Serangan Volt Typhoon, Ancaman Terbaru di Dunia Cyber
Apa itu serangan Volt Typhoon dan jenis serangannya? Bagaimana cara mengatasi serangan Volt Typhoon jika terjadi? Sean Duca, Vice President and Regional Chief Security Officer for Asia Pacific & Japan, Palo Alto Networks, memberikan penjelasan mengenai serangan ini.
Menurut penyelidikan Microsoft terhadap aktivitas berbahaya Volt Typhoon, infrastruktur penting dapat disusupi peretas menggunakan serangan siber Living-Off-Lotland (LotL). Teknik ini melibatkan penyerang yang memanfaatkan perangkat yang ada pada sistem yang telah disusupi untuk melakukan serangan. Perangkat tersebut mencakup PowerShell, WMI, antarmuka command-line, dan file batch.
LotL biasanya terdiri dari tiga fase. Pertama, penyerang mengumpulkan informasi tentang sistem yang disusupi, termasuk arsitektur sistem, versi perangkat lunak, konfigurasi jaringan, dan hak istimewa pengguna (user privilege). Kedua, selama fase akses awal, pelanggaran terjadi karena kerentanan pada perangkat jaringan atau aktivitas pengguna yang tidak aman. Ketiga, eksekusi aktivitas berbahaya melibatkan peningkatan hak istimewa, eksfiltrasi data, dan modifikasi konfigurasi sistem.
Untuk mengatasi serangan Volt Typhoon, perusahaan, pemerintah, dan penyedia infrastruktur inti perlu merevisi strategi keamanan siber mereka dengan mengintegrasikan pertahanan berbasis host dan jaringan. Hanya mengandalkan pemindaian endpoint saja tetap membuka kesempatan bagi penyerang untuk menghindari deteksi, namun di sisi lain, pertahanan berbasis jaringan dapat meneliti pola lalu lintas dan komunikasi yang tidak terduga.
Strategi yang paling efektif adalah dengan menggunakan pertahanan berbasis titik akhir dan jaringan secara bersamaan, menggunakan wawasan dari satu sistem untuk meningkatkan sistem lainnya dan bekerja sama untuk melindungi organisasi dengan lebih baik. Di tingkat pengguna akhir, dianjurkan untuk menerapkan application whitelisting (daftar putih aplikasi), sehingga hanya aplikasi yang disetujui dan tepercaya yang dapat beroperasi dalam jaringan. Selain itu, pemindaian otomatis serta pembaruan sistem di seluruh jaringan sangatlah penting untuk meminimalisir risiko.
Solusi manajemen akses canggih berkemampuan AI juga dapat digunakan untuk membantu para ahli keamanan siber lebih fokus pada kecerdasan dan automatisasi sambil membiarkan solusi tersebut mengelola informasi dan kejadian, sehingga memungkinkan waktu deteksi dan respons yang sangat cepat dan hampir real-time.
Lebih lengkapnya mengenai tips keamanan, serta poin data tambahan seputar serangan pada infrastruktur kritis yang dikaitkan dengan Volt Typhoon dapat ditemukan di laporan yang tersedia di blog Unit 42 di situs web Palo Alto Networks.
