Pertengahan Februari 2018
lalu, dunia dikejutkan oleh keterangan dari Robert Mueller, mantan direktur FBI
yg ditunjuk sebagai ketua dari konsil yang dibentuk untuk menyelidiki
keterlibatan Rusia, yang menyimpulkan bahwa 13 individu Rusia terlibat dalam
menginterferensi pemilu Amerika Serikat tahun 2016. Hal ini menambah panjang
daftar bukti dan kasus keterlibatan Rusia dalam pemilu tersebut, dengan tujuan
memenangkan Trump.
Pada beberapa kejadian
yang diungkap, terlihat bahwa serangan ditujukan kepada tim kampanye Hillary
Clinton dan anggota dari Partai Demokrat. Serangan tersebut sangat spesifik
ditujukan kepada target yang khusus, dengan metode yang amat canggih yang
bahkan belum ditemukan sebelumnya, sehingga disebut sebagai Advanced
Persistence Threat (APT).
Serangan berbasis APT
terhadap pemilu presiden di Amerika Serikat di atas, memiliki karakteristik
yang sama dengan serangan berbasis APT yang lain. Sebagai contoh serangan
Stuxnet yang menyasar fasilitas pengayaan uranium Iran, dengan Amerika Serikat
dan Israel dipercaya sebagai dalang dibelakangnya dengan kode operasi:
Operation Olympic Games. Meski malware ini terdeteksi ‘beredar’ di beberapa
negara (termasuk Indonesia diurutan kedua sebesar 18.2%), stuxnet disebutkan
mentargetkan fasilitas nuklir Iran.
Stuxnet tidak menyebabkan
kerusakan pada sistem yang bukan menjadi targetnya, karena secara spesifik
mentargetkan Programmable Logic Controllers (PLCs) yang dipakai dalam
sentrifugal untuk memproduksi material nuklir Iran dan berada di sana tanpa
terdeteksi selama bertahuntahun. Serangan ini disebutkan mampu menghambat
program nuklir Iran selama 4 tahun, lebih efektif dari serangan bom yang hanya
menghambat program tersebut selama 3 tahun saja.
Film berjudul Zero Days
yang dirilis tahun 2016 menceritakan Stuxnet dengan cukup detail. Ada lagi
Operation Aurora yang menyasar puluhan perusahaan besar IT, seperti Google,
Adobe, Juniper serta perusahaan lain pada sektor teknologi, finansial, dan
defense. Serangan ini dipercaya dilakukan oleh Cina, dengan tujuan untuk
mencuri intelectual property berupa source code dari perusahaan yang menjadi
target, juga untuk membungkam aktivis pro demokrasi di Cina.
Serangan ini
mengeksploitasi kelemahan pada software Internet Explorer dan Adobe Acrobat
Reader yang sebelumnya belum pernah ditemukan (0-Day vulnerability).
Serangan ini juga menggunakan beberapa level enkripsi serta beberapa jenis
malware untuk mengelabuhi dan mencegah terdeteksi. Operation Aurora dipercaya
berlangsung sejak pertengahan 2009 dan baru dideteksi awal tahun 2010 oleh
Google. Di masa mendatang, kita akan melihat semakin banyak serangan berbasis
APT, terutama yang disponsori dan di backup oleh negara. Hal tersebut karena
serangan jenis ini dilihat lebih murah biayanya dibandingkan dengan serangan
secara fisik seperti peperangan. Pun soal risikonya terhadap penyerang yang
juga minim, karena pelakunya sulit dibuktikan secara nyata.
Serangan APT merupakan serangan yang Advanced. Baik dari sisi
jenis serangan, maupun tekniknya. Sebagai contoh adalah Stuxnet, dimana worm
ini menyasar sistem Supervisory Control and Data Acquisition (SCADA) berbasis
PLC, yang dikenal sebagai sistem yang tidak dikenal secara luas. Sistem ini
berbeda dengan target berbasis OS yang umum ada di pasaran, seperti
Windows maupun Linux. Hal ini terjadi karena serangan APT menyasar target yang
spesifik, bukan seperti serangan jenis malware pada umumnya yang mentargetkan
sebanyak-banyaknya korban, sehingga dibuat berdasarkan sistem yang paling
banyak dipakai.
Salah satu contoh jenis
serangan yang sering dipergunakan dalam APT adalah Zero Day atau 0-Day. Awalnya
istilah 0-Day adalah untuk jenis kelemahan pada sistem (bug atau
vulnerability), yang dapat dieksploitasi dan belum dikeluarkan patch
oleh pembuat sistem tersebut. Kelemahan berbasis 0-Day bahkan hanya diketahui
oleh si pembuat exploit. Dengan memiliki exploit berbasis 0-Day, dapat
dipastikan serangan akan berhasil terhadap target yang ditentukan.
Namun saat ini juga
terdapat 0-Day Virus, dimana sebuah virus yang belum bisa di deteksi oleh Anti
Virus yang ada. APT juga memiliki sifat yang persistance, dimana dilakukan
dalam kurun waktu yang lama dan hanya menyasar institusi atau individu
tertentu. Penyerang melakukan studi secara spesifik mengenai target serangan,
untuk melihat profil dan kelemahan yang ada. APT tidak mentargetkan
sebanyak-banyaknya korban seperti virus atau ransomware pada umumnya, karena
memang tujuannya spesifik serta mencegah selama mungkin untuk terdeteksi.
Sebagai contoh serangan
dengan jenis virus yang memang secara khusus ditujukan untuk institusi
tertentu, dan tidak berjalan pada lingkungan lainnya. Misal hacker sudah
mengetahui bahwa setiap nama komputer di perusahaan kita, memiliki format
XYZ-[NAMA-DIVISI]-[NOMOR-WORKSTATION]. Maka dibuatlah virus baru yang hanya
berjalan di komputer dengan format nama target di atas (nama komputer memiliki
awalan XYZ-), dan tidak berjalan di target lainnya. Hal ini tentu amat
menyulitkan bagi proteksi yang basisnya tradisional, seperti berbasis Signature.
Dalam menangani APT, dapat dilakukan beberapa pendekatan yang
ada. Salah satunya adalah pendekatan yang di usulkan oleh Lockheed Martin (LM)
dalam papernya yang berjudul "Intelligence-Driven Computer Network Defense
Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains." LM
mencoba untuk membagi serangan menjadi beberapa tahapan, untuk kemudian di
terapkan langkah-langkah yang tepat pada tahapan tersebut. Pendekatan ini
sebenarnya tidak spesifik untuk serangan berbasis APT, namun juga untuk
serangan yg sifatnya tradisional lainnya. Tahapan yang dimaksud adalah
Cyber-Killchain.
Melalui Cyber-Killchain,
terlihat bahwa tujuan akhir dari penyerang adalah Action. Hal ini bisa berupa
banyak hal, mulai dari pencurian data, membuat sistem tidak berfungsi (Denial
of Service), atau bahkan merusak sistem secara keseluruhan. Semakin kita dapat
mendeteksi dan menangkal serangan pada fase awal, maka semakin baik. Tujuan
utama dari pendekatan yang kita lakukan adalah sedapat
mungkin mencegah serangan pada fase Action. Sebagai contoh ekstrim adalah, jika
komputer sudah terlanjur terinfeksi virus (Fase Installation), maka sedapat
mungkin dicegah terkoneksi ke C&C, sehingga tujuan virus tersebut dibuat
(Action on Target) tidak tercapai.
Pada masing-masing
tahapan serangan di atas, LM juga menganjurkan beberapa tindakan atau perangkat
yang diperlukan, berdasarkan tindakan yang ingin kita lakukan pada setiap
tahapan tadi (jika dimungkinkan). Tindakan yang dimaksud adalah: Detect, Deny,
Disrupt, Degrade, Deceive, Destroy. Misal jika kita ingin mendeteksi serangan
pada fase Exploitation, maka diperlukan Host Intrusion Detection System (HIDS).
Detail matrix tindakan pada setiap tahapan serangan ada pada gambar dibawah
ini:
Tindakan yang diusulkan
LM di atas tentu saja dapat dikembangkan, sesuai dengan sifat APT dan kondisi
yang ada di lingkungan kita. Sebagai contoh, untuk mendisrupsi Virus yang
merupakan 0-Day pada tahapan installation, bisa menggunakan teknologi
sandboxing. Dengan sandboxing kita dapat mengeksekusi atau membuka file yang
dicurigai mengandung virus namun tidak terdeteksi oleh signature AV, pada
lingkungan yang aman namun serupa dengan lingkungan sesungguhnya. Jika ternyata
file tersebut merusak, maka ‘lingkungan’ tadi (biasanya simulator dari OS) bisa
kita delete dengan mudah.
Meskipun telah memberikan landasan yang baik untuk memetakan tahapan serangan, serta tindakan pada setiap tahapan tersebut, LM tidak memberikan petunjuk tentang siapa yang perlu melakukan tindakan pada tiap serangan. Seperti kita ketahui, security haruslah komprehensif, dimana mencakup: Technology, People & Process. Jika dilihat, proses pencarian dan pendeteksian serangan pada berbagai fase Cyber Killchain memerlukan keahlian yang khusus. Teknologi dapat memudahkan kita pada level tertentu, misalnya dengan adanya Artificial Intelligence maupun automation, namun tetap harus ada peranan manusia dalam setiap tindakan. Diperlukan personil yang memiliki kemampuan dalam mendeteksi serangan, serta menyimpulkan apakah serangan ini valid atau tidak. Terlebih lagi jika yang dihadapi adalah APT, hal ini tentu menjadi lebih sulit dan kebutuhan akan personil yang mumpuni tentunya lebih besar lagi.
LM tidak
menginformasikan, siapa yang perlu melakukan analisis jika terdeteksi adanya
serangan yang ‘tidak biasa’. Padahal untuk mendeteksi dan mengolah serangan
berbasis APT, diperlukan personil IT Security yang memiliki kemampuan sangat baik.
Sebagai contoh Stuxnet, dimana dideteksi dan diteliti oleh berbagai ahli IT
Security dari Symantec dan Kaspersky Lab yang memiliki sumber daya (Tools, lab,
jaringan ahli & pengetahuan) serta personil yang setiap hari bergelut
dengan serangan dan virus. Pertanyaannya, apakah kita memiliki sumber daya
seperti Symantec & Kaspersky Lab? Hal ini tentu perlu disiasati lebih
lanjut, karena mencari personil IT Security yang baik tentu tidak mudah dan
pastinya tidak murah. Terlebih lagi jika kita ingin memastikan keamanan selama
24/7, yang membutuhkan personil standby 24/7 pula.
Apakah kita perlu menyiapkan pertahanan untuk menanggulangi
serangan berbasis APT? Jawabannya bisa ya dan tidak. Namun pertanyaan
sebelumnya adalah: Apakah anda yakin memiliki aset yang diincar oleh penyerang
berbasis APT? Karena tidak mungkin tim Ocean’s Eleven akan merampok bandar Judi
Togel (Toto Gelap), karena kelasnya mereka adalah merampok kasino besar di Las
Vegas.
Berdasarkan pengamatan
kami di Security Operation Center Defenxor, yang memonitor keamanan puluhan
institusi dan perusahaan selama 24/7, kebanyakan serangan bukanlah serangan
yang spesifik (Persitance) meskipun ada beberapa yang cukup Advanced. Serangan
yang ada sebenarnya dapat terdekteksi dan dicegah, namun perlu tunning dan
penanganan lebih lanjut. Sebagai contoh perusahaan telah mengimplementasikan
Web Application Firewall (WAF), namun masih terjadi insiden defacement dimana
halaman web diganti. Setelah diselidiki, ternyata ada policy pada WAF yang
perlu di tunning. Ada pula perusahaan yang Intsusion Prevention System (IPS),
namun policynya masih allow-all yang berarti tidak mem-Prevent apapun. Bahkan
masih sering kami dapati traffic ransomware wannacry yang cukup menghebohkan di
pertengahan 2017. Kesimpulan dan Saran Lalu apa yang harus kita lakukan untuk
mengetahui apakah kita sudah terkena serangan berbasis APT? Jika pertanyaan ini
ditanyakan ke saya, maka jawabannya adalah: Berdoa yang banyak..:) Jika memang
kita menjadi target serangan dengan profil penyerang sedemikian canggih dan
targetted, apakah kita punya sumber-daya untuk mendeteksi dan menangkal
serangan semacam itu? Namun pertanyaan berikutnya, apakah kita memiliki aset
yang sedemikian berharga sehingga menjadi target serangan APT? Sekali lagi,
saya yakin group perampok Ocean’s Eleven tidak akan merampok target yang tidak
memiliki aset berharga menurut ukuran mereka.
Oleh karena itu kita
perlu terlebih dahulu melakukan assessment terhadap aset yang kita miliki,
berapa nilainya, apa saja risiko terkait aset tersebut dan berapa kerugiannya
jika risiko menjadi kenyataan (tangible maupun intangible). Setelah dilakukan
assessment, maka selanjutnya kita terapkan proteksi untuk menjaga agar risiko
tidak menjadi kenyataan. Framework Cyber Killchain dari LM diatas dapat menjadi
acuan untuk melakukan Proteksi, berdasarkan tahapan serangan dan tindakan pada
setiap tahapan tersebut. Proteksi disini tidak terbatas hanya pada implementasi
Teknologi saja, namun juga terkait People (user awareness, kemampuan personil
IT Security, dll) dan juga Process (Policy, Procedure & Guideline). Dengan
melihat risiko dan mencocokkan proteksi yang ada terkait risiko tersebut, maka
kita terhindar dari implementasi teknologi yang tidak tepat, baik yang kurang
maupun berlebih.
Setelah kita menerapkan
proteksi yang kita anggap sesuai, maka berikutnya adalah melakukan pemeriksaan
apakah proteksi sudah sesuai untuk mencegah terjadinya risiko. Pemeriksaan ini
bisa berupa vulnerability assesment atau penetration testing, dimana
kita mensimulasikan serangan yang dilakukan oleh hacker sesungguhnya. Jika
berdasarkan hasil pemeriksaan ada yang perlu diperbaiki, kita dapat kembali
lagi ke tahapan proteksi sebelumnya.
Pada akhirnya, perlu
dilakukan monitoring keamanan selama bisnis berjalan. Hal ini bertujuan untuk
mendeteksi jika terjadi serangan yang masih lolos, juga untuk tujuan penanganan
jika insiden sudah terjadi (Forensik). Monitoring dan deteksi ini dapat
dilakukan dengan mengimplementasi Security Operation Center (SOC), atau
bekerjasama dengan pihak ketiga yang menyediakan layanan SOC tanpa kita perlu
implementasi sendiri. Implementasi SOC (baik secara mandiri maupun lewat pihak
ketiga) menjadi pilihan yang tepat, karena fungsinya yanng melakukan monitoring
selama 24/7 dengan gabungan antara Technology, People & Process.
Kapabilitas SOC yang baik juga secara empiris terbukti secara signifikan
memiliki positif terhadap kinerja keamanan informasi.
APT merupakan serangan
yang sangat kompleks dan canggih, dimana mungkin kita tidak memiliki sumber
daya untuk menanggulanginya. Jika kita memang menjadi target dari serangan APT
dimana kita memiliki aset yang menjadi sasarannya, seharusnya kita memiliki sumber
daya untuk mendeteksi dan menanggulangi serangan tersebut. Karena
logikanya, tidak mungkin pengamanan kasino ternama di Las Vegas sama dengan
pengamanan bandar judi toto gelap. Sementara itu, setidaknya kita harus
terproteksi dari jenis serangan yang memang menyasar semua institusi seperti
ransomware, defacement, virus, dll. Memang, tidak ada celah keamanan yang
terlalu kecil untuk diacuhkan dan dibiarkan terbuka. Namun pendekatan
implementasi keamanan berbasis risiko, serta perencanaan yang matang amat
penting, untuk mencegah harga brankas lebih mahal dari isinya.
