Perusahaan modern saat ini dibangun di atas data, yang kini berada di berbagai aplikasi cloud yang tak terhitung jumlahnya. Oleh karena itu mencegah kehilangan data sangat penting untuk kesuksesan Anda. Ini sangat penting untuk mengurangi serangan ransomware yang meningkat — ancaman yang diperkirakan akan dikompromikan oleh 57% pemimpin keamanan dalam tahun depan.
Ketika organisasi terus berkembang, demikian juga ransomware. Untuk membantu Anda tetap terdepan, Chief Strategy Officer Lookout, Aaron Cockerill bertemu dengan Kepala Penasihat Keamanan Microsoft, Sarah Armstrong-Smith untuk membahas bagaimana kerja jarak jauh dan cloud membuat lebih sulit untuk menemukan serangan ransomware, serta bagaimana menerapkan perilaku- deteksi berbasis anomali dapat membantu mengurangi risiko ransomware. Akses wawancara lengkap.
Aaron Cockerill: Saya merasa cara perusahaan modern beroperasi, yang mencakup kombinasi teknologi, telah memungkinkan ransomware berkembang pesat. Setelah mengalami jenis serangan ini dalam peran saya di masa lalu, saya tahu berapa banyak CISO yang merasa di luar sana. Naluri manusia adalah membayar uang tebusan. Tren apa yang Anda lihat?
Sarah Armstrong-Smith: Sangat menarik untuk memikirkan bagaimana ransomware telah berevolusi. Kami menganggap serangan ini sangat canggih. Kenyataannya adalah bahwa penyerang menyukai yang dicoba dan diuji: mereka menyukai pencurian kredensial, semprotan kata sandi, mereka memindai jaringan, membeli kredensial dari web gelap, menggunakan kit ransomware.
Jadi dalam banyak hal, hal-hal tidak berubah. Mereka mencari cara apa pun untuk masuk ke jaringan Anda. Jadi, meskipun kita berbicara tentang serangan dunia maya yang semakin canggih, titik masuk awal tersebut bukanlah yang membedakan operator ransomware, melainkan yang terjadi selanjutnya.
Itu tergantung pada ketekunan dan kesabaran itu. Tren yang berkembang adalah penyerang memahami infrastruktur TI dengan sangat baik. Misalnya, banyak perusahaan menjalankan mesin Windows atau Linux atau memiliki entitas lokal. Mereka mungkin juga menggunakan layanan cloud atau platform cloud atau titik akhir yang berbeda. Penyerang memahami semua itu. Sehingga mereka dapat mengembangkan malware yang mengikuti pola infrastruktur TI tersebut. Dan intinya, di situlah mereka berkembang, mereka menjadi bijak dalam pertahanan kita.
Harun: Salah satu evolusi yang kami saksikan adalah pencurian data dan kemudian mengancam untuk mempublikasikannya. Apakah Anda melihat hal yang sama?
Sarah: Ya, tentu saja. Kami menyebutnya pemerasan ganda. Jadi bagian dari pemerasan awal bisa jadi tentang enkripsi jaringan Anda dan mencoba untuk mendapatkan kembali kunci dekripsi. Bagian kedua dari pemerasan sebenarnya tentang Anda harus membayar sejumlah uang lain untuk mencoba dan mendapatkan kembali data Anda atau agar data itu tidak dirilis. Anda harus berasumsi bahwa data Anda hilang. Sangat mungkin bahwa itu sudah terjual dan sudah ada di web gelap.
Harun: Menurut Anda apa mitos umum yang terkait dengan ransomware?
Sarah: Ada kesalahpahaman bahwa jika Anda membayar uang tebusan, Anda akan mendapatkan layanan Anda kembali lebih cepat. Kenyataannya sangat berbeda.
Kita harus berasumsi bahwa operator ransomware melihat ini sebagai perusahaan. Dan, tentu saja, harapannya adalah jika Anda membayar uang tebusan, Anda akan menerima kunci dekripsi. Kenyataannya adalah hanya 65% organisasi yang benar-benar mendapatkan kembali data mereka. Dan itu bukan tongkat ajaib.
Bahkan jika Anda menerima kunci dekripsi, mereka cukup bermasalah. Dan itu pasti tidak akan membuka semuanya. Seringkali, Anda masih harus memeriksa file demi file dan itu sangat melelahkan. Banyak dari file-file itu berpotensi rusak. Kemungkinan besar juga bahwa file besar dan penting yang Anda andalkan adalah file yang tidak dapat Anda dekripsi.
Harun: Mengapa ransomware masih sangat mempengaruhi perusahaan? Sepertinya kita telah berbicara tentang metode yang digunakan penyerang untuk mengirimkan serangan ini, seperti phishing dan kompromi email bisnis, serta mencegah eksfiltrasi data dan patch server selamanya? Mengapa ransomware masih menjadi masalah besar? Dan apa yang bisa kita lakukan untuk mencegahnya?
Sarah: Ransomware dijalankan sebagai perusahaan. Semakin banyak orang membayar, semakin banyak pelaku ancaman akan melakukan tebusan. Saya pikir itulah tantangannya. Selama seseorang di suatu tempat akan membayar, ada pengembalian investasi untuk penyerang.
Sekarang perbedaannya adalah, berapa banyak waktu dan kesabaran yang dimiliki penyerang. Terutama beberapa yang lebih besar, mereka akan memiliki ketekunan, dan mereka memiliki kemauan dan keinginan untuk terus bergerak melalui jaringan. Mereka lebih cenderung menggunakan skrip, malware yang berbeda, dan mereka mencari peningkatan hak istimewa itu sehingga mereka dapat mengekstrak data. Mereka akan tinggal di jaringan Anda lebih lama.
Tetapi kelemahan umum, jika Anda suka, adalah penyerang mengandalkan tidak ada yang menonton. Kami tahu bahwa terkadang penyerang tetap berada di jaringan selama berbulan-bulan. Jadi pada titik di mana jaringan telah dienkripsi, atau data dieksfiltrasi, sudah terlambat bagi Anda. Kejadian sebenarnya dimulai berminggu-minggu, berbulan-bulan atau berapa lama pun.
Itu karena mereka mempelajari pertahanan kita: “Apakah ada yang akan memperhatikan jika saya meningkatkan hak istimewa, jika saya mulai mengekstrak beberapa data? Dan dengan asumsi saya diperhatikan, adakah yang bisa merespons tepat waktu?” Para penyerang ini telah melakukan pekerjaan rumah mereka, dan pada titik di mana mereka meminta semacam pemerasan atau tuntutan, mereka telah melakukan sejumlah besar aktivitas. Untuk operator ransomware yang lebih besar, ada pengembalian investasi. Jadi mereka bersedia meluangkan waktu dan usaha karena mereka pikir mereka akan mendapatkannya kembali.
Harun: Ada artikel menarik yang ditulis oleh Gartner tentang cara mendeteksi dan mencegah ransomware. Dikatakan titik terbaik untuk mendeteksi serangan adalah pada tahap gerakan lateral, di mana penyerang mencari eksploitasi untuk berporos dari atau aset yang lebih berharga untuk dicuri.
Saya pikir itu salah satu tantangan paling mendasar yang kita miliki. Kami tahu apa yang harus dilakukan untuk mengurangi risiko phishing — meskipun itu akan selalu menjadi masalah karena ada unsur manusia di dalamnya. Tetapi begitu mereka mendapatkan akses awal itu, mendapatkan RDP (Remote Desktop Protocol), atau kredensial untuk server atau apa pun itu, dan kemudian mereka dapat memulai gerakan lateral itu. Apa yang kita lakukan untuk mendeteksi itu? Kedengarannya seperti itulah peluang terbesar untuk dideteksi.
Dengarkan wawancara lengkap untuk mendengar pemikiran Sarah tentang cara terbaik untuk mendeteksi serangan ransomware.
Langkah pertama untuk mengamankan data adalah mengetahui apa yang terjadi. Sulit untuk melihat risiko yang Anda hadapi saat pengguna Anda ada di mana-mana dan menggunakan jaringan dan perangkat yang tidak Anda kontrol untuk mengakses data sensitif di cloud.
Menghilangkan tebak-tebakan dengan mendapatkan visibilitas tentang apa yang terjadi, baik di titik akhir yang tidak terkelola maupun terkelola, di cloud, dan di mana pun di antaranya. Hubungi Lookout hari ini.