Oleh: Taylor Armerding, Pakar Keamanan Perangkat Lunak di Synopsys Software Integrity Group

Dalam penilaian tim merah, sekelompok peretas etis yang disewa menunjukkan bagaimana penyerang jahat dunia nyata dapat menggunakan cara apa pun yang tersedia – secara langsung, melalui telepon, atau online – untuk melanggar organisasi.

Tujuannya: Membantu organisasi-organisasi tersebut mengidentifikasi kerentanan mereka dan menutupnya.

Penilaian tim merah sangat dihormati karena terbukti efektif. Tetapi dunia baru yang semuanya berasal dari rumah akibat krisis kesehatan yang sedang berlangsung berarti bahwa permukaan serangan untuk organisasi telah berubah, bahkan berkembang secara eksponensial. Banyak bisnis telah berkembang dari puluhan kantor menjadi ribuan kantor rumah.

Yang berarti bahwa tidak peduli seberapa sukses model tim merah, itu juga perlu diubah.

Mengapa kerja jarak jauh meningkatkan permukaan serangan Anda

Thomas Richards tahu. Konsultan utama Synopsys dan pemimpin praktik tim merah mengatakan krisis telah menciptakan “perubahan mendadak dan drastis bagi banyak perusahaan ke arah yang belum siap mereka tuju – tenaga kerja jarak jauh – hanya agar mereka dapat terus melakukan bisnis,” katanya.

Satu contoh nyata: Richards mengatakan dia tahu satu perusahaan global yang “hanya harus mencoba untuk mendapatkan ribuan laptop. Semua karyawan yang berada di kantor dan memiliki desktop harus beralih ke bekerja dari rumah. Jadi perusahaan harus mendapatkan laptop untuk mendukung mereka.”

“Pikirkan rantai pasokan itu,” katanya. “Produsen elektronik memukul masalah rantai pasokan dengan China ditutup dua bulan lalu, dan sekarang Anda memiliki semua perusahaan ini yang melakukan pesanan terburu-buru untuk palet laptop. Tidak mungkin itu bisa dilakukan.”

Di luar itu adalah kenyataan bahwa ada lebih banyak yang terlibat daripada sekadar pengadaan laptop dan mengirimkannya ke karyawan jarak jauh. Ada juga terburu-buru gila “untuk mengkonfigurasi mereka dan mengembangkan kebijakan di sekitar mereka,” kata Richards.

“Perusahaan tidak diarahkan untuk memungkinkan orang mengakses sistem perusahaan dari jarak jauh atau melalui VPN. VPN mereka bahkan mungkin tidak dapat menangani beban yang masuk,” katanya.

“Dengan semua orang terjun bebas ini, di situlah tim merah bahkan lebih penting, untuk memastikan bahwa kontrol teknologi dan pelatihan tersedia untuk mencegah penyerang jahat mendapatkan akses ke sistem.”

Bagaimana kerja jarak jauh mengekspos organisasi Anda

Permukaan serangan yang diperluas terlihat jelas dalam berbagai cara, kata Richards. Berikut adalah beberapa area yang harus diperhatikan:

Meja bantuan

Orang-orang di layanan bantuan Anda dilatih untuk membantu pekerja yang membutuhkan akses ke jaringan, data, dan aplikasi, di antara hal-hal lainnya. Tetapi meskipun naluri mereka adalah untuk membantu, mereka sekarang harus curiga terhadap siapa pun yang menghubungi mereka.

“Saya dapat menjamin bahwa kontrol keamanan atau pemeriksaan yang diberlakukan mungkin akan dilewati untuk memungkinkan seseorang tetap melakukan pekerjaan mereka,” kata Richards. “Dan yang diperlukan hanyalah satu konfigurasi buruk dan seseorang untuk menemukannya, atau seseorang hanya untuk menelepon ke meja bantuan dan berkata, ‘Saya tidak bisa mendapatkan akses ke sesuatu,’ dan orang meja bantuan mungkin akan membantu mereka, karena itulah yang dilakukan semua orang di perusahaan saat ini. “

“Mungkin juga akan membutuhkan lebih sedikit untuk mengotentikasi diri sendiri daripada sebelumnya, karena semua orang berebut.”

Akses cloud

“Dengan semua orang mengalihkan hal-hal ke cloud, organisasi telah mengontrol akses ke bagian manajemen atau administratif dari aset cloud tersebut mungkin ke IP perusahaan mereka,” kata Richards. “Tapi sekarang, jika VPN perusahaan mereka kelebihan beban, mereka mungkin mengizinkan IP rumah untuk mengaksesnya. Atau mereka akan mengurangi kontrol itu ke tempat Anda hanya memerlukan beberapa bentuk otentikasi atau beberapa bentuk kunci. “

“Pengurangan kontrol keamanan itu juga dapat memberi penyerang yang buruk satu langkah atau pijakan lagi ke permukaan serangan Anda.”

Batas atau perimeter

Pada suatu waktu, perimeter didefinisikan oleh hal-hal seperti firewall. Tetapi mereka telah menjadi kabur dalam beberapa tahun terakhir dengan pindah ke cloud dan ekspansi cepat BYOD (bawa perangkat Anda sendiri). Situasi saat ini berarti mereka larut sama sekali.

“Batas itu tidak ada,” kata Richards, mencatat bahwa pertemuan banyak faktor sama dengan “badai sempurna dari aktor yang berpotensi buruk mulai melakukan lebih banyak hal buruk.”

Cara memperkuat keamanan organisasi Anda

Tim merah, kata Richards, “perlu mulai berbicara dengan organisasi sekarang tentang semua perubahan mendadak ini yang harus segera dilakukan, tanpa lead time. Itu berarti sudut-sudut akan dipotong.”

Apa yang harus dilakukan organisasi untuk mengekspos sudut-sudut itu dan berhenti memotongnya?

Richards mengatakan organisasi harus mengambil langkah mendasar yang sama tetapi menyesuaikannya dengan kenyataan saat ini. Langkah-langkah ini meliputi:

Latihan tabletop

Latihan tabletop adalah pertemuan untuk membahas simulasi keadaan darurat “untuk melihat apa yang akan terjadi jika seseorang benar-benar menyerang,” kata Richards. Idenya adalah untuk membayangkan bagaimana serangan akan dimainkan dan melihat pertahanan atau tanggapan seperti apa yang dimiliki organisasi. Jika Anda belum melakukannya, sekaranglah saatnya untuk menjalankan skenario di mana karyawan bekerja di rumah, bukan di kantor.

Pemodelan ancaman

Pemodelan ancaman didasarkan pada pengamatan dan wawancara. Tim “melihat sistem, bagaimana mereka dikerahkan, apa yang organisasi rencanakan untuk digunakan, dan mengajukan banyak pertanyaan tentang desain dan pengaturan untuk melihat bagaimana hal itu dapat disalahgunakan, atau di mana kesalahan konfigurasi dapat hidup.”

“Dari situ, tim membuat laporan,” katanya. “Semuanya di atas kertas, memberikan rekomendasi tentang bagaimana kita memandang suatu sistem tanpa menyentuh sistem.”

Model ancaman adalah persiapan yang baik untuk elemen ketiga evaluasi:

Penilaian tim merah

“Ini berarti menyewa tim merah untuk mencoba masuk, di tengah semua kekacauan ini,” kata Richards. “Itu akan menjadi virtual, tentu saja, karena tidak ada yang bepergian sekarang.”

“Tetapi tujuannya adalah untuk menguji layanan bantuan Anda, mencoba menguji titik akhir perusahaan Anda untuk memastikan tidak ada kredensial yang disusupi yang memungkinkan seseorang mendapatkan akses.”

“Semua hal itu sangat penting saat ini, dan ketiga kegiatan itu harus membantu mengidentifikasi risiko yang mungkin dimiliki perusahaan sekarang dalam perubahan mendadak ini.”

Tetapi perlunya penilaian tim merah menjadi virtual menunjukkan lapisan perak dari penutupan kantor saat ini: keamanan fisik yang lebih baik. Dengan hampir tidak ada yang pergi ke kantor, lebih mudah untuk melihat seseorang yang mencoba masuk. Seorang penyerang tidak bisa “tailgate” pada parade panjang karyawan yang kembali dari makan siang sore ini.

“Pasti akan lebih mencurigakan sekarang,” kata Richards. “Jika seseorang muncul ke kantor, pertanyaan pertama adalah, ‘Siapa kamu dan mengapa kamu ada di sini?'”