Apa itu cyber kill chain?

Pada tahun 2011, Lockheed Martin mengadaptasi konsep militer yang bernama kill chain untuk industri keamanan cyber dan menyebutnya cyber kill chain. Sama seperti kill chain, cyber kill chain mengidentifikasi tahap serangan dan memberikan wawasan kepada staf keamanan tentang taktik dan teknik umum musuh mereka dalam setiap tahapnya. Kedua model juga linier dengan asumsi bahwa penyerang akan mengikuti setiap tahap secara berurutan.

Sejak cyber kill chain pertama kali diperkenalkan, pelaku ancaman cyber telah mengembangkan taktik mereka dan tidak selalu mengikuti setiap tahapan cyber kill chain. Oleh karena itu, industri keamanan telah memperbarui pendekatan dan mengembangkan model baru. Matriks MITRE ATT&CK® adalah daftar taktik dan teknik terperinci yang didasarkan pada serangan nyata. Ini menggunakan tahap yang sama seperti cyber kill chain, tetapi tidak mengikuti urutan secara linier.

Pada tahun 2017, Paul Pols bekerja sama dengan Fox-IT dan Leiden University untuk mengembangkan kerangka kerja lain, yaitu unified kill chain, yang menggabungkan elemen matriks MITRE ATT&CK dan cyber kill chain menjadi model dengan 18 tahap.

Pengintaian

Cyber kill chain menentukan urutan fase serangan cyber dengan tujuan memahami pola pikir serangan cyber, termasuk motif, alat, metode, dan teknik mereka, cara mereka membuat keputusan, dan cara mereka menghindari deteksi. Memahami cara kerja cyber kill chain membantu staf keamanan menghentikan serangan cyber pada tahap paling awal.

Selama tahap persenjataan, pelaku kejahatan menggunakan informasi yang diungkap selama pengintaian untuk membuat atau memodifikasi malware untuk memaksimalkan eksploitasi kelemahan organisasi yang ditargetkan.

Setelah membuat malware, penyerang cyber mencoba melancarkan serangan mereka. Salah satu metode yang paling umum adalah menggunakan teknik rekayasa sosial seperti pengelabuan untuk menjebak karyawan agar menyerahkan kredensial masuk mereka. Pelaku kejahatan juga dapat memperoleh jalan masuk dengan memanfaatkan koneksi nirkabel publik yang tidak terlalu aman atau mengeksploitasi kerentanan perangkat lunak atau perangkat keras yang diungkap selama pengintaian.

Setelah pelaku ancaman cyber menyusup ke organisasi, mereka menggunakan akses mereka untuk berpindah secara lateral dari sistem ke sistem. Tujuan mereka adalah menemukan data sensitif, kerentanan tambahan, akun administratif, atau server email yang dapat mereka gunakan untuk menyebabkan kerusakan pada organisasi.

Dalam tahap penginstalan, pelaku kejahatan menginstal malware yang memberi mereka kontrol terhadap lebih banyak sistem dan akun.

Setelah penyerang cyber mendapatkan kontrol atas sejumlah besar sistem, mereka membuat pusat kontrol yang memungkinkan mereka untuk beroperasi dari jarak jauh. Selama tahap ini, mereka menggunakan penyamaran untuk menutupi jejak mereka dan menghindari deteksi. Mereka juga menggunakan serangan penolakan layanan untuk mengalihkan profesional keamanan dari tujuan sebenarnya.

Pada tahap ini, penyerang cyber mengambil langkah untuk mencapai tujuan utama mereka, yang dapat mencakup serangan rantai pasokan, penyelundupan data, enkripsi data, atau penghancuran data.

Meskipun cyber kill chain yang awalnya dibuat Lockheed Martin hanya mencakup tujuh langkah, banyak pakar keamanan cyber telah memperluasnya menjadi delapan untuk memperhitungkan aktivitas yang diambil pelaku kejahatan untuk menghasilkan pendapatan dari serangan tersebut, seperti menggunakan ransomware untuk memeras pembayaran dari korban mereka atau menjual data sensitif di web gelap.

Memahami cara pelaku ancaman cyber merencanakan dan melakukan serangan mereka dapat membantu profesional keamanan cyber menemukan dan mengurangi kerentanan di seluruh organisasi. Hal ini juga membantu mereka mengidentifikasi indikator penyusupan selama tahap awal serangan cyber. Banyak organisasi menggunakan model cyber kill chain untuk menerapkan tindakan keamanan secara proaktif dan memandu respons insiden.

Inteligensi ancaman

Salah satu alat terpenting untuk melindungi organisasi dari ancaman cyber adalah kecerdasan ancaman. Solusi kecerdasan ancaman yang baik menyatukan data dari seluruh lingkungan organisasi dan memberikan wawasan yang dapat ditindaklanjuti yang membantu profesional keamanan mendeteksi serangan cyber lebih awal.

Sering kali pelaku kejahatan menyusup ke organisasi dengan menebak atau mencuri kata sandi. Setelah masuk, mereka mencoba mengeskalasikan hak istimewa untuk mendapatkan akses ke data dan sistem sensitif. Solusi manajemen identitas dan akses membantu mendeteksi aktivitas ganjil yang mungkin merupakan indikasi bahwa pengguna yang tidak sah telah mendapatkan akses. Solusi ini juga menawarkan tindakan pengendalian dan keamanan, seperti autentikasi dua faktor, yang membuat seseorang lebih sulit menggunakan kredensial yang dicuri untuk masuk.

Banyak organisasi tetap terdepan dalam ancaman cyber terbaru dengan bantuan solusi manajemen kejadian dan informasi keamanan (SIEM). Solusi SIEM menggabungkan data dari seluruh organisasi dan dari sumber pihak ketiga untuk menunjukkan ancaman cyber kritis bagi tim keamanan guna melakukan triase dan penanganan. Banyak solusi SIEM juga secara otomatis merespons ancaman tertentu yang diketahui, sehingga mengurangi jumlah insiden yang perlu diselidiki tim.

Dalam satu organisasi, terdapat ratusan atau ribuan titik akhir. Di antara server, komputer, perangkat seluler, dan perangkat Internet of Things (IoT) yang digunakan perusahaan untuk menjalankan bisnis, hampir tidak mungkin untuk terus memperbarui seluruhnya. Pelaku kejahatan mengetahui hal ini, sehingga banyak serangan cyber dimulai dengan titik akhir yang disusupi. Solusi Deteksi dan respons titik akhir membantu tim keamanan memantau ancaman dan merespons dengan cepat ketika menemukan masalah keamanan dengan perangkat.

Solusi Deteksi dan respons yang diperluas (XDR) lebih maju satu langkah dari deteksi titik akhir dan respons karena menyediakan satu solusi yang melindungi titik akhir, identitas, aplikasi cloud, dan email.

Tidak semua perusahaan memiliki sumber daya internal untuk mendeteksi dan merespons ancaman secara efektif. Untuk memperkuat tim keamanan yang sudah ada, organisasi seperti ini beralih ke penyedia layanan yang menawarkan deteksi dan respons terkelola. Penyedia layanan ini bertanggung jawab memantau lingkungan organisasi dan merespons ancaman.

Meskipun memahami cyber kill chain dapat membantu perusahaan dan pemerintah secara proaktif mempersiapkan dan merespons ancaman cyber yang kompleks dan bertingkat, hanya mengandalkan model tunggal ini dapat membuat organisasi rentan terhadap jenis serangan cyber lainnya. Beberapa kritik umum terhadap cyber kill chain adalah:

• Berfokus pada malware. Kerangka kerja cyber kill chain awalnya dirancang untuk mendeteksi dan merespons malware dan tidak efektif terhadap jenis serangan lain, seperti pengguna yang tidak berwenang mendapatkan akses dengan kredensial yang disusupi.

• Ideal untuk keamanan perimeter. Dengan penekanan pada perlindungan titik akhir, model cyber kill chain bekerja dengan baik jika hanya ada satu perimeter jaringan untuk dilindungi. Saat ini, dengan banyaknya jumlah pekerja jarak jauh, cloud, dan jumlah perangkat yang terus meningkat yang mengakses aset perusahaan, hampir mustahil untuk mengatasi setiap kerentanan titik akhir.

• Tidak dilengkapi untuk ancaman orang dalam. Orang dalam, yang sudah memiliki akses ke beberapa sistem, lebih sulit dideteksi dengan model cyber kill chain. Sebagai gantinya, organisasi perlu memantau dan mendeteksi perubahan dalam aktivitas pengguna.

• Terlalu linier. Meskipun banyak serangan cyber mengikuti delapan tahap yang diuraikan dalam cyber kill chain, banyak juga serangan yang tidak atau menggabungkan beberapa langkah menjadi satu tindakan. Organisasi yang terlalu fokus pada setiap tahapan mungkin melewatkan ancaman cyber ini.

Sejak 2011, ketika Lockheed Martin pertama kali memperkenalkan cyber kill chain, telah banyak yang berubah dalam lanskap teknologi dan ancaman cyber. Komputasi cloud, perangkat seluler, dan perangkat IoT telah mengubah cara orang bekerja dan cara bisnis beroperasi. Pelaku ancaman cyber telah merespons teknologi baru ini dengan inovasi mereka sendiri, termasuk menggunakan otomatisasi dan AI untuk mempercepat dan meningkatkan serangan cyber mereka. Cyber kill chain menawarkan titik awal yang hebat untuk mengembangkan strategi keamanan proaktif yang memperhitungkan pola pikir dan tujuan penyerang cyber. Microsoft Security menawarkan platform SecOps terpadu yang menyatukan XDR dan SIEM ke dalam satu solusi yang dapat disesuaikan untuk membantu organisasi mengembangkan pertahanan berlapis yang melindungi semua tahap dalam cyber kill chain. Organisasi juga bersiap untuk ancaman cyber yang berkembang dan didukung AI dengan berinvestasi dalam AI untuk solusi keamanan cyber, seperti Microsoft Security Copilot.