar atau kecil.

Berbasis Host: enis honeypot yang paling sederhana dan paling terkenal memiliki tantangan untuk menyatu dengan infrastruktur yang ada, tidak terlalu panas untuk terlihat tetapi juga tidak terlalu dingin untuk tidak diperhatikan. Nama host dan sistem operasi harus sesuai dengan konvensi yang ada, dilengkapi dengan sedikit sentuhan umpan yang menarik perhatian penyerang untuk menjelajahi sistem lebih lanjut.

Jenis umpan seperti apa yang digunakan sepenuhnya tergantung pada organisasi Anda. Selain itu, permintaan otentikasi harus merespons dengan cara yang persis sama dengan host lain di jaringan, tetapi dengan dilengkapi monitoring tambahan yang berfungsi untuk membuat peringatan jika terdeteksi aktivitas seperti upaya login dari luar.

Proyek open-source bernama Artillery yang dikeluarkan oleh Binary Defense adalah salah satu opsi untuk membantu mengonfigurasi dan memonitor honeypot stand-alone di dalam sistem Linux atau Windows. Ini dapat digunakan bersamaan dengan bermacam-macam program honeypot dengan interaksi rendah atau menengah yang mensimulasikan sistem atau layanan. Misalnya, Cowrie mensimulasikan layanan ssh yang memungkinkan otentikasi oleh penyerang dan memantau aktivitas penyerang dengan honeypot yang menghasilkan pencatatan dan peringatan yang terperinci.

Berbasis Kredensial: Jika kita berasumsi musuh berada dalam jaringan, peringatan tentang adanya aktivitas beberapa teknik lateral umum menjadi sangat penting. Jadi memperluas konsep honeypot menjadi honey hash dapat memberikan bantuan. Honey hash adalah penyisipan kredensial palsu ke dalam memori sistem yang sedang berjalan. Keberadaan honey hash sama sekali tidak diketahui oleh sistem dan user, kecuali jika penyerang menggunakan alat seperti Mimikatz untuk mencuri kredensial dan menggunakannya kembali di dalam environment. Jika penyerang mencoba menggunakan kredensial honey hash yang ditanam, peringatan sistem akan terpicu dengan adanya aktivitas tersebut sehingga investigasi dapat diluncurkan.

Untuk menjalankan honey hash, harus dibuat akun honey istimewa yang tidak akan pernah digunakan dalam proses produksi, seperti anggota grup administrator domain. Sehingga akun istimewa dapat menyediakan target yang menarik bagi penyerang. Akun tersebut harus dikonfigurasikan dengan kata sandi acak yang sangat panjang untuk mencegah paparan realistis dari tebakan kata sandi.

Secara bersamaan, sebuah use case dikonfigurasikan pada SIEM untuk memberikan peringatan untuk setiap upaya masuk menggunakan akun ini. Setelah akun istimewa diletakkan sebagai umpan, honey hash pada sistem di dalam environment dapat ditanam menggunakan skrip New-HoneyHash.ps1 dari EmpireProject. Skrip PowerShell mengambil parameter domain, nama akun, dan kata sandi akun. Kemudian menyimpan kredensial terkait dan informasi yang disediakan di dalam memori proses Local Security Authority Subsystem Service (Layanan Subsistem Otoritas Keamanan Lokal).

Dengan meletakkan akun palsu administrator domain (tetapi dengan kata sandi salah) kredensial dalam memori komputer, akan tampak sangat menggoda bagi musuh yang melakukan pencarian kata sandi di dalam memori komputer. Tumpukan kredensial yang disimpan di dalam memori dan usaha lanjutan untuk menggunakan kembali nama pengguna dan kata sandi akun akan mengakibatkan aktivitas login gagal dan peringatan dapat dikirim ke SOC untuk penyelidikan lebih lanjut. Skrip startup, yang didorong melalui kebijakan grup, untuk meletakkan honey hash pada beberapa sistem di seluruh environment dapat dibuat jika Anda ingin mengotomatisasi proses di seluruh sistem Anda.

Berbasis File: Di bagian bawah dari rantai cyber kill, dengan asumsi kasus terburuk telah terjadi, data telah berhasil dibawa ke luar organisasi, ada juga jenis honey yang dapat mendeteksi skenario semacam ini. File bisnis yang tidak memiliki fungsi bisnis sebenarnya dapat digunakan pada server produksi apa pun dan dikonfigurasikan dengan audit terperinci untuk mengingatkan setiap kali interaksi dibuka atau digunakan. File-file tersebut harus memiliki nama yang menarik tetapi tetap sesuai dengan ketentuan penamaan di dalam organisasi. Dengan menanamkan konten aktif dalam dokumen, maka ia dapat mencoba menghubungi URL atau mengungkapkan alamat IP sistem dari mana dokumen dibuka secara otomatis, sehingga dapat membuka identitas penyerang.

Aktivitas semacam itu memiliki sejumlah tantangan hukum dan logistik untuk menciptakan disinformasi yang dapat dipercaya. Salah satu contohnya adalah Canarytokens oleh Thinkst. Ketika sebuah dokumen MS Word atau PDF dibuka, ia dapat menghasilkan dan mengirim e-mail ke alamat e-mail yang telah dikonfigurasikan sebelumnya. Jika file dibuka, e-mail yang dihasilkan tidak terlihat oleh pembuka file. E-mail yang dikirim juga memuat metadata lainnya seperti alamat IP pembuka dan token spesifik yang digunakan CanaryToken. Hal itu menyediakan data yang memadai bagi tim SOC untuk melakukan penyelidikan lebih lanjut.

Berbasis Cloud: Jenis terakhir ini adalah bidang yang sedang berkembang. Untuk memahami aktivitas berbahaya dalam beban kerja cloud, saya merekomendasikan honey baits berikut ini di seluruh portofolio layanan AWS seperti SpaceCrab, HoneyBuckets, HoneyLambda, atau CanaryTokensDocker. Sementara honeypots merupakan teknologi yang relatif lama (baca lebih lanjut dalam tulisan C.Stoll berjudul 'The Cuckoos Egg: Tracking a spy through the maze of espionage’/‘Melacak mata-mata melalui labirin spionase'). Memilih salah satu, atau beberapa campuran dari set peralatan berbiaya rendah yang mudah dikonfigurasikan ini, akan menambahkan dimensi ekstra terhadap kapabilitas monitoring security dan terbukti sangat bermanfaat bagi para defender untuk lebih memahami risiko dan kemungkinan serangan langsung. Dalam konteks seperti ini, honeypots memang memiliki prospek yang sangat manis.

Share this post

You may also like

Pengantar SOAR
Teknologi

Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda. APA PERBEDAAN ANTARA SOAR VS SIEM? SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif

|
Jul 10, 2023 4 minutes read
Mengapa Anda Perlu Serius Menginventarisasi Aset
Teknologi

Mengapa Anda Perlu Serius Menginventarisasi Aset

Jika Anda bekerja di cybersecurity, pepatah tersebut menjadi tidak berlaku dan suatu saat akan membuat Anda dalam masalah. Tidak ada yang mengharapkan Anda untuk mengetahui segalanya, tetapi mereka mengharapkan Anda mengetahui aset apa yang Anda miliki di jaringan perusahaan yang terhubung ke infrastruktur TI Anda. Hal inilah yang pertama saya cari ketika berbicara dengan sebuah organisasi untuk pertama kalinya. Secara umum, semakin banyak yang dapat diceritakan oleh organisasi tentang inventaris PC, tablet, smartphone, server, dan wireless access points (titik akses nirkabel) mereka, maka semakin baik keamanan cybersecurity mereka. Anda mungkin terkejut setelah mengetahui bahwa sebagian besar organisasi tidak memiliki panduan yang jelas pada inventaris aset mereka. Ketiadaan daftar terbaru mengenai apa yang Anda pertahankan adalah suatu kejutan sendiri, karena diskoveri/penemuan aset merupakan standar dasar dalam keamanan TI. Tanpanya, Anda tidak mungkin mempertahankan infrastruktur TI Anda. Ketika Anda mengetahui bahwa sebagian besar perusahaan yang tidak memiliki daftar aktif tentang aset mereka mengalami atau mendapat pelanggaran (breach), maka hal ini tidak mengejutkan sama sekali. Ketika saya berbincang dengan organisasi tentang cybersecurity, saya mengajukan pertanyaan kepada

|
Jul 09, 2023 5 minutes read
Sejarah Singkat Internet
Teknologi

Sejarah Singkat Internet

Saya ketagihan pada komputer sejak Oregan Trail pertama kali dirilis, saat itu Anda harus mengodekan semua aplikasi Anda secara manual di BASIC jika benar-benar ingin komputer Anda menjadi berguna atau bahkan melakukan hal-hal yang membosankan seperti bersuara “blip” pada Anda. Satu-satunya alternatif untuk mengetik ratusan baris kode yaitu dengan memuat kaset yang telah direkam sebelumnya dengan serangkaian bunyi “biip”, peluit, dan memberitahu komputer Anda apa yang harus dilakukannya ketika diputar ulang. Anda tahu, suara-suara pra-rekaman yang berbunyi “biip” itu PERSIS seperti apa yang terdengar di internet saat pertama kali saya mendengarnya. Tidak, itu bukanlah kesalahan ketik, saya telah mendengar internet sebelum saya benar-benar melihatnya, begitu banyak sehingga saya masih percaya bahwa internet kabel saya adalah internet palsu karena setiap waktu sangat sepi Tidak, saya tidak mendengar internet karena saya adalah semacam seorang whisperer (pembisik) internet, kita SEMUA telah mendengar internet sebelum kita benar-benar menggunakannya saat itu, kedatangannya disinyalkan oleh serangkaian pekikan bernada tinggi dan dengungan digital yang datang kepada Anda dari saluran telepon. Begitulah cara kita mengetahui internet akan datang. Di masa

AdministratorAdministrator
|
Jul 09, 2023 10 minutes read

Receive weekly
updates on new posts

Subscribe