10 Vektor Serangan Paling Banyak Dieksploitasi oleh Cybercriminal

Beberapa otoritas keamanan siber nasional baru-baru ini mengeluarkan nasihat bersama yang mengungkapkan 10 vektor serangan teratas yang paling umum digunakan oleh cybercriminal.

Pengaturan keamanan yang buruk (salah konfigurasi atau dibiarkan tidak terlindungi), kontrol yang lemah, dan praktik kebersihan dunia maya yang buruk lainnya, biasanya digunakan oleh pelaku dunia maya untuk mendapatkan akses awal atau sebagai bagian dari strategi lain untuk membahayakan sistem korban. Penasihat Keamanan Siber bersama ini mengidentifikasi kontrol dan praktik yang sering dieksploitasi dan mencakup praktik terbaik untuk mengurangi masalah. Otoritas keamanan siber Amerika Serikat, Kanada, Selandia Baru, Belanda, dan Inggris berkolaborasi dalam nasihat ini.

10 Vektor Serangan Paling Banyak Dieksploitasi

1. Kurangnya Multi-Factor Authentication (MFA)

Dengan mengaktifkan MFA, account takeover dapat dihindari. Menurut nasihat tersebut, MFA sangat penting dalam memerangi kejahatan dunia maya karena Remote Desktop Protocol (RDP) dianggap sebagai vektor infeksi paling umum untuk ransomware.

2. Kebijakan Kata Sandi Tidak Kuat

Cybercriminal menemukan teknik untuk mengeksploitasi kata sandi yang lemah dan mendapatkan akses tidak sah ke sistem.

3. Layanan Cloud Tidak Terlindungi

Kesalahan konfigurasi pada layanan cloud juga dapat menyebabkan pencurian data sensitif dan cryptojacking.

4. Kurangnya pembaruan perangkat lunak

Pelaku ancaman dapat mengeksploitasi kerentanan dalam perangkat lunak yang belum ditambal untuk mendapatkan akses ke informasi sensitif. Hal ini dapat menyebabkan, misalnya, ke serangan denial-of-service.

5. Konfigurasi dan Kredensial Default

Konfigurasi dan kredensial default pabrik tidak aman dan dapat membiarkan cybercriminal masuk.

Kredensial default ini tidak aman—mereka mungkin diberi label secara fisik pada perangkat atau bahkan tersedia di internet. Membiarkan kredensial ini tidak berubah akan membuka pintu ke aktivitas berbahaya, seperti mendapatkan akses tidak sah ke informasi dan menginstal perangkat lunak berbahaya. Pengaman jaringan harus menyadari bahwa masalah yang sama berlaku untuk alternatif perangkat lunak lain yang mungkin datang dengan pengaturan default yang telah ditetapkan.

6. Kontrol Keamanan yang Kurang Memadai di Layanan Jarak Jauh

Kompromi layanan jarak jauh dapat dihindari dengan menggunakan mekanisme kontrol akses, firewall batas, dan sensor sistem deteksi intrusi/sistem pencegahan intrusi yang berperan mendeteksi aktivitas jaringan yang tidak biasa di jaringan.

7. Phishing tidak Diblokir atau Diidentifikasi

Strategi populer yang digunakan oleh pelaku ancaman adalah mengirim email phishing yang berisi malware berbahaya, sehingga vektor awalnya mungkin saat korban membuka dokumen di dalam email, yang memungkinkan proses infeksi dimulai.

8. Deteksi dan Respons Titik Akhir yang Tidak Efektif

Pelaku ancaman menyebarkan skrip berbahaya yang dikaburkan dan serangan PowerShell untuk menghindari pembatasan keamanan titik akhir dan melakukan serangan siber.

9. Port Terbuka yang Terekspos dan Layanan yang Salah Konfigurasi

Pelaku ancaman menggunakan alat pemindaian untuk menemukan port terbuka dan menggunakannya sebagai vektor serangan pertama. Selain itu, mereka dapat mengkompromikan layanan pada host untuk mendapatkan akses awal dan memperluas lebih jauh untuk membahayakan entitas yang rentan. RDP, Server Message Block (SMB), Telnet, dan NetBIOS adalah contoh layanan berisiko tinggi.

10. Hak Istimewa yang Dikelola dengan Buruk dan Daftar Kontrol Akses Dipenuhi dengan Kesalahan

Tanpa praktik iniini diimplementasikan dengan benar, aturan kontrol akses tidak dapat diaktifkan secara efektif, dan entitas yang tidak berwenang (baik itu, pengguna, atau proses sistem) dapat mencapai akses yang tidak sah.

Bagaimana Cara Mengurangi Risiko Pelanggaran Data

Nasihat bersama juga memberikan panduan tentang cara melindungi jaringan yang rentan terhadap vektor serangan utama yang disebutkan di atas, yang mencakup kesalahan konfigurasi, praktik keamanan yang buruk, dan kontrol keamanan yang lemah. Ini adalah :

• Menetapkan akses kontrol berdasarkan model zero-trust, membatasi akun admin lokal, mengontrol siapa yang memiliki akses ke data dan sumber daya, memastikan bahwa tidak ada port RDP yang terbuka di komputer, dan seterusnya.
• Menerapkan penguatan kredensial, yang mencakup penerapan MFA, mengubah atau menonaktifkan kredensial default yang disediakan vendor, dan sistem pemantauan untuk kredensial yang disusupi.
• Menerapkan manajemen log terpusat.
• Menggunakan perangkat lunak antivirus.
• Menggunakan teknologi EDR (Endpoint Detection & Response) untuk memiliki pemahaman yang lebih baik tentang status titik akhir.
• Menerapkan proses manajemen konfigurasi yang ketat.
• Memanfaatkan perangkat lunak dan alat manajemen tambalan.