Apa itu Ancaman Persisten Tingkat Lanjut?

Ancaman persisten tingkat lanjut (APT) adalah peristiwa keamanan multitahap yang kompleks yang menargetkan aset bisnis tertentu. APT adalah aktor yang tidak sah yang memasuki lingkungan organisasi, bergerak melintasi sistem untuk mendapatkan aset, mentransfer informasi sensitif, dan mencoba untuk keluar tanpa terdeteksi. Ancaman persisten tingkat lanjut dapat menjadi sulit untuk diidentifikasi dan ditangani karena taktik canggih serta pendekatan yang ditargetkan. Melindungi terhadap APT membutuhkan pendekatan multisistem dan multidisiplin.

Peristiwa APT dapat memiliki salah satu tujuan yang dimaksudkan berikut.

Pencurian kekayaan intelektual

Kekayaan intelektual, seperti rahasia dagang atau pemerintah, kode sumber kepemilikan, atau komunikasi pribadi, adalah semua data sensitif yang bersifat pribadi bagi organisasi. Dalam mendapatkan akses awal ke data ini, kelompok APT secara ilegal memperoleh informasi untuk mendapatkan keunggulan kompetitif atau berdampak negatif terhadap jaringan target bisnis.

Fraud keuangan

APT dapat memperoleh kontrol atas sistem dan operasi bisnis, sehingga memberi aktor yang tidak sah akses hak akses yang diperlukan untuk melakukan fraud keuangan. Operasi ini dapat mengirimkan transfer keuangan dari rekening pengguna atau mencuri data sensitif dari perusahaan untuk dianggap sebagai individu yang memiliki hak akses dalam perusahaan.

Ransomware 

Peristiwa APT yang sukses dapat bertujuan untuk menanamkan ransomware. Dalam contoh ini, APT mulai mengenkripsi data sensitif dan mencegah pengguna mengakses jaringan target. Kelompok-kelompok yang tidak sah ini dapat menuntut harga tebusan tinggi sebagai imbalan untuk memberikan kunci guna mendekripsi file. 

Kerusakan reputasi

Beberapa tujuan khusus kelompok APT adalah untuk menyebabkan kerusakan reputasi pada organisasi dengan membocorkan informasi kepada publik.

APT hanya mempertimbangkan target bernilai tinggi. Ancaman persisten tingkat lanjut (APT) lebih kompleks untuk diidentifikasi dibandingkan dengan ancaman siber biasa karena APT tidak mengikuti pola tradisional. Karena tidak ada vektor peristiwa keamanan umum, kerangka waktu untuk peristiwa, atau tanda tangan, menemukan dan menetralisir peristiwa keamanan ini menjadi lebih sulit. 

Dalam peristiwa keamanan biasa, mungkin ada lonjakan tiba-tiba dalam operasi basis data atau lalu lintas dalam pergerakan data, sedangkan pendekatan yang lebih metodis dari peristiwa APT tetap tersembunyi.

APT juga mungkin tidak mencari keuntungan instan, sehingga memungkinkannya meluangkan waktu dalam membangun ancaman yang lebih luas. Dengan tetap tidak terdeteksi dalam sistem, APT dapat tetap tidak terdeteksi untuk waktu yang lama di dalam perusahaan sampai grup memutuskan untuk bertindak.

Berikut adalah karakteristik dan gejala yang paling umum dari ancaman persisten tingkat lanjut.

Peristiwa multitahap yang canggih untuk mendapatkan akses

Ancaman persisten tingkat lanjut melibatkan peristiwa multitahap, yang sering mengikuti serangkaian langkah serupa.

Pertama, aktor yang tidak sah melakukan pengintaian pada organisasi target dan sistemnya untuk mengumpulkan informasi tentang aset serta potensi kerentanan. Dari sini, mereka mengembangkan metode untuk memanfaatkan kerentanan yang teridentifikasi.

Setelah aktor yang tidak sah mendapatkan akses ke sistem perusahaan, aktor tersebut bergerak melalui berbagai bagian sistem. Mereka melakukannya dengan mendapatkan akses ke hak akses yang ditingkatkan melalui rekayasa sosial, navigasi segmen jaringan, dan teknik lainnya. Mereka juga dapat mengalihkan perhatian personel keamanan. Server perintah dan kontrol diatur untuk mengoordinasikan komunikasi.

Setelah aset target dapat diakses, aktor yang tidak sah biasanya mulai melakukan eksfiltrasi data atau mengubah sistem yang diretas, tergantung pada tujuan peristiwa. Beberapa ancaman persisten tingkat lanjut mengikuti tahap akhir ini dengan upaya untuk menutupi jejak mereka guna membantu mencegah agar peristiwa tidak diketahui.

Dilakukan oleh kelompok APT yang sangat termotivasi

Peristiwa APT berasal dari aktor yang tidak sah yang bermotivasi tinggi yang biasanya beroperasi dalam kelompok. Kelompok-kelompok ini hadir dalam berbagai bentuk, termasuk APT yang disponsori negara, organisasi kejahatan dunia maya profesional, kelompok peretas, atau tim kecil peretas sewaan.

Meskipun tujuan utama APT adalah keuntungan finansial, beberapa dari kelompok ini terlibat dalam meluncurkan peristiwa APT untuk mengumpulkan informasi sensitif, mengekspos data, menyabotase infrastruktur, atau memengaruhi reputasi organisasi. 

Sebuah peristiwa yang berlangsung dalam jangka waktu signifikan di banyak sistem

Tahapan yang diuraikan sebelumnya dapat terjadi dalam waktu yang lama. Karena sifat peristiwa APT yang ditargetkan, kelompok dengan hati-hati berencana untuk bergerak dengan kecepatan lambat guna menghindari peningkatan perhatian atau memicu peringatan dalam sistem. Dalam beberapa kasus, APT tetap tidak terdeteksi selama berbulan-bulan atau bertahun-tahun sebelum terlibat dalam langkah-langkah untuk mencapai tujuan awal.

Didesain untuk tidak meninggalkan jejak

Tahap terakhir dari gerakan aktor ancaman APT adalah untuk menutupi jejak peristiwa apa pun, dengan teknik, seperti menghapus file, memodifikasi log, atau mengaburkan aspek-aspek tertentu dari basis data. Dengan mengurangi kemungkinan bahwa tim keamanan siber mengungkap kelainan sistem, aktor yang tidak sah lebih cenderung keluar tanpa konsekuensi.

Selain itu, dengan menutupi bukti kehadiran mereka, APT juga dapat merahasiakan metode infiltrasi khusus mereka. Pintu keluar rahasia ini memungkinkan mereka untuk menggunakan strategi lambat dan metodis yang sama dengan organisasi target lainnya.

Intelijen ancaman persisten tingkat lanjut (APT) adalah bentuk khusus intelijen ancaman yang menginformasikan dan mengarahkan bisnis dalam kampanye APT yang sedang berlangsung, aktor APT yang tidak sah yang sudah berpengalaman, dan teknik rekayasa sosial saat ini yang digunakan oleh APT. 

Intelijen APT berbeda dari intelijen ancaman umum dalam hal sumbernya, teknik triangulasi, pelaporan, analisis, dan aplikasinya.

Berikut adalah beberapa langkah keamanan yang efektif untuk membantu mencegah APT dan melawannya.

Intelijen ancaman

Sistem intelijen ancaman adalah strategi yang efektif untuk membantu mencegah APT. Intelijen ancaman mengumpulkan data keamanan internal dan eksternal untuk menyediakan pandangan menyeluruh tentang keadaan peristiwa saat ini serta vektor umum peristiwa tersebut. Dengan menggunakan data publik dan pribadi, Anda dapat menentukan potensi utama musuh serta taktik APT dan cara melawannya.

Organisasi dapat menarik intel dan membuat strategi dengan menerapkan platform intelijen ancaman, umpan intelijen ancaman sumber terbuka, dan kerangka kerja seperti MITRE ATT&CK.

Pembuatan log dan telemetri

Pembuatan log sistem keamanan siber yang efektif dan luas, jaringan, titik akses aset, pemantauan titik akhir, dan data kondisi sistem secara keseluruhan memungkinkan ahli keamanan mengembangkan gambaran umum komprehensif tentang sistem bisnis Anda. Mempertahankan log terperinci dan menerapkan analitik lanjutan meningkatkan deteksi anomali dan mendukung investigasi retroaktif terhadap peristiwa keamanan yang tidak terduga.

Teknologi

Ada beberapa teknologi yang dapat Anda gunakan untuk meningkatkan kemampuan dalam mendeteksi, menetralkan, dan memitigasi APT. Berikut adalah beberapa teknologi utama dalam tumpukan teknologi keamanan ini:

• Sistem deteksi intrusi (IDS): Alat yang memantau lalu lintas jaringan untuk mengidentifikasi aktivitas aneh.
• Sistem Manajemen Informasi dan Peristiwa Keamanan (SIEM): Solusi yang menghubungkan data dari berbagai sistem keamanan untuk menawarkan deteksi ancaman waktu nyata dan respons peristiwa keamanan yang tidak terduga.
• Deteksi dan Respons Titik Akhir (EDR): Memetakan dan memantau semua perangkat titik akhir perusahaan untuk mengidentifikasi anomali serta meresponsnya secara otomatis.

Keamanan berlapis

Selain langkah-langkah keamanan APT, Anda juga dapat menerapkan strategi keamanan berlapis untuk mengurangi kemungkinan terjadinya peristiwa keamanan yang tidak terduga. Anda dapat memperkenalkan segmentasi jaringan, mengamankan penyimpanan lokasi, menerapkan akses hak akses paling rendah, memberlakukan autentikasi multifaktor untuk semua akun perusahaan, dan menggunakan standar enkripsi diam serta bergerak yang kuat. Selain itu, melakukan patching perangkat lunak jaringan, perangkat lunak sistem, dan perangkat lunak aplikasi secara rutin membantu memitigasi kerentanan yang diketahui.

Pelatihan

Salah satu titik masuk paling umum untuk APT dan peristiwa keamanan siber yang tidak terduga lainnya adalah melalui kontak dengan karyawan perusahaan. Baik melalui penipuan phishing atau manipulasi sosial dengan menipu karyawan agar mengklik tautan yang diretas, kelompok sering menargetkan individu dalam organisasi. Dengan kemajuan AI, teknik peniruan yang canggih menjadi hal yang biasa.

Anda dapat melaksanakan program kesadaran keamanan rutin untuk memerangi ancaman rekayasa sosial dalam organisasi. Karyawan Anda harus dapat mengenali tanda-tanda awal APT dan melaporkan peristiwa ke tim keamanan.

AWS menawarkan layanan yang didesain untuk membantu melindungi organisasi dari ancaman persisten tingkat lanjut. AWS Security Hub mentransformasikan keamanan cloud melalui visibilitas terpadu, wawasan yang dapat ditindaklanjuti, dan alur kerja otomatis.

Amazon GuardDuty menawarkan deteksi ancaman terkelola yang dapat diskalakan sepenuhnya untuk cloud. Amazon GuardDuty dapat mengidentifikasi, mengorelasikan, dan merespons ancaman secara cepat menggunakan analisis otomatis serta rekomendasi remediasi yang disesuaikan untuk membantu meminimalkan gangguan bisnis. Amazon GuardDuty menawarkan deteksi ancaman cerdas untuk membantu melindungi akun AWS, beban kerja, dan data Anda.

Amazon Inspector secara otomatis menemukan beban kerja, seperti instans Amazon Elastic Compute Cloud (Amazon EC2), citra kontainer, dan fungsi AWS Lambda, serta repositori kode, lalu memindainya untuk mendeteksi kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.

Amazon Macie menemukan data sensitif menggunakan machine learning dan pencocokan pola, memberikan visibilitas ke dalam risiko keamanan, serta mengaktifkan perlindungan otomatis terhadap risiko tersebut.

Respons Insiden Keamanan AWS membantu Anda mempersiapkan, merespons, dan pulih dari peristiwa keamanan. Layanan Respons Insiden Keamanan mengotomatiskan pemantauan dan investigasi, mempercepat komunikasi serta koordinasi, dan menawarkan akses langsung 7x24 jam ke Tim Respons Insiden Pelanggan (CIRT) AWS.

Mulailah melindungi organisasi Anda dari APT di AWS dengan membuat akun gratis sekarang juga.