Pages

Thursday, October 3, 2024

Mitigasi Serangan Jaringan Umum

Mempertahankan Jaringan

Kewaspadaan konstan dan edukasi berkelanjutan diperlukan untuk melindungi jaringan Anda dari serangan. Berikut ini adalah praktik terbaik untuk mengamankan jaringan:

  • Kembangkan kebijakan keamanan tertulis untuk perusahaan.
  • Berikan edukasi kepada karyawan tentang risiko rekayasa sosial, dan kembangkan strategi untuk memvalidasi identitas melalui telepon, email, atau secara langsung.
  • Kontrol akses fisik ke sistem.
  • Gunakan kata sandi yang kuat dan ubahlah sesering mungkin.
  • Enkripsi dan lindungi data sensitif dengan kata sandi.
  • Terapkan perangkat keras dan perangkat lunak keamanan seperti firewall, IPS, perangkat jaringan privat virtual (VPN), perangkat lunak antivirus, dan pemfilteran konten.
  • Lakukan pencadangan dan uji file yang dicadangkan secara berkala.
  • Matikan layanan dan port yang tidak diperlukan.
  • Jaga agar patch tetap mutakhir dengan menginstalnya setiap minggu atau setiap hari, jika memungkinkan, untuk mencegah serangan buffer overflow dan peningkatan hak istimewa.
  • Lakukan audit keamanan untuk menguji jaringan.


Mengurangi Malware

Malware, termasuk virus, worm, dan Trojan horse, dapat menyebabkan masalah serius pada jaringan dan perangkat akhir. Administrator jaringan memiliki beberapa cara untuk mengurangi serangan ini.

Catatan: Teknik mitigasi sering disebut dalam komunitas keamanan sebagai "tindakan pencegahan".

Salah satu cara untuk mengurangi serangan virus dan Trojan horse adalah perangkat lunak antivirus. Perangkat lunak antivirus membantu mencegah host terinfeksi dan menyebarkan kode berbahaya. Diperlukan lebih banyak waktu untuk membersihkan komputer yang terinfeksi daripada untuk menjaga perangkat lunak antivirus dan definisi antivirus terkini pada mesin yang sama.

Perangkat lunak antivirus adalah produk keamanan yang paling banyak digunakan di pasaran saat ini. Beberapa perusahaan yang membuat perangkat lunak antivirus, seperti Symantec, McAfee, dan Trend Micro, telah berkecimpung dalam bisnis mendeteksi dan menghilangkan virus selama lebih dari satu dekade. Banyak perusahaan dan lembaga pendidikan membeli lisensi volume untuk penggunanya. Pengguna dapat masuk ke situs web dengan akun mereka dan mengunduh perangkat lunak antivirus di desktop, laptop, atau server mereka.

Produk antivirus memiliki opsi otomatisasi pembaruan sehingga definisi virus baru dan pembaruan perangkat lunak baru dapat diunduh secara otomatis atau sesuai permintaan. Praktik ini merupakan persyaratan paling penting untuk menjaga jaringan bebas dari virus dan harus diformalkan dalam kebijakan keamanan jaringan.

Produk antivirus berbasis host. Produk ini diinstal pada komputer dan server untuk mendeteksi dan menghilangkan virus. Namun, produk ini tidak mencegah virus memasuki jaringan, jadi seorang profesional keamanan jaringan harus mengetahui virus utama dan terus memantau pembaruan keamanan terkait virus yang muncul.

Cara lain untuk mengurangi ancaman malware adalah dengan mencegah file malware memasuki jaringan sama sekali. Perangkat keamanan di perimeter jaringan dapat mengidentifikasi file malware yang diketahui berdasarkan indikator penyusupannya. File tersebut dapat dihapus dari aliran data masuk sebelum dapat menyebabkan insiden. Sayangnya, pelaku ancaman mengetahui tindakan pencegahan ini dan sering mengubah malware mereka hingga cukup menghindari deteksi. Eksploitasi ini akan memasuki jaringan dan juga akan menghindari perangkat lunak antivirus. Tidak ada teknik mitigasi yang dapat 100% efektif. Insiden keamanan akan terjadi.


Mengurangi Cacingan

Cacing lebih berbasis jaringan daripada virus. Mitigasi cacing memerlukan ketekunan dan koordinasi dari pihak profesional keamanan jaringan.

Seperti yang ditunjukkan pada gambar, respons terhadap serangan cacing dapat dibagi menjadi empat fase: penahanan, inokulasi, karantina, dan pengobatan.

1. Penahanan

Tahap penahanan melibatkan pembatasan penyebaran infeksi cacing ke area jaringan yang sudah terpengaruh. Hal ini memerlukan kompartementalisasi dan segmentasi jaringan untuk memperlambat atau menghentikan cacing dan mencegah host yang saat ini terinfeksi menargetkan dan menginfeksi sistem lain. Penahanan memerlukan penggunaan ACL keluar dan masuk pada router dan firewall di titik kontrol dalam jaringan.

2. Inokulasi

Fase inokulasi berjalan paralel dengan atau setelah fase penahanan. Selama fase inokulasi, semua sistem yang tidak terinfeksi ditambal dengan patch vendor yang sesuai. Proses inokulasi selanjutnya menghilangkan target yang tersedia bagi worm.

3. Karantina

Tahap karantina melibatkan pelacakan dan identifikasi mesin yang terinfeksi di dalam area yang terkurung dan pemutusan, pemblokiran, atau pemindahan mesin-mesin tersebut. Hal ini mengisolasi sistem-sistem tersebut dengan tepat untuk tahap perawatan.

4. Pengobatan

Tahap perawatan melibatkan disinfeksi sistem yang terinfeksi secara aktif. Ini dapat melibatkan penghentian proses worm, menghapus file yang dimodifikasi atau pengaturan sistem yang diperkenalkan oleh worm, dan menambal kerentanan yang digunakan worm untuk mengeksploitasi sistem. Atau, dalam kasus yang lebih parah, sistem mungkin perlu diinstal ulang untuk memastikan bahwa worm dan produk sampingannya telah dihapus.


Mitigasi Serangan Pengintaian

Serangan pengintaian biasanya merupakan pendahulu dari serangan lain yang bertujuan untuk mendapatkan akses tidak sah ke jaringan atau mengganggu fungsionalitas jaringan. Seorang profesional keamanan jaringan dapat mendeteksi saat serangan pengintaian sedang berlangsung dengan menerima pemberitahuan dari alarm yang telah dikonfigurasi sebelumnya. Alarm ini dipicu saat parameter tertentu terlampaui, seperti jumlah permintaan ICMP per detik. Berbagai teknologi dan perangkat dapat digunakan untuk memantau jenis aktivitas ini dan menghasilkan alarm. Adaptive Security Appliance (ASA) Cisco menyediakan pencegahan intrusi dalam perangkat mandiri. Selain itu, Cisco ISR mendukung pencegahan intrusi berbasis jaringan melalui citra keamanan Cisco IOS.

Serangan pengintaian dapat dikurangi dengan beberapa cara, termasuk yang berikut:

  • Mengimplementasikan autentikasi untuk memastikan akses yang tepat.
  • Menggunakan enkripsi untuk membuat serangan packet sniffer tidak berguna.
  • Menggunakan alat anti-sniffer untuk mendeteksi serangan packet sniffer.
  • Mengimplementasikan infrastruktur yang diaktifkan.
  • Menggunakan firewall dan IPS.


Perangkat lunak dan perangkat keras anti-sniffer mendeteksi perubahan dalam waktu respons host untuk menentukan apakah host memproses lebih banyak lalu lintas daripada yang ditunjukkan oleh beban lalu lintasnya sendiri. Meskipun hal ini tidak sepenuhnya menghilangkan ancaman, sebagai bagian dari sistem mitigasi secara keseluruhan, hal ini dapat mengurangi jumlah kejadian ancaman.

Enkripsi juga efektif untuk mengurangi serangan packet sniffer. Jika lalu lintas dienkripsi, penggunaan packet sniffer tidak banyak berguna karena data yang ditangkap tidak dapat dibaca.

Tidak mungkin untuk mengurangi pemindaian port, tetapi menggunakan sistem pencegahan intrusi (IPS) dan firewall dapat membatasi informasi yang dapat ditemukan dengan pemindai port. Pemindaian ping dapat dihentikan jika gema ICMP dan balasan gema dimatikan pada router tepi; namun, ketika layanan ini dimatikan, data diagnostik jaringan hilang. Selain itu, pemindaian port dapat dijalankan tanpa pemindaian ping penuh. Pemindaian hanya membutuhkan waktu lebih lama karena alamat IP yang tidak aktif juga dipindai.


Mitigasi Serangan Akses

Beberapa teknik tersedia untuk mengurangi serangan akses. Ini termasuk keamanan kata sandi yang kuat, prinsip kepercayaan minimum, kriptografi, penerapan sistem operasi dan patch aplikasi.

Sejumlah besar serangan akses dilakukan melalui tebakan kata sandi sederhana atau serangan kamus brute-force terhadap kata sandi. Untuk bertahan dari ini, buat dan terapkan kebijakan autentikasi yang kuat yang meliputi:

  • Gunakan kata sandi yang kuat - Kata sandi yang kuat minimal terdiri dari delapan karakter dan berisi huruf besar, huruf kecil, angka, dan karakter khusus.
  • Nonaktifkan akun setelah sejumlah login yang gagal terjadi - Praktik ini membantu mencegah upaya memasukkan kata sandi secara terus-menerus.


Jaringan juga harus dirancang menggunakan prinsip kepercayaan minimum. Ini berarti bahwa sistem tidak boleh menggunakan satu sama lain secara tidak perlu. Misalnya, jika suatu organisasi memiliki server tepercaya yang digunakan oleh perangkat yang tidak tepercaya, seperti server web, server tepercaya tidak boleh memercayai perangkat yang tidak tepercaya tanpa syarat.

Kriptografi adalah komponen penting dari setiap jaringan aman modern. Disarankan untuk menggunakan enkripsi untuk akses jarak jauh ke jaringan. Lalu lintas protokol perutean juga harus dienkripsi. Semakin banyak lalu lintas yang dienkripsi, semakin sedikit peluang bagi peretas untuk menyadap data dengan serangan man-in-the-middle.

Penggunaan protokol autentikasi terenkripsi atau hash, bersama dengan kebijakan kata sandi yang kuat, sangat mengurangi kemungkinan serangan akses yang berhasil.

Terakhir, berikan edukasi kepada karyawan tentang risiko rekayasa sosial, dan kembangkan strategi untuk memvalidasi identitas melalui telepon, email, atau secara langsung. Autentikasi multifaktor (MFA) telah menjadi semakin umum. Dalam pendekatan ini, autentikasi memerlukan dua atau lebih cara verifikasi yang independen. Misalnya, kata sandi dapat digabungkan dengan kode yang dikirim melalui pesan teks. Perangkat lunak atau perangkat terpisah dapat digunakan untuk menghasilkan token yang hanya berlaku untuk satu kali penggunaan. Nilai token ini, jika diberikan dengan kata sandi, memberikan lapisan keamanan tambahan yang mencegah penggunaan kata sandi yang telah ditebak atau dicuri oleh pelaku ancaman.

Secara umum, serangan akses dapat dideteksi dengan meninjau log, penggunaan bandwidth, dan beban proses. Kebijakan keamanan jaringan harus menentukan bahwa log dipelihara secara formal untuk semua perangkat dan server jaringan. Dengan meninjau log, personel keamanan jaringan dapat menentukan apakah telah terjadi sejumlah upaya login gagal yang tidak biasa.


Mitigasi Serangan DoS

Salah satu tanda pertama serangan DoS adalah banyaknya keluhan pengguna tentang sumber daya yang tidak tersedia atau kinerja jaringan yang sangat lambat. Untuk meminimalkan jumlah serangan, paket perangkat lunak pemanfaatan jaringan harus selalu berjalan. Analisis perilaku jaringan dapat mendeteksi pola penggunaan yang tidak biasa yang menunjukkan bahwa serangan DoS sedang terjadi. Suatu cara untuk mendeteksi perilaku jaringan yang tidak biasa harus diwajibkan oleh kebijakan keamanan jaringan organisasi. Grafik pemanfaatan jaringan yang menunjukkan aktivitas yang tidak biasa juga dapat menunjukkan serangan DoS.

Serangan DoS dapat menjadi komponen dari serangan yang lebih besar. Serangan DoS dapat menyebabkan masalah pada segmen jaringan komputer yang diserang. Misalnya, kapasitas paket per detik dari router antara internet dan LAN dapat dilampaui oleh suatu serangan, yang tidak hanya membahayakan sistem target tetapi juga perangkat jaringan yang harus dilalui oleh lalu lintas tersebut. Jika serangan dilakukan dalam skala yang cukup besar, seluruh wilayah geografis konektivitas internet dapat terganggu.

Secara historis, banyak serangan DoS yang bersumber dari alamat palsu. Router dan switch Cisco mendukung sejumlah teknologi antispoofing, seperti keamanan port, pengintaian Dynamic Host Configuration Protocol (DHCP), IP Source Guard, Inspeksi Dynamic Address Resolution Protocol (DAI), dan daftar kontrol akses (ACL).



Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)