Ransomware bukanlah vektor serangan baru. Faktanya, malware pertama dari jenisnya muncul lebih dari 30 tahun yang lalu dan didistribusikan melalui floppy disk 5,25 inci. Untuk membayar uang tebusan, korban harus mengirimkan uang ke PO Box di Panama.
Maju cepat ke hari ini, kit ransomware-as-a-service (RaaS) yang terjangkau tersedia di web gelap bagi siapa saja untuk membeli dan menyebarkan dan penyerang memiliki jumlah saluran yang tak terbatas yang tersedia bagi mereka untuk menyusup ke organisasi sebagai akibat dari ketergantungan pada cloud dan teknologi seluler.
Memulai serangan ransomware adalah tentang mendapatkan akses secara diam-diam. Dan karena karyawan sekarang dapat mengakses data Anda dari mana saja, Anda kehilangan visibilitas tentang cara mereka melakukannya. Untuk melindungi dari serangan ini, Anda tidak hanya mencari malware, Anda memerlukan wawasan berkelanjutan tentang pengguna Anda, titik akhir yang mereka gunakan, serta aplikasi dan data yang mereka akses.
Lookout, pemimpin dalam keamanan endpoint-to-cloud, telah menerbitkan infografis interaktif untuk membantu Anda memvisualisasikan bagaimana serangan ransomware terjadi dan memahami cara melindungi data Anda. Lookout akan menggunakan blog ini untuk menyiapkan 1) iklim yang menghasilkan pembayaran tebusan $20 miliar dolar pada tahun 2021, dan 2) bagaimana Anda dapat melindungi organisasi Anda dari ancaman berkelanjutan ini.
Bekerja dari mana saja meningkatkan produktivitas dan infiltrasi penyerang
Meskipun malware sebenarnya yang digunakan untuk menyandera data Anda disebut “ransomware”, bukan itu yang harus Anda fokuskan. Sebelum apa pun dikerahkan, penyerang membutuhkan akses ke infrastruktur Anda.
Saat ini, pengguna mengakses data menggunakan jaringan yang tidak Anda kontrol dan perangkat yang tidak Anda kelola, membuat tindakan keamanan lokal apa pun yang Anda miliki menjadi usang.
Ini berarti pelaku ancaman dapat meluncurkan serangan phishing untuk mengkompromikan kredensial pengguna atau mengeksploitasi aplikasi yang rentan dengan sedikit konsekuensi. Dan begitu mereka berada di dalam infrastruktur Anda, mereka dengan cepat menyebarkan malware untuk membuat backdoor persisten yang memungkinkan mereka datang dan pergi sesuka mereka. Jika mereka meningkatkan hak istimewa, hampir tidak mungkin untuk menghentikan mereka bergerak secara lateral dan menyandera data Anda.
Langkah demi langkah: cara melindungi dari ransomware
Ada sejumlah langkah yang terjadi antara penyerang yang mengakses infrastruktur Anda dan meminta tebusan. Langkah-langkah ini diuraikan dalam anatomi infografis serangan ransomware dan berikut adalah ikhtisar tingkat tinggi tentang apa yang terjadi dan bagaimana Anda dapat melindungi organisasi Anda.
1 — Memblokir serangan phishing dan menyelubungi aplikasi yang mendukung web
Salah satu cara termudah penyerang mendapatkan akses adalah dengan mengambil alih akun pengguna dengan mengorbankan kredensial dengan serangan phishing. Sangat penting untuk dapat memeriksa lalu lintas web di perangkat apa pun untuk memblokir serangan ini agar tidak memengaruhi pengguna PC dan seluler. Ini akan memastikan bahwa operator ransomware tidak dapat memulai serangan mereka dengan mengkompromikan akun.
Pelaku ancaman juga akan merayapi web untuk menemukan infrastruktur yang rentan atau terbuka menghadap internet untuk dieksploitasi. Banyak organisasi memiliki aplikasi atau server yang terekspos ke web untuk mengaktifkan akses jarak jauh, tetapi ini berarti penyerang dapat menemukannya dan mencari kerentanan. Menyelubungi aplikasi ini dari penemuan adalah taktik pertahanan utama. Ini membantu Anda menjauh dari akses tak terkendali yang disediakan oleh VPN dan memastikan hanya pengguna yang berwenang yang mengakses data yang mereka butuhkan.
2 — Mendeteksi dan menanggapi perilaku anomali
Jika penyerang berhasil memasuki infrastruktur Anda, mereka akan mulai bergerak menyamping untuk melakukan pengintaian. Ini untuk menemukan kerentanan tambahan dengan tujuan akhir mengungkap data sensitif. Beberapa langkah yang dapat mereka ambil termasuk mengubah pengaturan Anda untuk menurunkan izin keamanan, mengekstrak data, dan mengunggah malware.
Beberapa dari langkah-langkah ini mungkin bukan perilaku jahat langsung tetapi dapat dianggap sebagai perilaku anomali. Di sinilah pemahaman tentang perilaku pengguna dan perangkat serta akses segmentasi di tingkat aplikasi menjadi penting. Untuk menghentikan pergerakan lateral, Anda perlu memastikan tidak ada pengguna yang bebas berkeliaran di infrastruktur Anda dan bahwa mereka tidak bertindak dengan cara yang jahat. Penting juga untuk dapat mendeteksi hak istimewa yang berlebihan atau salah dikonfigurasi sehingga Anda dapat mencegah perubahan pada aplikasi dan postur cloud Anda.
3 — Membuat data tidak berguna untuk tebusan dengan enkripsi proaktif
Langkah terakhir dari serangan ransomware adalah menyandera data Anda. Selain mengenkripsi data dan mengunci admin Anda, penyerang juga dapat mengekstrak beberapa data untuk digunakan sebagai pengungkit, lalu menghapus atau mengenkripsi apa yang tersisa di infrastruktur Anda.
Eksfiltrasi dan dampak biasanya ketika penyerang akhirnya mengungkapkan kehadiran mereka. Perubahan yang mereka buat pada data, terlepas dari apakah data itu diam atau bergerak, akan memicu bel alarm dan mereka akan menuntut pembayaran. Namun, Anda dapat melakukan semua upaya mereka dengan sia-sia jika data tersebut dienkripsi secara proaktif oleh platform keamanan Anda dan membuatnya sama sekali tidak berguna bagi penyerang. Enkripsi adalah bagian penting dari semua pencegahan kehilangan data (DLP) strategi, dan memicunya dari kebijakan perlindungan data kontekstual dapat membantu Anda melindungi data Anda yang paling sensitif dari penyusupan.
Mengamankan terhadap ransomware: produk titik versus platform terpadu
Serangan ransomware bukan hanya satu peristiwa; itu adalah ancaman yang terus-menerus. Untuk mengamankan organisasi, Anda memerlukan gambaran lengkap tentang apa yang terjadi dengan titik akhir, pengguna, aplikasi, dan data Anda. Ini memastikan bahwa Anda dapat memblokir serangan phishing, menyelubungi aplikasi web, mendeteksi dan merespons gerakan lateral, dan melindungi data Anda bahkan jika data tersebut dieksfiltrasi dan ditahan untuk tebusan.
Secara historis, organisasi telah membeli alat baru untuk mengurangi masalah baru. Tapi jenis pendekatan ini tidak akan bekerja dengan ancaman seperti ransomware. Meskipun Anda mungkin memiliki beberapa telemetri ke dalam aktivitas akses pengguna Anda, kesehatan perangkat milik perusahaan mereka dan bagaimana data Anda ditangani, tim keamanan Anda harus mengelola beberapa konsol yang tidak bekerja satu sama lain.
Lookout memahami perlunya pendekatan platform dan telah membangun a Platform Security Service Edge (SSE) yang mencakup DLP, Analisis Perilaku Pengguna dan Entitas (UEBA) dan Manajemen Hak Digital Perusahaan (EDRM).
Dengan platform yang memberikan wawasan terintegrasi ke dalam segala hal yang terjadi di dalam organisasi Anda, kami memungkinkan Anda mengamankan data sensitif tanpa menghambat produktivitas. Platform SSE Lookout baru-baru ini dinobatkan sebagai Visioner oleh 2022 Gartner Magic Quadrant untuk SSE. Lookout juga mendapat skor di tiga besar untuk semua kasus penggunaan SSE di 2022 Kemampuan Kritis Gartner untuk SSE.
Untuk mempelajari lebih lanjut tentang pelajaran utama yang dapat Anda pelajari dari serangan ransomware besar pada tahun 2021, dan cara melindungi data sensitif Anda, unduh file terbaru Lookout panduan tentang ransomware.