Serangan Siber: Penyerang Mengeksplorasi Metode yang Lebih Tersembunyi dan Canggih untuk Menyusup ke Lingkungan Cloud. Penyerang siber sedang mengembangkan metode yang lebih tersembunyi dan canggih untuk menyusup ke lingkungan cloud. Dari memanfaatkan kesalahan konfigurasi hingga menggunakan kredensial yang dicuri, mereka sangat terampil dalam menghindari deteksi. Log cloud sangat berharga untuk membantu organisasi mengidentifikasi potensi ancaman sebelum dapat menyebabkan kerusakan. Tenang tapi kuat, log cloud adalah pahlawan yang tidak terlihat dalam pertempuran melawan serangan siber, memberikan data penting yang dibutuhkan untuk mendeteksi, menyelidiki, dan mengurangi risiko secara real-time. Apa Itu Log Cloud? Log cloud merekam setiap tindakan yang terjadi dalam lingkungan cloud, mulai dari aktivitas pengguna hingga kejadian di tingkat sistem. Mereka direkam dalam lapisan yang berbeda sesuai dengan jenis layanan yang ada. Ada empat kategori utama di mana log-log ini biasanya termasuk: Log manajemen atau kontrol: Menyediakan cakupan paling luas dan melacak banyak aktivitas administratif di cloud, seperti pembuatan dan modifikasi akun serta sumber daya. Contoh: AWS CloudTrail dan log audit Google Workspace. Log data: Melacak unduhan data, modifikasi, ekspor, dan lainnya. Log lalu lintas jaringan: Mencatat konektivitas dan routing antara instansi cloud dan sumber eksternal. Contoh: AWS VPC flow logs dan Azure NSG flow logs. Log spesifik layanan: Memantau akses ke layanan cloud tertentu — misalnya, log akses AWS S3. Mengapa Log Cloud Semakin Penting Seiring organisasi memindahkan beban kerja penting ke cloud, mereka menghadapi tantangan keamanan baru. Taktik umum yang digunakan penyerang termasuk: Pencurian kredensial dan penyalahgunaan identitas Eskalasi hak istimewa dalam layanan cloud Pergerakan lateral antar instansi cloud Berbeda dengan lingkungan tradisional di tempat, sumber daya infrastruktur cloud bersifat dinamis dan sementara, selalu berubah dan tersebar di berbagai layanan dan wilayah. Penyerang dapat memanfaatkan karakteristik ini untuk tetap tersembunyi dan menghindari deteksi dalam jangka waktu lama. Log cloud mencatat riwayat lengkap aktivitas dan kejadian di seluruh ekosistem cloud, termasuk aktivitas dan tindakan setiap pengguna atau entitas. Ketika digabungkan dengan data real-time, log cloud membantu tim mengidentifikasi di mana pelanggaran dapat terjadi dan aset mana yang paling rentan. Mereka membantu tim deteksi dan respons insiden menentukan langkah terbaik untuk menangani temuan dan anomali. Akhirnya, log cloud menyediakan banyak informasi forensik yang dibutuhkan selama penyelidikan dan tindak lanjut. Regulasi Log Cloud Log, termasuk log cloud, sangat penting untuk keamanan dan penyelidikan insiden sehingga ada berbagai persyaratan regulasi tentang catatan tertentu yang harus disimpan oleh organisasi dan berapa lama mereka harus menyimpannya. Beberapa regulasi, seperti HIPAA dan SOX, spesifik untuk industri. Lainnya, seperti CCPA di California dan GDPR di Eropa, bersifat regional. Selain itu, ada beberapa kerangka kerja seperti NIST dan CIS yang mendukung praktik terbaik untuk retensi log. Log cloud umumnya lebih kompleks karena melibatkan data dari berbagai sumber dan dapat tersebar di berbagai wilayah, zona, dan penyedia layanan cloud. Bagaimana Log Cloud Mendeteksi Serangan Canggih Serangan siber canggih sering kali mengikuti proses bertahap, mulai dari akses awal hingga pergerakan lateral dan eksfiltrasi data. Berikut adalah apa yang dapat diungkapkan oleh berbagai jenis log cloud pada setiap fase. #1: Mendeteksi Eskalasi Hak Istimewa Penyerang sering kali mengakses akun dengan hak akses rendah dan kemudian meningkatkan hak istimewa untuk mengendalikan sumber daya cloud lebih besar. Log manajemen mencatat semua upaya untuk mengubah peran atau memberikan hak istimewa yang lebih tinggi, memungkinkan deteksi perubahan yang tidak sah sejak dini. Misalnya, jika penyerang mengakses akun yang telah dikompromikan dan mencoba memberikan hak administrasi pada dirinya sendiri, log ini akan merekam tindakan tersebut, memungkinkan tim keamanan untuk segera melakukan tindakan korektif. #2: Memantau Lalu Lintas Jaringan yang Tidak Normal Penyerang mungkin mencoba bergerak lateral di lingkungan cloud, mencari kerentanannya atau mengeksploitasi layanan cloud. Log jaringan, seperti VPC flow logs, mencatat informasi detail tentang lalu lintas jaringan yang masuk dan keluar. Log ini dapat mengungkapkan koneksi mencurigakan antar instansi cloud, transfer data yang tidak terduga, atau anomali lalu lintas yang dapat menunjukkan serangan yang sedang berlangsung. Misalnya, jika data dieksfiltrasi ke alamat IP eksternal, log aliran akan mendokumentasikan pola lalu lintas tersebut, memungkinkan deteksi tepat waktu. #3: Mengidentifikasi (dan Memperbaiki) Kesalahan Konfigurasi Kesalahan konfigurasi cloud dapat menyebabkan pelanggaran keamanan dan kebocoran data, menjadikan log spesifik layanan sangat penting untuk memantau perubahan konfigurasi dan mengidentifikasi potensi kerentanannya. Jika bucket S3 secara tidak sengaja dibuat publik atau aturan firewall dikonfigurasi secara salah untuk memungkinkan akses tak terbatas, log audit akan menangkap perubahan tersebut. #4: Mengkorelasikan Kejadian dari Berbagai Sumber dan Layanan Kekuatan sejati dari log cloud terungkap ketika log yang berbeda dikorelasikan untuk mengungkap gambaran lengkap tentang sebuah serangan. Misalnya, percakapan login yang mencurigakan yang tercatat di log manajemen dapat dikorelasikan dengan lalu lintas jaringan abnormal dari VPC flow logs, memberikan pemahaman yang lebih dalam tentang potensi ancaman. Log layanan yang berbeda juga dapat mengidentifikasi kejadian yang mungkin terlewatkan. Cara Mendapatkan Manfaat Maksimal dari Log Cloud Anda Lingkungan cloud modern menghasilkan sejumlah besar data log, menjadikan analisis menjadi tidak praktis, wawasan sulit ditemukan, kejadian sulit diprioritaskan, dan perbaikan sulit diatur. Berikut beberapa cara untuk memaksimalkan efektivitas log cloud Anda: Automasi Pemberitahuan: Atur pemberitahuan otomatis ketika log cloud menunjukkan pelanggaran potensial, seperti lonjakan lalu lintas jaringan mendadak atau eskalasi hak istimewa yang tidak sah. Manfaatkan Pembelajaran Mesin dan AI: Gunakan AI untuk mempercepat analisis log cloud, karena organisasi memproses volume data yang sangat besar setiap hari. Automasi Respons: Otomatiskan respons, seperti mencabut kredensial yang telah dikompromikan atau memblokir alamat IP berbahaya, untuk langsung dipicu dari analisis log, mempercepat penahanan serangan. Gabungkan Log dengan Perlindungan Beban Kerja Berbasis Sensor: Ini menambahkan lapisan real-time yang mengidentifikasi ancaman saat mereka terjadi, memberikan tim keamanan visibilitas penuh terhadap aktivitas yang sudah terjadi dan yang sedang berlangsung. Log Cloud Mendorong Deteksi dan Respons Cloud Log cloud sangat penting untuk mendukung kemampuan deteksi dan respons modern. Mereka memberikan visibilitas mendalam yang dibutuhkan untuk mendeteksi ancaman yang mungkin terlewatkan, merespons ancaman aktif dengan cepat, dan mengurangi potensi kerusakan. Dengan terus mengalirkan log cloud — bersama sinyal dari agen CrowdStrike Falcon® dan intelijen ancaman CrowdStrike — melalui platform Falcon yang terintegrasi, CrowdStrike Falcon® Cloud Security dapat mengkorelasikan kejadian yang tampaknya tidak terkait di seluruh lingkungan yang tersebar dan domain, sehingga organisasi dapat melindungi diri…
Month: December 2024
CrowdStrike Memperkenalkan Inovasi dan Kepemimpinan Keamanan Cloud di AWS re:Invent
Seiring dengan semakin cepatnya organisasi mengadopsi inovasi di cloud dan teknologi AI, keamanan beban kerja AI dan identitas menjadi semakin krusial. Konfigurasi yang salah, kerentanannya, dan ancaman berbasis identitas dapat mengekspos aset bernilai tinggi untuk dimanipulasi dan dieksploitasi. Bagi pelanggan AWS, meningkatkan keamanan cloud berarti membangun pengamanan yang tangguh yang melindungi inovasi tanpa mengorbankan kecepatan. Kecepatan sangat penting karena lawan semakin mempercepat operasinya. Laporan CrowdStrike 2024 Global Threat Report mengungkapkan bahwa rata-rata waktu breakout para penyerang — waktu yang dibutuhkan untuk berpindah dari host yang awalnya terkompromi ke host lain dalam lingkungan target — kini hanya 62 menit. Intrusi cloud melonjak 75% antara tahun 2022 dan 2023, yang mendorong kebutuhan untuk mengatasi tantangan umum seperti kurangnya visibilitas, beban kerja yang tidak terlindungi, dan respon terhadap ancaman yang terlambat. Sementara itu, organisasi menghadapi ancaman baru terhadap beban kerja dan model AI yang mendasari inovasi mereka. Gambar dan kontainer yang dideploy dengan kerentanannya dan konfigurasi yang salah bisa membahayakan infrastruktur kritis. Penyerang cepat memanfaatkan kelemahan ini untuk memanipulasi hasil, mencuri algoritma proprietari, atau bahkan memanfaatkan infrastruktur untuk tujuan jahat. Kebutuhan akan solusi keamanan cloud yang kuat, dapat dipercaya, dan komprehensif semakin mendesak. CrowdStrike dengan senang hati mengumumkan beberapa inovasi dan integrasi baru dengan AWS untuk memodernisasi keamanan cloud. Berikut ini adalah hal-hal yang dapat Anda pelajari lebih lanjut: Inovasi untuk melindungi beban kerja AI Integrasi dengan AWS untuk mengamankan kode sebelum deployment Bagaimana CrowdStrike meningkatkan deteksi dan respon cloud di AWS CrowdStrike dinobatkan sebagai Partner of the Year oleh AWS dalam beberapa kategori Melindungi Beban Kerja AI Saat organisasi berlomba-lomba mengadopsi cloud dan AI, tim keamanan berjuang untuk mengikuti perkembangan. Teknologi baru bisa menjadi tambang emas bagi penyerang, membuka jalur serangan baru yang bisa digunakan sebagai pijakan untuk mengakses infrastruktur kritis. Kemampuan baru CrowdStrike membantu organisasi mengamankan setiap tahap dari siklus hidup pengembangan perangkat lunak — dari pembangunan hingga runtime dan manajemen postur — untuk mengamankan penerapan AI dan melindungi data sensitif di AWS, sehingga mereka dapat berinovasi dengan tenang. Memperluas Dukungan untuk Amazon SageMaker Di Fal.Con 2024, kami mengumumkan fitur manajemen postur keamanan AI (AI-SPM) untuk mendeteksi konfigurasi yang salah dan risiko di berbagai platform seperti OpenAI, Amazon Bedrock, dan Vertex AI, membantu mencegah ancaman spesifik AI seperti pemalsuan atau peracunan model. Kini, kami dengan bangga mengumumkan dukungan tambahan untuk AWS SageMaker, layanan pembelajaran mesin (ML) yang sepenuhnya dikelola. Dengan Amazon SageMaker, ilmuwan data dan pengembang dapat dengan cepat membangun, melatih, dan menerapkan model ML ke dalam lingkungan yang siap diproduksi. Sekarang, dengan dukungan CrowdStrike untuk Amazon SageMaker, organisasi dapat membangun dan berinovasi dengan percaya diri di cloud. Memindai Gambar Kontainer AI CrowdStrike Falcon® Cloud Security kini memantau perilaku runtime model AI untuk mendeteksi dan merespons ancaman secara real-time. Dengan rilis baru ini, Falcon Cloud Security memperluas perlindungannya ke fase pembangunan, mencakup seluruh siklus hidup dari pembangunan hingga runtime dan manajemen postur. Falcon Cloud Security memindai kerentanannya dan konfigurasi yang salah, memungkinkan organisasi untuk mengamankan beban kerja AI sebelum deployment. Pendekatan ini membantu organisasi mengidentifikasi dan mengurangi risiko sejak dini, mencegah pelanggaran, dan memastikan penerapan beban kerja AI yang aman. Gambar 1: Dashboard Ikhtisar yang menampilkan risiko dan deteksi untuk Layanan AI Dengan inovasi-inovasi ini, CrowdStrike memberikan pendekatan proaktif dan terpadu dalam melindungi lingkungan cloud serta memberikan konteks lengkap yang diperlukan untuk tetap unggul dalam menghadapi ancaman yang muncul.