Keamanan Zero Trust mengubah cara organisasi menangani keamanan dengan menghilangkan kepercayaan implisit sambil terus menganalisis dan memvalidasi permintaan akses. Berlawanan dengan keamanan berbasis perimeter, pengguna dalam suatu lingkungan tidak secara otomatis dipercaya saat mendapatkan akses. Keamanan Zero Trust mendorong pemantauan berkelanjutan terhadap setiap perangkat dan pengguna, yang memastikan perlindungan berkelanjutan setelah otentikasi pengguna berhasil.
Mengapa perusahaan mengadopsi keamanan Zero Trust
Perusahaan mengadopsi keamanan Zero Trust untuk melindungi dari ancaman dunia maya yang kompleks dan semakin canggih. Hal ini mengatasi keterbatasan model keamanan tradisional berbasis perimeter, yang mencakup tidak adanya keamanan lalu lintas timur-barat, kepercayaan implisit dari orang dalam, dan kurangnya visibilitas yang memadai.
Keamanan tradisional vs. Zero Trust |
Keamanan Zero Trust meningkatkan postur keamanan organisasi dengan menawarkan:
- Peningkatan postur keamanan: Organisasi dapat meningkatkan postur keamanannya dengan terus mengumpulkan data tentang lalu lintas jaringan, permintaan akses, dan aktivitas pengguna/sistem dalam lingkungannya.
- Perlindungan dari ancaman orang dalam: Keamanan Zero Trust memastikan bahwa setiap pengguna dalam perimeter jaringan diautentikasi sebelum diberikan akses dengan mengadopsi prinsip “jangan pernah percaya, selalu verifikasi”.
- Adaptasi terhadap pekerjaan jarak jauh: Keamanan Zero Trust meningkatkan keamanan organisasi kerja jarak jauh dengan memprioritaskan verifikasi identitas, keamanan, dan pemantauan berkelanjutan terhadap setiap perangkat/pengguna.
- Kepatuhan: Ini membantu organisasi memenuhi persyaratan kepatuhan dengan menerapkan kontrol ketat, pemantauan berkelanjutan, dan perlindungan data yang selaras dengan standar peraturan.
- Mitigasi pelanggaran: Dengan menerapkan mekanisme respons otomatis, organisasi dapat dengan cepat membatasi hak akses untuk akun dan perangkat yang disusupi, sehingga mengurangi potensi kerusakan dan mengurangi dampak pelanggaran secara keseluruhan.
Bagaimana menerapkan keamanan Zero Trust
Berikut adalah faktor-faktor yang perlu dipertimbangkan ketika menerapkan keamanan Zero Trust untuk organisasi Anda:
- Pemantauan berkelanjutan: Ini memastikan bahwa semua aktivitas jaringan dan sistem dipantau dan dianalisis. Anda dapat mengadopsi platform Informasi Keamanan dan Manajemen Peristiwa (SIEM). SIEM adalah solusi keamanan yang menawarkan visibilitas real-time, memungkinkan organisasi mengidentifikasi dan mengatasi ancaman dan kerentanan keamanan.
- Respons insiden: Hal ini memungkinkan organisasi merespons insiden keamanan dengan cepat. Organisasi menggunakan platform Extended Detection and Response (XDR) untuk bereaksi cepat terhadap pelanggaran keamanan, meminimalkan kerusakan, dan mengurangi waktu henti.
- Pencegahan akses awal: Dengan terus memantau eksploitasi kerentanan, perilaku pengguna yang tidak biasa, dan upaya login brute force, organisasi dapat mendeteksi ancaman secara real-time sebelum penyerang membuat titik masuk.
- Hak istimewa paling sedikit: Hal ini mendorong atribusi hak istimewa yang minimal dalam sistem, karena pengguna hanya boleh diberikan akses yang diperlukan. Hal ini dapat dicapai dengan menggunakan solusi Identity and Access Management (IAM). Solusi IAM menggunakan Kontrol Akses Berbasis Peran (RBAC) untuk memberikan izin khusus kepada pengguna. Anda dapat memanfaatkan platform SIEM dan XDR untuk memantau konfigurasi IAM terhadap perubahan yang tidak sah.
- Kontrol akses perangkat: Semua perangkat yang mengakses jaringan harus melalui proses otentikasi dan verifikasi sebelumnya. Proses ini melibatkan pemeriksaan identitas perangkat, postur keamanan, dan kepatuhan terhadap kebijakan organisasi. Bahkan setelah akses awal diberikan, perangkat dapat terus dipantau untuk mencari tanda-tanda penyusupan, sehingga memastikan keamanan berkelanjutan.
- Mikrosegmentasi: Prinsip keamanan Zero Trust ini mendorong organisasi untuk memecah infrastruktur jaringan mereka menjadi bagian-bagian yang lebih kecil dan terisolasi. Setiap bagian beroperasi secara independen dengan kontrol keamanannya sendiri, mengurangi permukaan serangan dengan meminimalkan risiko pergerakan lateral.
- Otentikasi multi-faktor: Hal ini menambah lapisan keamanan ekstra dengan mengharuskan pengguna menunjukkan beberapa formulir verifikasi sebelum mendapatkan akses ke sistem, aplikasi, atau data. Hal ini mengurangi risiko akses tidak sah, bahkan jika salah satu faktor, seperti kata sandi, disusupi.
Bagian berikut menunjukkan contoh pemanfaatan kemampuan Wazuh untuk keamanan Zero Trust.
Cara memanfaatkan Wazuh untuk keamanan Zero Trust Anda
Wazuh adalah platform keamanan sumber terbuka gratis yang menawarkan kemampuan XDR dan SIEM terpadu di seluruh beban kerja di lingkungan cloud dan lokal. Anda dapat memanfaatkan dokumentasi Wazuh untuk menyiapkan solusi ini untuk organisasi Anda.
Kemampuan Wazuh membantu organisasi menjaga lingkungan TI mereka dari berbagai ancaman keamanan, menjadikannya solusi yang tepat ketika menerapkan keamanan Zero Trust. Dengan pemantauan real-time, respons insiden otomatis, dan visibilitas luas terhadap perilaku pengguna dan konfigurasi sistem, Wazuh memungkinkan Anda mendeteksi dan merespons potensi pelanggaran sebelum menjadi lebih parah. Berikut adalah beberapa kasus Wazuh yang digunakan untuk keamanan Zero Trust.
Deteksi alat sah yang disalahgunakan
Kemampuan Wazuh, seperti pemantauan panggilan sistem, Penilaian Konfigurasi Keamanan (SCA), dan analisis data log, dapat digunakan untuk mendeteksi alat sah yang disalahgunakan.
Kemampuan panggilan sistem pemantauan menganalisis akses file, eksekusi perintah, dan panggilan sistem pada titik akhir Linux. Hal ini membantu pemburu ancaman mengidentifikasi kapan alat tepercaya digunakan untuk tujuan jahat, seperti peningkatan hak istimewa atau eksekusi skrip yang tidak sah.
Kemampuan Wazuh SCA menilai konfigurasi sistem untuk mendeteksi kesalahan konfigurasi yang mungkin dieksploitasi oleh penyerang. Dengan memindai kerentanan seperti layanan yang tidak perlu, kebijakan kata sandi yang lemah, atau konfigurasi jaringan yang tidak aman, SCA mengurangi permukaan serangan dan mencegah penyalahgunaan alat yang sah.
Netcat adalah alat yang banyak digunakan oleh pelaku ancaman untuk membuat pintu belakang, melakukan pemindaian port, mentransfer file, dan membuat shell terbalik untuk akses jarak jauh. Wazuh dapat memantau dan memperingatkan penggunaan perintah yang mencurigakan seperti yang dijelaskan dalam panduan memantau pelaksanaan perintah berbahaya. Panduan ini menunjukkan skenario di mana kemampuan panggilan sistem pemantauan dapat mencatat aktivitas Netcat dan menghasilkan peringatan.
Wazuh mengaudit perintah Netcat untuk mendeteksi aktivitas mencurigakan |
Seperti yang ditunjukkan di atas, setiap kali perintah nc dijalankan, Wazuh menghasilkan peringatan yang memungkinkan pemburu ancaman mendapatkan visibilitas ke dalam perintah yang dijalankan dan keluarannya.
Deteksi akses awal
Wazuh menggunakan kemampuan pengumpulan data lognya untuk mengumpulkan log dari berbagai sumber dalam lingkungan TI. Ia mengumpulkan, menganalisis, dan menyimpan log dari titik akhir, perangkat jaringan, dan aplikasi serta melakukan analisis waktu nyata.
Entri blog tentang Mendeteksi eksploitasi kerentanan XZ Utils (CVE-2024-3094) menunjukkan bagaimana Wazuh memanfaatkan kemampuan pengumpulan data lognya. CVE-2024-3094 adalah kerentanan kritis pada XZ Utils versi 5.6.0 dan 5.6.1, alat kompresi data yang banyak digunakan. Ini berasal dari serangan rantai pasokan yang memperkenalkan pintu belakang ke dalam perangkat lunak, yang memungkinkan akses jarak jauh tanpa izin ke sistem. Secara khusus, ia mengeksploitasi perpustakaan liblzma, sebuah ketergantungan OpenSSH, memungkinkan penyerang untuk mengeksekusi perintah sewenang-wenang melalui SSH sebelum otentikasi. Hal ini dapat menyebabkan eksekusi kode jarak jauh (RCE), yang membahayakan keamanan sistem.
Wazuh mengidentifikasi dan meneruskan log tentang proses turunan sshd yang berpotensi berbahaya melalui dekoder dan aturan yang dapat disesuaikan. Pendekatan ini membantu dalam deteksi dini upaya eksploitasi kerentanan ini.
Wazuh mengaudit layanan sshd untuk mendeteksi CVE-2024-3094 |
Seperti yang ditunjukkan di atas, setelah menganalisis layanan sshd, Wazuh mendeteksi dan menandai pola aktivitas abnormal.
Respons insiden
Platform Wazuh meningkatkan respons insiden bagi tim keamanan dengan memberikan visibilitas real-time terhadap peristiwa keamanan, mengotomatiskan tindakan respons, dan mengurangi kelelahan peringatan.
Dengan memanfaatkan kemampuan Respons Aktifnya, Wazuh memungkinkan tim mengelola insiden secara efektif melalui skrip otomatis yang dapat dipicu untuk setiap peristiwa yang dikonfigurasi. Otomatisasi ini sangat bermanfaat dalam lingkungan dengan sumber daya terbatas, memungkinkan tim keamanan untuk fokus pada tugas-tugas penting sementara sistem menangani respons rutin.
Postingan blog tentang mendeteksi dan merespons file berbahaya menggunakan daftar CDB dan respons aktif menyoroti bagaimana profesional keamanan dapat mengotomatiskan tindakan respons berdasarkan peristiwa tertentu menggunakan kemampuan respons aktif Wazuh.
Kemampuan Wazuh Active Response secara otomatis menghapus file dengan nilai hash dalam daftar CDB. |
Blog ini menyoroti bagaimana file berbahaya dapat dideteksi menggunakan kemampuan Wazuh File Integrity Monitoring (FIM). Ia bekerja dengan daftar database konstan (CDB) dari hash MD5 berbahaya yang diketahui. Kemampuan Wazuh Active Response secara otomatis menghapus file yang cocok dengan nilai hash dalam daftar CDB.
Kesimpulan
Dengan data dan aplikasi sensitif yang kini didistribusikan ke beberapa server dan lingkungan, permukaan serangan telah meluas, membuat organisasi lebih rentan terhadap pelanggaran data, ransomware, dan ancaman yang muncul. Organisasi yang mengadopsi pendekatan keamanan Zero Trust dapat membangun mekanisme pertahanan siber yang lebih baik terhadap perubahan ancaman.
Platform XDR dan SIEM terpadu Wazuh dapat menerapkan aspek-aspek pendekatan ini, antara lain menggunakan pengumpulan data log, deteksi kerentanan, dan kemampuan respons insiden otomatis. Anda dapat mempelajari lebih lanjut tentang bagaimana platform Wazuh dapat membantu organisasi Anda dengan mengunjungi situs web mereka.