Haruskah Anda membayar penyerang Ransomware? Microsoft mengatakan tidak

Ransomware mempengaruhi pengguna PC besar dan kecil, dengan sejumlah kota baru-baru ini sangat terpukul dan lumpuh selama berminggu-minggu oleh perangkat lunak yang mengenkripsi data mereka dan meminta pembayaran untuk membuat infrastruktur komputasi berfungsi kembali. Ransomware sering menargetkan sistem cadangan juga, sehingga tidak mungkin untuk memulihkan ke cadangan yang dikenal baik.

Ketika dihadapkan dengan permintaan tebusan dan dengan infrastruktur kritis dan fungsi administrasi ratusan ribu orang yang tidak mampu, banyak kota telah tergoda untuk membayar uang tebusan, dan beberapa bahkan menyerah.

Namun Microsoft jelas dalam saran mereka untuk tidak pernah menyerah pada teroris:

Kami tidak pernah mendorong korban ransomware untuk membayar segala bentuk permintaan tebusan. Membayar uang tebusan seringkali mahal, berbahaya, dan hanya mengisi bahan bakar kapasitas penyerang untuk melanjutkan operasi mereka; intinya, ini sama dengan tepukan pepatah di punggung untuk penyerang. Hal terpenting yang perlu diperhatikan adalah membayar penjahat dunia maya untuk mendapatkan kunci dekripsi ransomware tidak memberikan jaminan bahwa data terenkripsi Anda akan dipulihkan.

Sayangnya, Microsoft tidak memperluas apa yang harus dilakukan, melainkan menyarankan bahwa mencegah lebih baik daripada mengobati, dengan mengatakan:

… setiap organisasi harus memperlakukan insiden keamanan siber sebagai masalah kapan itu akan terjadi dan bukan apakah itu akan terjadi. Memiliki pola pikir ini membantu organisasi bereaksi dengan cepat dan efektif terhadap insiden seperti itu ketika itu terjadi.

Microsoft menyarankan strategi berikut:

1. Gunakan solusi penyaringan email yang efektif

Menurut Laporan Intelijen Keamanan Microsoft Volume 24 tahun 2018, email spam dan phishing masih merupakan metode pengiriman yang paling umum untuk infeksi ransomware. Untuk menghentikan ransomware secara efektif di titik masuknya, setiap organisasi perlu mengadopsi layanan keamanan email yang memastikan semua konten email dan header yang masuk dan keluar organisasi dipindai dari spam, virus, dan ancaman malware tingkat lanjut lainnya. Dengan mengadopsi solusi perlindungan email tingkat perusahaan, sebagian besar ancaman keamanan siber terhadap organisasi akan diblokir saat masuk dan keluar.

2. Penambalan sistem perangkat keras dan perangkat lunak secara teratur dan manajemen kerentanan yang efektif

Banyak organisasi masih gagal mengadopsi salah satu rekomendasi keamanan siber kuno dan pertahanan penting terhadap serangan keamanan siber—menerapkan pembaruan dan tambalan keamanan segera setelah vendor perangkat lunak merilisnya. Contoh yang menonjol dari kegagalan ini adalah peristiwa ransomware WannaCry pada tahun 2017, salah satu serangan keamanan siber global terbesar dalam sejarah internet, yang menggunakan kerentanan bocor di protokol Server Message Block (SMB) jaringan Windows, di mana Microsoft telah merilis patch hampir dua bulan sebelum insiden dipublikasikan pertama. Patching reguler dan program manajemen kerentanan yang efektif adalah langkah penting untuk mempertahankan diri dari ransomware dan bentuk malware lainnya dan merupakan langkah ke arah yang benar untuk memastikan setiap organisasi tidak menjadi korban ransomware.

3. Gunakan antivirus terbaru dan solusi endpoint detection and response (EDR)

Meskipun memiliki solusi antivirus saja tidak menjamin perlindungan yang memadai terhadap virus dan ancaman komputer tingkat lanjut lainnya, sangat penting untuk memastikan solusi antivirus selalu diperbarui dengan vendor perangkat lunak mereka. Penyerang berinvestasi besar-besaran dalam pembuatan virus dan eksploitasi baru, sementara vendor dibiarkan mengejar ketinggalan dengan merilis pembaruan harian ke mesin basis data antivirus mereka. Pelengkap untuk memiliki dan memperbarui solusi antivirus adalah penggunaan solusi EDR yang mengumpulkan dan menyimpan data dalam jumlah besar dari titik akhir dan menyediakan pemantauan dan visibilitas tingkat file berbasis host secara real-time ke sistem. Kumpulan data dan peringatan yang dihasilkan oleh solusi ini dapat membantu menghentikan ancaman tingkat lanjut dan sering kali dimanfaatkan untuk merespons insiden keamanan.

4. Pisahkan kredensial administratif dan hak istimewa dari kredensial standar

Bekerja sebagai konsultan keamanan siber, salah satu rekomendasi pertama yang biasanya saya berikan kepada pelanggan adalah memisahkan akun administratif sistem mereka dari akun pengguna standar mereka dan memastikan akun administratif tersebut tidak dapat digunakan di banyak sistem. Memisahkan akun istimewa ini tidak hanya menegakkan kontrol akses yang tepat tetapi juga memastikan bahwa kompromi satu akun tidak mengarah pada kompromi seluruh infrastruktur TI. Selain itu, menggunakan solusi Multi-Factor Authentication (MFA), Privileged Identity Management (PIM), dan Privileged Access Management (PAM) adalah cara untuk memerangi penyalahgunaan akun yang diistimewakan secara efektif dan cara strategis untuk mengurangi permukaan serangan kredensial.

5. Menerapkan program daftar putih aplikasi yang efektif

Ini sangat penting sebagai bagian dari strategi pencegahan ransomware untuk membatasi aplikasi yang dapat berjalan dalam infrastruktur TI. Daftar putih aplikasi memastikan hanya aplikasi yang telah diuji dan disetujui oleh organisasi yang dapat berjalan pada sistem di dalam infrastruktur. Meskipun hal ini dapat membosankan dan menghadirkan beberapa tantangan administratif TI, strategi ini telah terbukti efektif.

6. Cadangkan sistem dan file penting secara teratur

Kemampuan untuk memulihkan ke keadaan baik yang diketahui adalah strategi paling kritis dari setiap rencana insiden keamanan informasi, terutama ransomware. Oleh karena itu, untuk memastikan keberhasilan proses ini, organisasi harus memvalidasi bahwa semua sistem, aplikasi, dan file penting dicadangkan secara teratur dan bahwa cadangan tersebut diuji secara teratur untuk memastikan dapat dipulihkan. Ransomware diketahui mengenkripsi atau menghancurkan file apa pun yang ditemukannya, dan sering kali membuatnya tidak dapat dipulihkan; akibatnya, sangat penting bahwa semua file yang terpengaruh dapat dengan mudah dipulihkan dari cadangan yang baik yang disimpan di lokasi sekunder yang tidak terpengaruh oleh serangan ransomware.

Microsoft juga menawarkan alat untuk mensimulasikan serangan ransomware.  Microsoft Secure Score membantu organisasi menentukan kontrol mana yang diaktifkan untuk membantu melindungi pengguna, data, dan perangkat. Ini juga akan memungkinkan organisasi untuk membandingkan skor mereka dengan profil serupa menggunakan pembelajaran mesin bawaan sambil Serangan Simulator memungkinkan tim keamanan perusahaan menjalankan serangan simulasi termasuk ransomware tiruan dan kampanye phishing. Ini akan membantu mereka dalam mempelajari tanggapan karyawan mereka dan menyesuaikan pengaturan keamanan.

Microsoft tentu saja juga menawarkan alat pencadangan cloud yang dirancang untuk mendeteksi manipulasi massal data pengguna dan menghentikannya.

Baca lebih lanjut di Blog Tim Deteksi dan Respons Microsoft di sini.