Enkripsi
Strong sangat penting untuk melindungi data bisnis dan pribadi yang sensitif. Google memperkirakan bahwa 95 persen dari lalu lintas internetnya menggunakan protokol HTTPS terenkripsi, dan sebagian besar perusahaan analis industri menyimpulkan bahwa antara 80-90 persen lalu lintas jaringan dienkripsi hari ini. Ini adalah langkah maju yang signifikan untuk integritas data dan privasi konsumen.
Namun, organisasi dengan komitmen terhadap privasi data bukan satu-satunya yang melihat nilai dalam menutupi jejak digital mereka dalam lalu lintas terenkripsi. Penjahat dunia maya dengan cepat mempersenjatai enkripsi sebagai sarana untuk menyembunyikan aktivitas jahat mereka di lalu lintas yang tidak berbahaya.
Gartner berbagi bahwa 70 persen kampanye malware pada tahun 2020 menggunakan beberapa jenis enkripsi. Dan Zscaler memblokir 733 juta serangan terenkripsi per bulan tahun ini, meningkat 260 persen dibandingkan 2019.
Menurut Penasihat Keamanan Siber Bersama yang dikeluarkan oleh FBI, CISA, Pusat Keamanan Siber Nasional Inggris dan Pusat Keamanan Siber Australia, protokol terenkripsi adalah digunakan untuk menutupi gerakan lateral dan taktik canggih lainnya dalam 60 persen serangan menggunakan 30 kerentanan jaringan yang paling banyak dieksploitasi. Dengan kata lain, organisasi tidak mengetahui 60 persen kerentanan CISA yang paling banyak dieksploitasi.
Peneliti keamanan juga telah menemukan teknik serangan canggih yang muncul dengan dekripsi laju baris dari protokol Microsoft yang paling sering disalahgunakan, seperti SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM, selain TLS 1.3.
Semua ini telah mendorong perlunya pendekatan baru dalam mendeteksi ancaman dalam lalu lintas terenkripsi: yaitu, dekripsi. Dekripsi dapat mendeteksi aktivitas pasca-kompromi yang terlewatkan oleh analisis lalu lintas terenkripsi (ETA), termasuk kampanye ransomware yang mengeksploitasi kerentanan PrintNightmare.
Saat ini, hampir tidak mungkin untuk membedakan yang baik dari yang buruk tanpa kemampuan untuk mendekripsi lalu lintas dengan aman. Kemampuan untuk tetap tidak terlihat telah memberikan keunggulan bagi penyerang siber. Lalu lintas terenkripsi telah dieksploitasi dalam beberapa serangan cyber dan teknik eksploitasi terbesar tahun lalu, dari Sunburst dan Kaseya hingga PrintNightmare dan ProxyLogon. Teknik serangan seperti living-off-the-land dan Active Directory Golden Ticket hanya berhasil karena penyerang dapat mengeksploitasi lalu lintas terenkripsi organisasi. Ransomware juga menjadi perhatian utama bagi perusahaan saat ini, namun banyak yang lumpuh karena fakta bahwa mereka tidak dapat melihat apa yang terjadi secara lateral dalam koridor lalu lintas timur-barat.
Organisasi telah berhati-hati untuk merangkul dekripsi karena kekhawatiran seputar kepatuhan, privasi, dan keamanan , serta dampak kinerja dan biaya komputasi yang tinggi. Tetapi ada cara untuk mendekripsi lalu lintas tanpa mengorbankan kepatuhan, keamanan, privasi, atau kinerja. Mari kita singkirkan beberapa mitos dan kesalahpahaman umum.
Mitos 1: Dekripsi Melemahkan Keamanan
Kebenaran: Ada dua jenis utama dekripsi: Out-of-band dan in-line. Dekripsi out-of-band mengirimkan data yang tidak teridentifikasi dan diberi token ke cloud untuk pembelajaran mesin. Ini berarti ia tidak pernah mengirim data teks jelas apa pun ke seluruh jaringan, jadi tidak ada masalah keamanan tambahan.
Dekripsi baris, juga dikenal sebagai intersepsi SSL atau man-in-the-middle (MitM), adalah pendekatan lama yang dapat mengakibatkan organisasi mengalami komplikasi tambahan dengan manajemen sertifikat, dan penyerang dapat melakukan serangan downgrade di mana pesan dienkripsi ulang menggunakan cipher suites yang lebih lemah.
Mitos 2: Dekripsi Melanggar Hukum Privasi & Standar Kepatuhan
Kebenaran: Dekripsi lalu lintas jaringan perusahaan tidak melanggar peraturan atau undang-undang privasi. Namun, beberapa kemampuan dekripsi tidak dapat dikonfigurasi pada subnet sensitif untuk menghindari pelanggaran kerangka kepatuhan seperti GDPR, PCI DSS, dan HIPAA. Organisasi harus secara proaktif menghindari perekaman data yang relevan dengan kerangka kerja kepatuhan, dan memiliki kontrol akses pengguna untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke data tingkat paket.
Mitos 3: Lalu Lintas Terenkripsi Tidak Dapat Diakses oleh Penyerang
Kebenaran: Protokol enkripsi yang tidak digunakan lagi seperti SSL dan TLS 1.0 dan 1.1 dapat membuat lalu lintas rentan terhadap sniffing dan dekripsi oleh penyerang canggih.
Mitos 4: Lalu Lintas Terenkripsi Tidak Memberikan Manfaat bagi Penyerang
Kebenaran: Sementara sebagian besar perusahaan menggunakan enkripsi untuk memastikan privasi data mereka, penjahat dunia maya juga mahir menggunakan teknologi yang sama untuk menutupi up track mereka.
Manfaat mendekripsi lalu lintas jaringan banyak. Pertama, dekripsi memungkinkan deteksi serangan lebih awal dalam kampanye serangan karena muatan berbahaya tidak lagi disembunyikan. Kedua, dekripsi meningkatkan waktu rata-rata untuk merespons karena memberikan konteks yang berharga untuk memastikan deteksi cepat, pelingkupan, investigasi, dan pemulihan ancaman. Dan akhirnya, dekripsi memungkinkan catatan forensik lengkap untuk investigasi pasca-kompromi.
Jeff Costlow adalah CISO di ExtraHop
Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi microsite
kamiTulis komentar
Bagikan artikel ini:
<
ul>iUulnerabilities