Skip to main content

Cara mengurangi Serangan Ransomware yang Dioperasikan Manusia - Infografis

SMKN1SLAHUNG - Pada hari-hari sebelumnya, jika seseorang harus membajak komputer Anda, biasanya dimungkinkan dengan memegang komputer Anda baik secara fisik ada di sana atau menggunakan akses jarak jauh. Sementara dunia telah bergerak maju dengan otomatisasi, keamanan komputer telah diperketat, satu hal yang tidak berubah adalah kesalahan manusia. Di situlah Serangan Ransomware yang dioperasikan Manusia muncul.

Ini adalah serangan buatan yang menemukan kerentanan atau keamanan yang salah konfigurasi pada komputer dan mendapatkan akses. Microsoft telah datang dengan studi kasus lengkap yang menyimpulkan bahwa admin TI dapat mengurangi serangan Ransomware yang dioperasikan manusia ini dengan margin yang signifikan.

Mengurangi Serangan Ransomware yg Dioperasikan Manusi

Menurut Microsoft, cara terbaik buat memitigasi ransomware semacam ini, dan kampanye buatan tangan merupakan memblokir seluruh komunikasi yang nir perlu antara titik akhir. Juga sama pentingnya buat mengikuti praktik terbaik untuk kebersihan kredensial seperti Multi-Factor Authentication, memantau upaya brute force, menginstal pembaruan keamanan terkini, dan banyak lagi. Berikut merupakan daftar lengkap langkah-langkah pertahanan yang harus diambil:

  • Pastikan untuk menerapkan pengaturan konfigurasi yang disarankan Microsoft untuk melindungi komputer yang terhubung ke internet.
  • ATP Defender menawarkan manajemen ancaman dan kerentanan . Anda dapat menggunakannya untuk mengaudit mesin secara teratur untuk kerentanan, kesalahan konfigurasi, dan aktivitas mencurigakan.
  • Gunakan gateway MFA seperti Azure Multi-Factor Authentication (MFA) atau aktifkan otentikasi tingkat jaringan (NLA).
  • Menawarkan hak istimewa paling rendah ke akun , dan hanya memungkinkan akses bila diperlukan. Akun apa pun dengan akses tingkat admin di seluruh domain harus minimum atau nol.
  • Alat seperti alat Local Password Password Solution (LAPS) dapat mengonfigurasi kata sandi acak unik untuk akun admin. Anda dapat menyimpannya di Active Directory (AD) dan melindungi menggunakan ACL.
  • Monitor untuk upaya kekerasan. Anda harus khawatir, terutama jika ada banyak upaya otentikasi gagal. Saring menggunakan ID peristiwa 4625 untuk menemukan entri tersebut.
  • Penyerang biasanya menghapus log Event Keamanan dan log Operasional PowerShell untuk menghapus semua jejak kaki mereka. Microsoft Defender ATP menghasilkan Event ID 1102 saat ini terjadi.
  • Aktifkan fitur perlindungan Tamper untuk mencegah penyerang mematikan fitur keamanan.
  • Selidiki event ID 4624 untuk menemukan di mana akun dengan hak istimewa tinggi masuk. Jika mereka masuk ke jaringan atau komputer yang dikompromikan, maka itu bisa menjadi ancaman yang lebih signifikan.
  • Aktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis pada Windows Defender Antivirus. Ini mengamankan Anda dari ancaman yang tidak diketahui.
  • Aktifkan aturan pengurangan permukaan serangan. Bersamaan dengan ini, aktifkan aturan yang memblokir pencurian kredensial, aktivitas ransomware, dan penggunaan mencurigakan dari PsExec dan WMI.
  • Aktifkan AMSI untuk Office VBA jika Anda memiliki Office 365.
  • Cegah komunikasi RPC dan SMB di antara titik-titik akhir bila memungkinkan.

Microsoft sudah memasang studi masalah Wadhrama, Doppelpaymer, Ryuk, Samas, REvil)

  • Wadhrama dikirim menggunakan brute force ke server yang memiliki Remote Desktop. Mereka biasanya menemukan sistem yang belum ditonton dan menggunakan kerentanan yang diungkapkan untuk mendapatkan akses awal atau meningkatkan hak istimewa.
  • Doppelpaymer secara manual menyebar melalui jaringan yang dikompromikan menggunakan kredensial curian untuk akun istimewa. Itu sebabnya sangat penting untuk mengikuti pengaturan konfigurasi yang disarankan untuk semua komputer.
  • Ryuk mendistribusikan muatan melalui email (Trickboat) dengan menipu pengguna akhir tentang hal lain. Baru-baru ini peretas menggunakan ketakutan Coronavirus untuk menipu pengguna akhir. Salah satunya juga mampu mengirimkan muatan Emotet .

Hal yang umum dari masing-masing dari mereka adalah mereka dibangun berdasarkan situasi. Mereka tampaknya melakukan taktik gorila di mana mereka bergerak dari satu mesin ke mesin lain untuk mengirimkan muatan. Adalah penting bahwa admin TI tidak hanya mengawasi serangan yang sedang berlangsung, bahkan jika itu dalam skala kecil, dan mendidik karyawan tentang bagaimana mereka dapat membantu melindungi jaringan.

Saya berharap semua admin TI bisa mengikuti

Comment Policy: Silahkan tuliskan komentar Anda yang sesuai dengan topik postingan halaman ini. Komentar yang berisi tautan tidak akan ditampilkan sebelum disetujui.
Buka Komentar