Para pelaku kejahatan cyber (Cyber Criminal) lalu dapat menemukan metode baru untuk melancarkan aksinya. Kasus-kasus kebocoran data masif, seperti Panama Papers dan Wikileaks, telah mencuri perhatian dunia. Frekuensi kejadian kebocoran data (data breach) pun makin sering kita dengar.
Di sisi lain, para cyber criminal ini pun sudah menjajakan jasa dan produk-produk mereka di deep web dan mereka memperoleh sambutan antusias dari para pelanggannya. Cyber Crime pun menjadi sebuah industri yang berkembang sangat pesat, bahkan ada yang memperkirakan bahwa volume industri kejahatan maya mencapai tiga hingga lima kali lebih besar daripada industri keamanan maya (cyber security).
Platform untuk berbagi (atau membeli) informasi mengenai celah keamanan sistem, baik yang sudah diketahui maupun belum, juga sudah mulai bermunculan. Organisasi kriminal, badan pemerintahan, dan para pelaku kejahatan cyber lainnya bisa dengan mudah membeli zero day exploits. Metode untuk menyamarkan malware demi menghindari deteksi pun semakin beragam. Malware bisa disamarkan atau disembunyikan di dalam dokumen, server, aplikasi, dan situs web. Ditambah dengan teknik social engineering yang kerap digunakan oleh para pelaku kejahatan, serangan maya menjadi sebuah ancaman yang multidimensi, tidak sebatas urusan teknologi semata.
Cepat atau lambat, bukan tidak mungkin jika perusahaan Anda akan menjadi target serangan maya. Mereka yang menyerang umumnya memiliki tujuan mencuri data, menganggu/menghancurkan jalannya bisnis perusahaan, atau merusak reputasi perusahaan. Dampak serangan maya pun sangat besar. Menurut sebuah riset yang dilakukan oleh IBM dan Ponemon, di tahun 2015 rata-rata dampak kebocoran data global berada di angka US$ 3,79 juta. Apa langkah yang sudah diambil perusahaan Anda untuk menghadapi serangan Cyber?
Signature Based Protection Saja Tidak Cukup
Beberapa tahun terakhir kita melihat betapa para pelaku kejahatan Cyber menggabungkan bermacam metode seperti customized malware, spear-phishing, dan social engineering dalam serangan agar terhindar dari deteksi. Malware jenis lama yang dimodifikasi bermunculan dengan frekuensi yang begitu tinggi sehingga perusahaan-perusahaan security harus berjuang keras agar bisa selalu mengikuti perkembangan metode serangan maya tersebut.
Perlindungan berbasis signature, seperti antivirus dan intrusion detection system, sangat umum diterapkan oleh banyak perusahaan. Namun para pelaku kejahatan cyber sudah mengetahui kecenderungan penggunaan signature based protection ini. Mereka memfokuskan serangan pada penggunaan malware baru, atau malware lama yang telah dimodifikasi. Oleh karena itu, signature baru perlu dikembangkan dulu untuk mendeteksi malware-malware baru. Sebagai ilustrasi, berikut adalah diagram perkembangan malware yang menginfeksi dan mengambil data kartu kredit dari memori sistem point of sales.
Trend Serangan Cyber
Zero Day Exploits
Salah satu “senjata” yang kerap digunakan oleh pelaku kejahatan cyber adalah zero day exploits yang mampu memanfaatkan zero day vulnerabilities agar serangan bisa berjalan dengan sukses. Pada dasarnya, zero day vulnerabilities adalah celah-celah kemanan yang belum diketahui atau yang patch-nya belum dirilis oleh si pemilik produk. Misalnya, jika terdapat celah pada iOS yang belum diketahui/belum disiapkan patch-nya oleh Apple, maka celah tersebut masuk dalam kategori zero day vulnerabilities.
Zero day vulnerabilities diibaratkan sebagai lubang di rumah kita yang belum kita ketahui. Lubang ini kemudian bisa saja dimasuki (dieksploitasi) oleh pencuri yang berniat mengambil barang-barang berharga.
Saat ini, perusahaan seperti Zerodium dan Mitnick Security, sudah menyediakan “pasar” untuk melakukan jual-beli zero day exploits. Di situs webnya, Zerodium menawarkan imbalan hingga US$ 500 ribu untuk zero day exploit iOS yang dapat digunakan untuk melakukan remote jail break.
Advanced Persistent Threats
Advanced Persistent Threats (APT) adalah suatu teknik yang umumnya digunakan oleh organisasi atau badan pemerintahan dengan anggaran yang cukup besar. APT sangat sulit dideteksi karena APT beroperasi dengan sangat samar dan dalam jangka waktu yang lama, bisa berhari-hari, berbulan-bulan, bahkan bertahun-tahun. APT sangat berbahaya karena umumnya memiliki tujuan yang sangat spesifik, yaitu menyusup ke dalam jaringan komputer perusahaan untuk jangka waktu tertentu dan memang dirancang untuk menghindari deteksi.
Kedua fenomena ancaman maya tersebut berkembang sangat pesat. Ketika banyak perusahaan yang saat ini masih berjuang untuk mengimplementasikan patch untuk menutup celah keamanan yang sudah diketahui, kita dituntut untuk menghadapi dan melindungi perusahaan dari ancaman zero day exploits dan APT. Lalu apa yang bisa dilakukan oleh perusahaan untuk menghadapi ancaman-ancaman baru yang belum diketahui ini?
Sebenarnya, metode sandboxing sudah diterapkan pada beberapa aplikasi peramban (browser) yang kita gunakan sehari-hari. Peramban, seperti Google Chrome dan Microsoft Internet Explorer, sudah menerapkan sandboxing yang terintegrasi. Peramban-peramban ini membatasi aktivitas yang dapat dilakukan melalui peramban tersebut, seperti kemampuan menulis dan membaca files dan folder, serta akses ke perangkat-perangkat yang terhubung ke komputer. Dengan diimplementasikannya metode sandboxing dalam peramban, peretas akan mengalami kesulitan untuk melakukan aksinya.
Sandbox Sebagai Solusi
Salah satu solusi yang dapat diimplementasikan untuk mengidentifikasi dan mencegah serangan cyber adalah metode sandboxing. Sandboxing adalah sebuah mekanisme pengamanan yang dilakukan dengan cara menjalankan, membuka, atau mengeksekusi file yang akan masuk ke jaringan dalam sebuah lingkungan yang terisolasi dari sistem lainnya.
Metode ini umumnya diberlakukan pada file yang berasal dari sumber-sumber yang belum dipercaya (untrusted). Dan sandboxing menjadi salah satu cara ampuh untuk mendeteksi serangan dan file berbahaya yang tidak mampu dideteksi oleh perangkat pengamanan yang berbasis signature, seperti antivirus atau Intrusion Detection System.
Sesuai dengan namanya, sandbox atau kotak pasir, biasa digunakan oleh anak-anak bermain pasir. Di dalam kotak tersebut, anak-anak bisa bebas bermain pasir tanpa perlu khawatir pasir akan mengotori area di luar kotak tersebut.
Analogi lainnya, sandbox bisa diibaratkan sebagai perangkat bomb containment System yang digunakan oleh tim Gegana POLRI untuk mengevaluasi apakah sebuah benda yang dicurigai bom, benar-benar bom atau bukan. Jika benda tersebut adalah bom dan kemudian meledak, maka ledakannya akan terjadi didalam perangkat bomb containment system dan tidak akan berdampak ke lingkungan sekitar.
Begitu pula halnya dengan prinsip kerja sandbox. sandbox akan bekerja dengan “menangkap” sebuah file executable atau file lainnya dari jaringan dan kemudian mengeksekusinya di dalam sebuah lingkungan terisolasi (virtual machine atau emulator). Di lingkungan terisolasi ini dilakukan analisis mendalam yang tak mampu dilakukan oleh antivirus dan firewall.
Di dalam lingkungan yang terisolasi inilah file tersebut kemudian dieksekusi dan dipantau dampak yang diakibatkannya, tanpa memengaruhi lingkungan lain di luar sandbox. Jika file yang dieksekusi ternyata adalah sebuah malware atau perangkat lunak berbahaya lainnya, maka file tersebut dapat ditindaklanjuti dengan tepat, seperti dikarantiina atau dihapus.
Sandbox dapat dengan efektif mendeteksi ancaman-ancaman baru yang belum diketahui. Dan seiring dengan pesatnya perkembangan teknik cyber crime, sandbox berkembang menjadi perangkat yang wajib diimplementasikan oleh perusahaan yang ingin melindungi aset informasi yang dimilikinya.
Memilih Solusi Sandbox Untuk Perusahaan
Solusi-solusi sandbox sudah banyak ditawarkan oleh beberapa vendor solusi keamanan (security). Untuk mendapatkan solusi sandbox yang efektif, sebaiknya Anda memerhatikan beberapa hal berikut:
- Kemampuan menganalisa berbagai macam File Solusi sandbox sebaiknya mampu menganalisa file-file yang umum diitumpangi malware, seperti: Adobe Acrobat (PDF) dan Flash (SWF) Archive (TAR, ZIP, RAR, 72) Executables (EXE, COM, PIF, SCR, RTF) Java (JAR) Microsoft Office Files (DOC, DOCK, XLS, XLSX, XLSM, PPT, PPTX dan lain-lain)
- Mampu memanfaatkan signature yang ada Resource atau sumber daya yang digunakan untuk menjalankan sandboxing umumnya lebih besar dibanding resource yang digunakan untuk mengidentifikasi ancaman menggunakan signature. Dengan adanya kemampuan mengidentifikasi ancaman berbasis signature, maka tidak seluruh file yang lewat di jaringan perlu dievaluasi oleh sandbox. Proses evaluasi file pun menjadi lebih efektif dan efisien.
- Mendukung ragam simulasi 05 dan aplikasi Saat ini perusahaan menghadapi tantangan yang muncul dari banyaknya sistem operasi dan aplikasi yang harus dikelola, seiring perkembangan adopsi enterprise mobility. Perusahaan harus mengelola mulai dari sistem operasi laptop yang menggunakan Microsoft Windows (7, 8,10), Linux dan Mac OS, hingga ragam sistem operasi telepon gengam seperti Android, iOS, Windows, dan Blackberry. Belum lagi sistem operasi server yang bisa bermacam-macam. Selain itu, kemampuan melakukan simulasi menggunakan beragam aplikasi seperti Microsoft Office, Adobe dan Java juga penting dalam memilih solusi sandbox.
- Memanfaatkan pengetahuan kolektif Beberapa solusi menawarkan kemampuan untuk memanfaatkan pengetahuan tentang ancaman-ancaman yang berhasil dideteksi dari pengguna-pengguna lain di seluruh dunia. Umumnya solusi sandbox akan berkomunikasi ke sebuah server yang mengumpulkan beragam informasi
Serangan Cyber tidak hanya menjadikan perusahaan besar saja sebagi target. Pengguna rumahan pun menjadi target pencurian data. Data kartu kredit yang kita simpan di dalam komputer menjadi salah satu target utama, selain data pribadi lainnya. Untungnya beberapa vendor penyedia solusi sandbox juga menyedia versi rumahan. Comodo, Avast, dan Sandboxie adalah beberapa vendor yang menyediakan solusi sandbox bagi pengguna rumahan.
ancaman dari seluruh dunia. Hal ini memungkinkan solusi sandbox memperbarui data signature-nya secara cepat dan mengurangi jumlah file yang perlu di eksekusi dalam sandbox.
Pastikan solusi sandbox yang dipilih memiliki kemampuan untuk menghasilkan laporan sesuai kebutuhan. Laporan yang terbaik adalah laporan yang sesuai dengan konteks yang diinginkan oleh perusahaan Anda.Kemampuan pelaporan sesuai konteks dan kebutuhan Integrasi dengan perangkat lainnya Solusi sandbox memiliki kemampuan yang beragam, dengan penempatan perangkat yang berbeda-beda. Ada yang menjadi bagian dari firewall atau intrusion prevention system ada yang menjadi bagian dari solusi e-mail gateway dan ada pula yang berdiri sendiri. Jika perusahaan memiliki perangkat keamanan yang sudah berjalan, integrasi dengan perangkat-perangkat tersebut menjadi salah satu hal yang penting untuk dipertimbangkan. Sandbox yang terntegrasi dengan baik dengan perangkat keamanan lainnya akan memberikan solusi pengamanan lebih maksimal.
Kapasitas sandbox untuk melakukan evaluasi Estimasi kapasitas yang dibutuhkan juga penting untuk diperhatikan agar solusi sandbox tidak menjadi bottleneck dalam jaringan. Hindari juga pemilihan solusi dengan kapasitas yang terlampau berlebih.
Apakah Sandbox Sudah Cukup?
Seperti telah disampaikan di awal artikel ini, serangan cyber saat ini memanfaatkan berbagai kombinasi teknik serangan. Implementasi sandbox mungkin bisa efektif untuk menangkal malware, lalu bagaimana dengan teknik serangan lain, misalnya social engineering ? Apakah dengan memasang sebuah sistem sandbox maka perusahaan aman dari serangan malware? Berikut ini adalah beberapa hal lain yang perlu diperhatikan:
Security Awareness
Kevin Mitnick, salah satu hacker paling terkenal di dunia pernah berkata, “You can’t download a patch for human stupidity”. Metode manipulasi perilaku manusia atau kerap disebut social engineering adalah salah satu senjata hacker yang paling ampuh untuk bisa mendapatkan akses ke dalam aset perusahaan. Menurut Global State of Information Security Survey yang dilakukan oleh PricewaterouseCoopers tahun 2016, karyawan perusahaan menempati urutan pertama sebagai sumber/penyebab insiden terkait keamanan informasi.
Maraknya kasus ransomware yang didistribusikan melalui e-mail yang tampaknya berasal dari seseorang yang kita kenal seakan menjadi bukti bahwa manusia masih menjadi titik terlemah dalam upaya pengamanan aset informasi perusahaan.
Kita bisa saja memiliki sandbox, firewall, antivirus, dan perangkat keamanan tercangggih, tetapi kebocoran pasti akan tetap terjadi jika karyawan perusahaan masih memiliki tingkat kesadaran rendah terhadap pentingnya mengamankan aset informasi dan bagaimana cara melakukannya.
Faktor proses dan manusia
Implementasi perangkat sandbox saja tidak akan efektif bila tidak didukung oleh sumber daya manusia yang mampu mengoperasikannya, serta prosedur pendukung agar operasional sandbox tetap konsisten. Proses pendeteksian malware oleh sandbox hanyalah awal dari upaya pengamanan. Pelaporan, eskalasi, dan tindak lanjut adalah bagian yang sama pentingnya dan sangat bergantung pada faktor manusia dan proses. Kedua faktor ini perlu dimasukkan sebagai bagian dari implementasi sandboxing.
Sandbox Ampuh, Asalkan…
Tidak ada satu solusi tunggal yang mampu secara ampuh mengamankan data Anda. Begitu pula sandbox. Sandbox yang berdiri sendiri tidak akan berfungsi dengan efektif. Firewall, antivirus, intrusion detection/prevention system, dan perangkat keamanan lainnya memiliki peran sendiri-sendiri dalam mengamankan jaringan perusahaan.
Solusi-solusi sandbox yang ada di pasaran memiliki kelebihan dan kekurangan. Adalah penting untuk mengidentifikasi kebutuhan perusahaan akan solusi sandbox agar solusi yang dipilih bisa berjalan dengan efektif. Selain itu, integrasi dengan perangkat-perangkat keamanan yang sudah ada juga penting.
Teknologi sandbox (maupun teknologi lainnya) tidak dapat berdiri sendiri. Dibutuhkan sumber daya manusia yang mampu mengoperasikannya dan proses yang terdefinisi dengan baik agar solusi sandbox bisa dijalankan dengan konsisten. Sumber daya manusia dan proses pun memerlukan investasi yang cukup agar optimal, bahkan seringkali investasi yang dibutuhkan lebih besar dari harga yang harus dibayar untuk teknologi yang diterapkan.
Selama ini faktor manusia selalu menjadi titik lemah dalam upaya mengamankan informasi. Walaupun sandbox telah diimplementasikan, kesadaran akan pentingnya mengamankan informasi beserta teknik-teknik pengamanannya tetap penting untuk terus dikembangkan dalam perusahaan.
Sumber : Info Komputer Juni 2016
