Apa itu gerakan lateral?

Gerakan lateral bukanlah fitur dari setiap serangan siber, tetapi bisa menjadi salah satu ancaman keamanan siber yang paling merusak. Hal ini dikarenakan gerakan lateral bergantung pada pencurian kredensial pengguna untuk menjangkau lebih dalam lagi di dalam jaringan yang telah ditembus. Jenis pelanggaran ini membutuhkan respons insiden yang lebih kompleks oleh tim keamanan dan biasanya memiliki siklus hidup respons yang lebih panjang daripada vektor infeksi lainnya.

Secara garis besar, serangan gerakan lateral memiliki dua bagian: pelanggaran awal diikuti oleh gerakan internal. Peretas harus terlebih dahulu mendapatkan akses ke jaringan dengan menghindari keamanan titik akhir. Mereka mungkin menggunakan serangan phishing atau malware untuk menyusupi perangkat atau aplikasi, atau mendapatkan akses awal melalui port server terbuka.

Setelah penyerang berada di dalam, mereka bisa mulai bercabang ke area lain dari jaringan melalui tahapan gerakan lateral ini:

Setelah mereka mendapatkan pijakan, penyerang memetakan jaringan dan merencanakan rute ke tujuan mereka. Mereka mencari informasi tentang hierarki jaringan, sistem operasi, akun pengguna, perangkat, basis data, dan aplikasi untuk memahami bagaimana aset-aset ini terhubung. Mereka mungkin juga akan melakukan pemetaan terhadap kontrol keamanan jaringan, lalu menggunakan ilmunya untuk menghindari tim keamanan.

Ketika peretas memahami tata letak jaringan, mereka dapat menggunakan berbagai teknik gerakan lateral untuk menjangkau lebih banyak perangkat dan akun. Dengan menginfiltrasi lebih banyak sumber daya, peretas tidak hanya lebih dekat dengan tujuan mereka, tetapi juga membuatnya lebih sulit untuk menghilangkan mereka. Bahkan jika operasi keamanan menghapusnya dari satu atau dua mesin, mereka masih memiliki akses ke aset lain.

Saat peretas bergerak secara lateral, mereka mencoba menangkap aset dan akun dengan hak istimewa yang lebih tinggi dan lebih tinggi. Tindakan ini disebut “eskalasi hak istimewa”. Semakin banyak hak istimewa yang dimiliki penyerang, semakin banyak yang dapat mereka lakukan di dalam jaringan. Pada akhirnya, para peretas bertujuan untuk mendapatkan hak istimewa administratif, yang memungkinkan mereka untuk pergi ke mana saja dan melakukan apa saja.

Para peretas menggabungkan dan mengulangi teknik gerakan lateral sesuai kebutuhan hingga mereka mencapai target. Seringkali, mereka mencari informasi sensitif untuk mengumpulkan, mengenkripsi, dan mengompresi untuk eksfiltrasi data ke server eksternal. Atau mereka mungkin ingin menyabotase jaringan dengan menghapus data atau menginfeksi sistem penting dengan malware. Tergantung pada tujuan akhir mereka, peretas mungkin mempertahankan pintu belakang dan titik akses jarak jauh selama mungkin untuk memaksimalkan kerusakan.

Membuang kredensial: Peretas akan mencuri nama pengguna dan kata sandi pengguna yang sah, kemudian “membuang” kredensial ini ke mesin mereka sendiri. Mereka mungkin juga akan mencuri kredensial admin yang baru saja login ke perangkat.

Melewati serangan hash: Beberapa sistem mengubah atau “meng-hash” kata sandi menjadi data yang tidak terbaca sebelum mengirimkan dan menyimpannya. Peretas dapat mencuri hash kata sandi ini dan menggunakannya untuk mengelabui protokol autentikasi dan mendapatkan izin untuk sistem dan layanan yang dilindungi.

Berikan tiket: Peretas menggunakan tiket Kerberos yang dicuri untuk mendapatkan akses ke perangkat dan layanan di jaringan. (Kerberos adalah protokol autentikasi default yang digunakan di Microsoft Active Directory.)

Serangan dengan kekerasan: Peretas membobol akun dengan menggunakan skrip atau bot untuk membuat dan menguji kata sandi potensial hingga berhasil.

Rekayasa sosial: Peretas dapat menggunakan akun email karyawan yang disusupi untuk meluncurkan serangan phishing yang dirancang untuk mengambil kredensial login dari akun istimewa.

Membajak sumber daya bersama: Peretas dapat menyebarkan malware melalui sumber daya bersama, basis data, dan sistem file. Sebagai contoh, mereka mungkin membajak kemampuan Secure Shell (SSH) yang menghubungkan sistem di seluruh sistem operasi macOS dan Linux.

Serangan PowerShell: Peretas dapat menggunakan antarmuka baris perintah Windows (CLI) dan alat skrip PowerShell untuk mengubah konfigurasi, mencuri kata sandi, atau menjalankan skrip berbahaya.

Hidup dari tanah: Peretas dapat mengandalkan aset internal yang telah mereka bobol daripada malware eksternal pada tahap selanjutnya dari gerakan lateral. Pendekatan ini membuat aktivitas mereka tampak sah dan membuat mereka lebih sulit dideteksi.

Ancaman persisten tingkat lanjut (APT): Gerakan lateral merupakan strategi mendasar bagi kelompok penyerang APT, yang bertujuan untuk menyusupi, mengeksplorasi, dan memperluas akses mereka di seluruh jaringan untuk jangka waktu yang lama. Mereka sering menggunakan gerakan lateral agar tetap tidak terdeteksi saat melakukan beberapa serangan siber selama berbulan-bulan atau bahkan bertahun-tahun.

Spionase siber: Karena sifat spionase siber adalah untuk menemukan dan memantau data atau proses yang sensitif, gerakan lateral adalah kemampuan utama bagi mata-mata siber. Negara-negara sering kali menyewa penjahat siber yang canggih karena kemampuan mereka untuk bergerak bebas di dalam jaringan target dan melakukan pengintaian terhadap aset-aset yang dilindungi tanpa terdeteksi.

Ransomware: Penyerang ransomware melakukan gerakan lateral untuk mengakses dan mendapatkan kendali atas berbagai sistem, domain, aplikasi, dan perangkat. Semakin banyak yang dapat mereka tangkap, dan semakin penting aset tersebut bagi operasi organisasi, semakin besar pengaruh yang mereka miliki ketika menuntut pembayaran untuk pengembaliannya.

Infeksi botnet: Seiring dengan gerakan lateral, peretas mendapatkan kendali atas lebih banyak perangkat di seluruh jaringan yang dibobol. Mereka dapat menghubungkan perangkat ini untuk membuat jaringan robot atau botnet. Infeksi botnet yang berhasil dapat digunakan untuk meluncurkan serangan siber lainnya, mendistribusikan email spam, atau menipu sekelompok besar pengguna target.

Karena gerakan lateral dapat meningkat dengan cepat di seluruh jaringan, deteksi dini sangat penting untuk mengurangi kerusakan dan kerugian. Pakar keamanan menyarankan untuk mengambil tindakan yang membantu membedakan proses jaringan normal dengan aktivitas yang mencurigakan, seperti:

Menganalisis perilaku pengguna: Volume log-in pengguna yang luar biasa tinggi, log-in yang dilakukan larut malam, pengguna yang mengakses perangkat atau aplikasi yang tidak terduga, atau lonjakan log-in yang gagal, semuanya bisa menjadi tanda gerakan lateral. Analisis perilaku dengan machine learning dapat mengidentifikasi dan mengingatkan tim keamanan tentang perilaku pengguna yang tidak normal.

Melindungi titik akhir: Perangkat yang terhubung ke jaringan yang rentan seperti workstation pribadi, ponsel cerdas, tablet, dan server adalah target utama ancaman siber. Solusi keamanan seperti deteksi dan respons titik akhir (EDR) dan firewall aplikasi web sangat penting untuk memantau titik akhir dan mencegah pelanggaran jaringan secara real time.

Membuat partisi jaringan: Segmentasi jaringan dapat membantu menghentikan gerakan lateral. Membutuhkan protokol akses terpisah untuk area jaringan yang berbeda membatasi kemampuan peretas untuk bercabang. Ini juga membuatnya lebih mudah untuk mendeteksi lalu lintas jaringan yang tidak biasa.

Memantau transfer data: Percepatan operasi basis data yang tiba-tiba atau transfer data besar-besaran ke lokasi yang tidak biasa dapat menandakan bahwa gerakan lateral sedang berlangsung. Alat yang memantau dan menganalisis log peristiwa dari sumber data, seperti informasi keamanan dan manajemen peristiwa (SIEM) atau deteksi dan respons jaringan (NDR), dapat membantu mengidentifikasi pola transfer data yang mencurigakan.

Gunakan autentikasi multi-faktor (MFA): Jika peretas berhasil mencuri kredensial pengguna, autentikasi multi-faktor dapat membantu mencegah pelanggaran dengan menambahkan lapisan keamanan lain. Dengan MFA, kata sandi yang dicuri saja tidak akan memberikan akses ke sistem yang dilindungi.

Menyelidiki potensi ancaman: Sistem keamanan otomatis dapat memberikan hasil positif palsu dan melewatkan ancaman siber yang sebelumnya tidak diketahui atau tidak dapat diatasi. Perburuan ancaman secara manual yang diinformasikan oleh intelijen ancaman terbaru dapat membantu organisasi menyelidiki dan menyiapkan respons insiden yang efektif untuk potensi ancaman.

Proaktif: Melakukan patch dan memperbarui perangkat lunak, memberlakukan akses sistem dengan hak istimewa yang paling sedikit, melatih karyawan tentang langkah-langkah keamanan, dan pengujian penetrasi dapat membantu mencegah gerakan lateral. Sangat penting untuk terus mengatasi kerentanan yang menciptakan peluang bagi peretas.