Bahkan dengan pemindaian email paling canggih dan sistem deteksi phishing yang tersedia, email phishing masih merupakan vektor intrusi yang sangat umum digunakan oleh penjahat dunia maya untuk memperkenalkan malware, termasuk ransomware, ke jaringan bisnis. Itu karena 1) semakin banyak, sistem yang sah digunakan; dan 2) email phishing juga bisa efektif bahkan ketika karyawan berpendidikan tinggi dan pandai mengenali dan melaporkannya.
Untungnya, ada taktik untuk melindungi jaringan Anda bahkan ketika email tidak dapat dihentikan secara langsung.
Phishing yang Semakin Efektif
Ketika sistem email yang sah dikompromikan dan mulai mengirimkan email berbahaya dari sumber yang valid, kemanjuran phishing diperbesar. Inilah yang terjadi selama akhir pekan ketika salah satu sistem email FBI diretas untuk mengirimkan peringatan keamanan siber palsu ke ribuan orang. kompromi dapat menimbulkan tantangan keamanan yang signifikan bagi profesional TI. Kebanyakan orang yang menerima email kemungkinan tidak akan mempertanyakan keabsahannya—bahkan jika mereka melihat header emailnya—karena email tersebut berasal dari tempat asalnya (dalam kasus di atas, dari FBI).
Jenis kompromi ini adalah sangat berbahaya; itu membuat mekanisme otentikasi email seperti DMARC, SPF dan DKIM tidak berguna karena email berasal dari sumber resmi; jadi itu berarti bahwa perangkat lunak anti-spam dan anti-phishing jauh lebih tidak mungkin untuk menandai pesan sebagai berbahaya.
Terlepas dari kerusakan yang sebenarnya terjadi, faktanya tetap bahwa kompromi tersebut memungkinkan pelaku jahat untuk melakukan serangan phishing yang sangat efektif. Jadi, jika sistem email telah disusupi, apa yang dapat dilakukan organisasi untuk melindungi jaringan mereka dari serangan semacam itu?
Melindungi Jaringan saat Phishing Tidak Dapat Dihentikan Langsung
Ada banyak sumber daya yang harus digunakan oleh profesional jaringan dan keamanan untuk melindungi bisnis dari serangan besar . Meskipun akan terlalu lengkap untuk mencantumkan semuanya, mari kita telusuri pendekatan menyeluruh dan berlapis-lapis untuk mencoba menghentikan serangan ini agar tidak mendapatkan kendali atas jaringan:
1. Keamanan Email Tingkat Lanjut
Meskipun keamanan email tidak sempurna, seperti yang dibahas di atas, ada beberapa fungsi dalam keamanan email yang harus diaktifkan sehingga kemungkinan infeksi dari email yang disusupi serendah mungkin.
Salah satu cara paling efektif untuk menghentikan serangan phishing adalah untuk mengaktifkan perlindungan tautan di pengaturan email perusahaan. Perlindungan semacam itu membuat sistem email membuka tautan apa pun dan menghapus tautan yang mengarah ke unduhan malware. Jelas, perlindungan ini tidak dapat bertahan terhadap semua tautan jahat, tetapi tentu saja dapat membantu mengurangi jumlah tautan jahat yang berhasil masuk ke kotak masuk.
Menyetel tingkat filter spam yang lebih tinggi juga dapat membantu memblokir email yang memiliki niat jahat. Pengaturan ini menggunakan pemodelan heuristik lanjutan untuk mencari email dengan kata-kata yang buruk, atau email yang memiliki kata-kata seperti email berbahaya lainnya yang diketahui. Sekali lagi, meskipun tidak sempurna, ini tentu saja merupakan garis pertahanan pertama yang penting.
2. Sistem Deteksi dan Pencegahan Intrusi
Semoga semua organisasi telah memiliki firewall untuk memblokir malware terkenal agar tidak masuk ke jaringan; namun, beberapa tidak memiliki sistem untuk memblokir malware agar tidak menyebar begitu malware masuk. Deteksi intrusi dan sistem pencegahan memungkinkan organisasi untuk menemukan (deteksi) dan menghilangkan/mengubah (pencegahan) serangan sebelum dapat menguasai sistem lain. Sistem ini sering digunakan sebagai upaya terkoordinasi dengan perlindungan titik akhir (antivirus) yang membantu menghilangkan virus dan malware umum.
Ada satu peringatan di sini: Meskipun sangat canggih, sistem ini tidak seefektif menemukan malware atau malware yang relatif baru yang efektif bersembunyi untuk jangka waktu yang lama. Ini karena sistem melihat paket saat melintasi jaringan dan dengan demikian sering melewatkan aktivitas berbahaya yang bergerak melintasi jaringan dalam interval waktu sporadis selama berhari-hari atau berbulan-bulan. Dengan demikian, mereka, seperti keamanan email tingkat lanjut, harus disertakan sebagai bagian dari pendekatan yang lebih luas yang mencakup pertahanan lainnya.
3. Deteksi dan Respons Jaringan Berbasis Aliran (NDR)
Cabang penting lainnya dari pendekatan berlapis-lapis adalah deteksi dan respons jaringan (NDR), yang dapat digunakan oleh profesional keamanan untuk mendeteksi lalu lintas yang mencurigakan, dan menganalisis/memblokir malware yang berhasil menembus sistem keamanan lain.
Menurut untuk Gartner, sistem NDR bekerja dengan menerapkan “pembelajaran mesin dan teknik analitik lainnya ke lalu lintas jaringan” dan “membantu perusahaan mendeteksi lalu lintas mencurigakan yang tidak dilengkapi alat keamanan lainnya”. Alat NDR berbasis aliran dan perilaku melengkapi solusi deteksi berbasis tanda tangan karena alat tersebut dapat mendeteksi perilaku anomali berdasarkan lalu lintas jaringan yang diketahui sebelumnya.
A Pendekatan Seimbang
Ketiga opsi ini, ditambah pendidikan pengguna, deteksi titik akhir, dan praktik terbaik lainnya, dapat berkontribusi untuk mengurangi efektivitas serangan phishing tingkat lanjut. Dengan menerapkan pendekatan keamanan berlapis-lapis, bahkan ketika sistem pihak ketiga disusupi, tim keamanan lebih efektif dalam mencegah penyebaran malware ke seluruh jaringan mereka.
Justin Jett adalah direktur audit dan kepatuhan di Plixer.
Nikmati wawasan tambahan dari Infosec Threatpost Komunitas orang dalam dengan mengunjungi situs mikro kami.
Tulis komentar
Bagikan artikel ini:
<
ul>iMalwareliu
- iKeamanan Web