Isu Keamanan Jaringan Advanced Persisten
Net w ork Securit y Issue : Advanced Persist ent Threat
Pelanggaran keamanan informasi menyebabkan dat a yang hilang, kerusakan finasial suat u
perusahaan dan gangguan layanan. Peusahaaan menghadapi akt ivit as yang berbahaya yang
dit ujukan kepada mereka. Persoalan pada keamanan cyber t idak mengalami pengurangan, fakt anya
indust i dan vendor mengindikasikan serangan yang mengalami peningkat an. Cybercrime, hackt ivism ,
dan serangan t ingkat lanjut semuanya menjadi ancaman yang berkelanjut an bagi sist em jaringan
perusahaan. Beberapa kemajuan dalam pert ahanan melaw an serangan cyber t erus dibuat .
Pembobolan keamanan keamanan skala besar menjadi sorot an ancaman baru pada jaringan. APT
menjadi headline global, yang mencemaskan banyak perusahaan. RSA, Google, NASA dan
Pemerint ah Iran t elah mengalami pelanggaran keamanan besar disebabkan oleh APT, menunjukan
APT sangat efekt if pada kedua t arget jaringan perusahaan dan jaringan pemerint ah.
APT berbeda secara signifikan dari ancaman t radisional. APT sering dit ujukan unt uk
pencurian kekayaan int elekt ual sebagai gant i unt uk memperoleh kekayaan finansial. Definisi APT
menurut Nat ional Inst it ut e of St andard and Technology (NIST) adalah musuh yang memiliki keahlian
t ingkat t inggi dan sumber daya yang signifikan yang memungkinkan t ercipt anya peluang unt uk
t ercapainya t ujuan dengan menggunakan beberapa serangan. Tujuan-t ujuan t ersebut biasanya
t ermasuk membanguan dan memperluas pijakan dalam infrast rukt ur t eknologi informasi dari
organisasi yang dit arget kan unt uk keperluan perolehan informasi, merusak at au menghambat aspek
pent ing misi, dan program suat u organisasi. Definisi ini menyediakan basis yang baik unt uk
memahami perbedaan ant ara ancaman t radisional dan APT. Tujuan ut ama APT adalah memperoleh
informasi dari sist em, bisa berupa dat a riset , hak pat en perusahaan at au informasi pemerint ah dan
hal lain.
Ada beberapa kunci perbedaan ant ara APT dan serangan massa-pasar : APT t idak
memerlukan malw are unik, zero-day at au kode exploit unt uk berhasil. Bagaimanapun, arsit ekt ur APT
lebih mirip dengan adopsi aw al zero-day exploit , at au menggunakan t ools yang t idak populer dalam
seranganya selama exploit t ersebut menjadi kunci kelemahan t arget organisasi. Serangan massapasar sering melibat kan ancaman campuran yang menggunakan beberapa t ools, sepert i email
dengan link, yang menyebabakan websit e bert indak disebabkan oleh infeksi malw are.
Tabel berikut mengilust rasikan beberapa kesamaan lain dan perbedaan ant ara APT dan
serangan malw are massa-pasar
Sumber : Blue Coat Labs Report : Advanced Persist ent Threat
APT
secara
meningkat
dan
diam-diam,
sering
memiliki
kemampuan
unt uk
menyembunyikan dirinya bersama dengan t raffik jaringan perusahaan., berint eraksi cukup unt uk
memperoleh apa yang mereka but uhkan unt uk menyelesaikan pekerjaannya. Kemampuan ini unt uk
menyamarkan dirinya dan bisa digunakaan unt uk melemahkan percobaan professional keamanan
unt uk mengident ifikasi at au mengehent ikan serangan APT.
Set iap saat , APT disesuaikkan dengan t arget dan t ujuan serangan, dimana t erdapat
beberapa t ingkat an unt uk persiapan dan eksekusi serangan. Set elah dilakukannya riset yng it ensif
dan keberhasilan masuk dan penet rasi pada kunci sist em. Diperolehlah siklus hidup APT.
Bagaimanapun, sebagai indikasi pada diagram, pemant auan serangan yang dilakukan sangat t elit i,
mengindikasikan kebut uhan unt uk menginfeksi pada suat u sist em t ambahan at au mengikut i jalur
penet rasi baru unt uk mengancam sumberdaya baru. Sepert i penyusup, mereka memulai dengan
perencanaan t et api siap unt uk membuat dengan seadanya bedasarkan respon keamanan dan peluang yang
t ert ut up.
Siklus Hidup serangan APT
Salah sat u perbedaan besar ant ara APT dan serangan malw are massa-pasar t radisional adalah
dilakukan riset pada keduanya selama serangan. Organisasi dengan pendanaan yang baik dibalik APT
menghabiskan w akt u unt uk meriset t erhadap t arget nya yang spesifik. M ereka akan mencoba unt uk
memahami arsit ekt ur jaringan, sist em w arisan, aplikasi dan nomor versi, dan apapun yang mereka perlukan
unt uk digunakan. M ereka juga meriset rincian spesifik t ent ang budaya perusahaan at au t arget individu dalam
memperoleh akses lew at pesan palsu t ent ang kejadian di perusahaan at au menirukan t arget dengan rincian
lengkap email dan nomor t elpon unt uk menipu pengguna agar mengungkapkan informasi kunci.
Saat ini, banyak informasi yang mungkin t erungkap melalui beberpa pencarian google at au laman
facebook, t w eet dll. Perangkat penet rat ion t est ing dengan mudah t ersediabisa membant u mereka
menemukan banyak inform asi t ent ang jaringan dan sist em suat u orgnisasi. Dengan persiapan riset ini,
penyerang APT secara khas memulai beber apa perencanaan t ingkat lanjut unt uk set iap level serangan.
Tujuannya, mereka mengident ifikasi sist em dan orang-orang yang dekat dengan t ujuan mereka., dan
membangun sebuah pet a unt uk mengident ifikasi berbagai jalur yang memungkinkan mereka unt uk sukses.
M ereka mungkin menjelajah opsi social engineering , dan perangkat riset yang t ersedia unt uk membant u
menerobos masuk ke jaringan yang menjadi t ujuan. Fase riset juga t erlibat dalam pengembangan t ools yang
digunakan unt uk menyerang.
Serangan APT bisa berupa malw are umum, modul penet rat ion t est ing, perangkat lain yang sudah
dimodifikasi. Beberapa perangkat digunakan unt uk membuka kelemahan dan lainnya unt uk aspek spesifik
serangan level lanjut an.
Fase Entry
Pada fase masuk APT memperoleh basis pada jaringan mungkin menjadi demonst rasi pert ama
penyerang. M ereka akan mencoba sat u hal set elah yang lain sampai memperoleh akses. . mereka mungkin
mencoba beberapa met ode berkelanjut an unt uk it u, jika siapapun dari mereka t erdet eksi, mereka t et ap
berfokus kembali pada operasi. Para ahli meyakini bahw a spear phishing adalah salah sat u alat umum yang
digunakan selama serangan fase masuk. Secara khas, spear phishing mengubah email dengan lampiran
berbahaya
t ermasuk PDF yang berisi exploit . Tet api, t idak ada sat upun email at aupun lampiran yang
diperlukan. Unt uk melew at i pert ahanan ant ivirus email, pesan mungkin dikirim melalui w ebmail akun jejaring
sosial, dan lainnya. Dan daripada lampiran, link sederhanan ke file malw are pada layanan berbagi file publik
mungkin bisa menyelesaikan t ugas yang sam a. Tidak menjadi suat u hal yang mengejut kan bahw a jejaring
sosial juga menjadi kendaraan yang sangat
populer unt uk menperkenalkan serangan massa-pasar
sebagaim ana APT.
M et ode yang lain digunakan dalam percobaan unt uk mengambil basis jaringan, dengan remot e
akses dan kont rol dengan level yang lebih rendah. Remot e Access t ool (RAT) dit et apkan, secara relat if sebagai
alat umum penyerang APT akan berpengaruh pada t ujuannya. Saat RAT dit empat kan, penyerang bisa
menginfeksi plat form pada serangan di fase berikut nya.
Tanpa memperhat ikan aspek t eknis serangan, social engineering mejadi kunci at uran permainan.
Infromasi diperoleh sepanjang fase riset menjadi dasar unt uk menipu pengguna unt uk mengungkapkan kunci
akses jaringan. Dalam level aw al, APT mencoba unt uk menghindari peningglan jejak yang mungkin t erbuka
pada t ujuan dengan t ingkat yang lebih t inggi. M ungkin jalan t ermudah unt uk memperoleh ent ri jarigan adalah
membelinya dari seseorang yang sudah memperoleh akses sebagai bagian dari serangan massa-m arket .
Dimana oport unis serangan massa-pasar berhubungan dengan penyerang APT. Fakt anya, peret as menget ahui
t aw aran root akses pada server pemerint ah amerika serikat dan jaringan lain unt uk USD 49912 at au lebih
rendah.
Fase Penetrasi
Kesuksesan biasanya jarang t erjadi diaw al fase penet r asi, t api penyerang bisa memperoleh
informasi pent ing dari sist em yang t erancam. Pert ama, mereka biasanya menjelajah kebut uhan unt uk riset
yang lebih sebagai langkah aw al memperoleh informasi dari sist em yang t erinfeksi baik it u jaringan, pola t rafik,
kelemahan pot ensial server yang t erhubung dan yang lain. Kont rol jarak jauh t erhadap sist em yang erancam
bisa menghasilkan infrormasi yang berharga, t ermasuk ident it as pemilik dan t ingkat aksesnya. Salah sat u
penyerang memiliki informasi cukup dari sist em yang t erancam , mereka akan sabar berpindah meleat i jaringan
sampai menemukan t arget nya.
Fase Panen
Penyerang semakin dekat ke t ujuannya di fase panen. Ist ilah ‘panen’ merujuk pada fase ini. M ereka
mengumpulkan apa yang mereka bisa dan menunggu dengan sabar unt uk perubahan dan pert ukaran dat a
yang t ersedia. Ini menjelaskan bagaimana APT berbeda secara dramat is dengan malw are massa-pasar, yang
mana percobaan unt uk menggali banyak informasi sangat memungkinkan dengan cepat . APT cenderung
menet ap unt uk jangka w akt u yang lama dan didisain agar t idak t erdet eksi.
Strategi Pertahanan APT diperlukan unt uk mengantisipasi serangan
Pert ahanan melaw an serangan canggih ini memerlukan perencanaan st rat egi pert ahanan yang
baik. Pert am a, harus menget ahui bagaimanaa fungsi organisasi, komunikasi, menggunakan solusi keamanan
saat ini dan bagaimana cara memanfaat kan kemampuannya secara maksim al, juga harrus diient ifikasi
bagaimana penyerang bisa menggunakan dat a yang t ersimpan at au dipindahkan ke jaringan unt uk
menemukan t ujuan mereka.
Sejak serangan APT menerapkan alat umum dalam mengkoordinasi aksi sepanjang w akt u, hampir
t idak mungkin unt uk mengident ifikasi suat u insiden t unggal, t ermasuk penempat an penghalang spear phishing
sebagai gejala dari serangan APT yang lebih besar, t ap[i melalui infomrasi yang dihubungkan dari bermacam
sist em, secara khas menggunakan log files. Jejak akt ivit as APT mungkin bisa dit emukan pada w eb gat ew ay log
files dari proxy, gat ew ay ant ivirus, firew all, w eb filt er ,DNS, IPS/ IDS, dan solusi yang lain. Saat kamu
menet apkan garis basis pada akt ivit as t ert ent u, t im-mu dapat membangun sist em yang sensit if, jadi kamu
menget ahui kapan unt uk memeriksa log pada sist em yang lain unt uk t anda peringat an akt ivit as APT. Alat
pelaporan menghubungkan berbagai sist em membuat nya lebih mudah dalam menet apkan basis garis dan
mendisain laporan yang menyorot i akt ivit as mencurigakan. Sebagai cont oh, bot net conficker yang menjadi
permasalahan sangat besar dit ahun 2009 dan 2010, yang dit emukan saat beberapa orang mencat at akt ivit as
mencurigakan dalam log DNS-nya karena conficker menanyakan DNS unt uk ribuan alamat IP yang t idak ada
set iap hari.
Sejak sebagain besar m et ode dan alat serangan umum APT, pert ahananmu dimulai dengan st andar
aplikasi pert ahanan yang pant as. Tent u saja, hal t ersebut sangat mebant u jika kamu menggunakannya dengan
benar, dan jika mereka diper barui secara berkala. Yang lebih baik, t ermasuk layanan cloud jadi kamu t idak
membut uhkan unduh, pat ch at au perbaharuan. Ant ivirus unt uk t rafik HTTP, HTTPS, dan FTP menjadi bagian
st rat egi banyak endor sejak t ahun 2000. Bagaimanapun, saat ini banyak perusahaan t et ap bergant ung semat amat a pada poin akhir pada ant ivirus. M emberikan perkembangbikan layam an w ebmail, jejaring sosial dan
aplikasi w eb lain yang lebih rent an, ini menjadi suat u kekeliruan. M emiliki dua at au lebih vendor dengan
perbedaan pendekat an unt uk analisis t ingkah laku dan heur ist ik akan menambah kesempat anmu lebih akt if
medet eksi jenis-jenis malw are, t erm asuk yang digunakan pada APT ini.
Indust ri pemfilt eran w eb bergeser dari pendekat an pemghalangan ut ama kont en porno ke garis
depan pert ahanan gerbang jalan malw are 7-8 t ahun yang lalu. Dit ambah, beberapa kualit as filt eran w eb saat
ini t ermasuk kat egori t erpisah unt uk mengident ifikasikan t rasmisi keluar yang bisa mengindikasikan ancaman
pada sist em sejak aw al fase masuk sebelum APT secara efekt if menerobos jaringan. Exploit yang mengambil
keunt ungan kerent anan sist em menjadi t opik umum dalam beberapa t ahun t erakhir yang bergeser dari sist em
operasi ke aplikasi populer. t erut ama Penyerang APT yang ahli dalam mengeksploit asi kerent anan, jadi
mendekat kan jarak yang menjadi priorit as ut ama pada IT.
Lebih jauh, orang dalam yang jauh lebih berbahaya adalah pegaw ai yang menyediakan informasi
unt uk penyerang dengan maksud unt uk menyerangorganisasi t ersebut . Kebanyakan pengguna t idak
menyadari resiko keamanan dengan ket idak pedulian perilaku yang bisa mengancam keamanan dat a
perusahaan, dan kedua APT dan serangan M assa-pasar malw are rut in mengeeksploit kesalahan ini. It ulah
mengapa dibut uhkan pelat ihan keamanan pengguna akhir yang bisa mengurangi secara signif ikan bembobolan
keamanan jejaring sosial. Pelat ihan keamanan bisa juga berkoordinasi ant ar grup yang saling berbagi
peminat an. Diluar edukasi pengguna, IT juga harus mempert im abngkan pencabut an beberapa hak-hak
ist imew a. Sebagai cont oh, IT bisa mencegah penggunaan RAT dari Webmail ke pengiriman dat a file melalui
penghalangan lampiran.
Pada sis jaringan, IT seharusnya mengidet ifikasi informasi dan sumberdaya yang
mungkin menjadi t arget APT. hal it u juga pent ing unt uk mengident ifikasi yang mana pengguna yang memiliki
akses le sumberdaya t ersebut , dan yang m ana mereka yang t idak memperoleh akses t ersebut .
Pertahanan Berlapis
Dengan M emahami definisi APT, sangat memungkinkan unt uk mengevaluasi solusi yang ada unt uk
kemampuanya unt uk bert ahan melaw an berbagai macam at at penyerang yang mungkin digunakan diset iap
level. Yang mana banyak vendor keamanan yang menaw arkan diri sebagai solusi melaw an APT. Dengan APT
yang semakin meningkat , pemerint ah dan indust ri dimanapun membut uhkan st rat egi dan solusi yang benar
unt k mempert ahankan dirinya. Pemahana yang t elit i t ent ang bagaimana APT beroperasi dan bagaim an mereka
bisa mengeksploit asi sosial, fisik dan kerent anan jaringan di organisasi sebagai langkah aw alyang krusial unt uk
penempat an serangan APT, t erlalu sering organisasi gagal unt uk mengenal serangan APT yang meningkat kan
karena kurangnya kemampuan unt uk korelasi kejadian yang t erisolasi. M empelajari bagaiman membuat log
file dan alat pelaporan bisa meningkat kan kesadaran akan APT, t api memperkuat pert ahanan akt if t erhadap
APT bisa menjadi lebih kompleks. Karena w eb saat ini mendominasi komunikasi global, organisasi IT yagn
besar membut uhkan pendekat an keamanan yang komprehensive. Lapisan keamanan bekerja melalui
pengant aran komprehensif gat ew ay dan perlindungan berbasis jaringan, solusi kont rol dan pemant auan,
sebaik kecerdasan w akt u nyat a yang t idak memerlukan pat ch dan pembaharuan. Sebagai hasilnya, kesuksesan
st rat egi pengamanan APT mengurangi akt ivit as mencurigakan pada set iap level
siklus hidup APT,
mengident ifikasi dan korelasi jejak yang mencurigakan dan mengakt if kan IT unt uk menignkat kan kebijakan
keamanan secara berkelanjut an.
Sumber
Blue Coat Labs Report : Advanced Persist ent Threat
ISACA : Advanced Persist ent Threat Aw areness
Fireeye Advanced Threat Report : 2013
Pelanggaran keamanan informasi menyebabkan dat a yang hilang, kerusakan finasial suat u
perusahaan dan gangguan layanan. Peusahaaan menghadapi akt ivit as yang berbahaya yang
dit ujukan kepada mereka. Persoalan pada keamanan cyber t idak mengalami pengurangan, fakt anya
indust i dan vendor mengindikasikan serangan yang mengalami peningkat an. Cybercrime, hackt ivism ,
dan serangan t ingkat lanjut semuanya menjadi ancaman yang berkelanjut an bagi sist em jaringan
perusahaan. Beberapa kemajuan dalam pert ahanan melaw an serangan cyber t erus dibuat .
Pembobolan keamanan keamanan skala besar menjadi sorot an ancaman baru pada jaringan. APT
menjadi headline global, yang mencemaskan banyak perusahaan. RSA, Google, NASA dan
Pemerint ah Iran t elah mengalami pelanggaran keamanan besar disebabkan oleh APT, menunjukan
APT sangat efekt if pada kedua t arget jaringan perusahaan dan jaringan pemerint ah.
APT berbeda secara signifikan dari ancaman t radisional. APT sering dit ujukan unt uk
pencurian kekayaan int elekt ual sebagai gant i unt uk memperoleh kekayaan finansial. Definisi APT
menurut Nat ional Inst it ut e of St andard and Technology (NIST) adalah musuh yang memiliki keahlian
t ingkat t inggi dan sumber daya yang signifikan yang memungkinkan t ercipt anya peluang unt uk
t ercapainya t ujuan dengan menggunakan beberapa serangan. Tujuan-t ujuan t ersebut biasanya
t ermasuk membanguan dan memperluas pijakan dalam infrast rukt ur t eknologi informasi dari
organisasi yang dit arget kan unt uk keperluan perolehan informasi, merusak at au menghambat aspek
pent ing misi, dan program suat u organisasi. Definisi ini menyediakan basis yang baik unt uk
memahami perbedaan ant ara ancaman t radisional dan APT. Tujuan ut ama APT adalah memperoleh
informasi dari sist em, bisa berupa dat a riset , hak pat en perusahaan at au informasi pemerint ah dan
hal lain.
Ada beberapa kunci perbedaan ant ara APT dan serangan massa-pasar : APT t idak
memerlukan malw are unik, zero-day at au kode exploit unt uk berhasil. Bagaimanapun, arsit ekt ur APT
lebih mirip dengan adopsi aw al zero-day exploit , at au menggunakan t ools yang t idak populer dalam
seranganya selama exploit t ersebut menjadi kunci kelemahan t arget organisasi. Serangan massapasar sering melibat kan ancaman campuran yang menggunakan beberapa t ools, sepert i email
dengan link, yang menyebabakan websit e bert indak disebabkan oleh infeksi malw are.
Tabel berikut mengilust rasikan beberapa kesamaan lain dan perbedaan ant ara APT dan
serangan malw are massa-pasar
Sumber : Blue Coat Labs Report : Advanced Persist ent Threat
APT
secara
meningkat
dan
diam-diam,
sering
memiliki
kemampuan
unt uk
menyembunyikan dirinya bersama dengan t raffik jaringan perusahaan., berint eraksi cukup unt uk
memperoleh apa yang mereka but uhkan unt uk menyelesaikan pekerjaannya. Kemampuan ini unt uk
menyamarkan dirinya dan bisa digunakaan unt uk melemahkan percobaan professional keamanan
unt uk mengident ifikasi at au mengehent ikan serangan APT.
Set iap saat , APT disesuaikkan dengan t arget dan t ujuan serangan, dimana t erdapat
beberapa t ingkat an unt uk persiapan dan eksekusi serangan. Set elah dilakukannya riset yng it ensif
dan keberhasilan masuk dan penet rasi pada kunci sist em. Diperolehlah siklus hidup APT.
Bagaimanapun, sebagai indikasi pada diagram, pemant auan serangan yang dilakukan sangat t elit i,
mengindikasikan kebut uhan unt uk menginfeksi pada suat u sist em t ambahan at au mengikut i jalur
penet rasi baru unt uk mengancam sumberdaya baru. Sepert i penyusup, mereka memulai dengan
perencanaan t et api siap unt uk membuat dengan seadanya bedasarkan respon keamanan dan peluang yang
t ert ut up.
Siklus Hidup serangan APT
Salah sat u perbedaan besar ant ara APT dan serangan malw are massa-pasar t radisional adalah
dilakukan riset pada keduanya selama serangan. Organisasi dengan pendanaan yang baik dibalik APT
menghabiskan w akt u unt uk meriset t erhadap t arget nya yang spesifik. M ereka akan mencoba unt uk
memahami arsit ekt ur jaringan, sist em w arisan, aplikasi dan nomor versi, dan apapun yang mereka perlukan
unt uk digunakan. M ereka juga meriset rincian spesifik t ent ang budaya perusahaan at au t arget individu dalam
memperoleh akses lew at pesan palsu t ent ang kejadian di perusahaan at au menirukan t arget dengan rincian
lengkap email dan nomor t elpon unt uk menipu pengguna agar mengungkapkan informasi kunci.
Saat ini, banyak informasi yang mungkin t erungkap melalui beberpa pencarian google at au laman
facebook, t w eet dll. Perangkat penet rat ion t est ing dengan mudah t ersediabisa membant u mereka
menemukan banyak inform asi t ent ang jaringan dan sist em suat u orgnisasi. Dengan persiapan riset ini,
penyerang APT secara khas memulai beber apa perencanaan t ingkat lanjut unt uk set iap level serangan.
Tujuannya, mereka mengident ifikasi sist em dan orang-orang yang dekat dengan t ujuan mereka., dan
membangun sebuah pet a unt uk mengident ifikasi berbagai jalur yang memungkinkan mereka unt uk sukses.
M ereka mungkin menjelajah opsi social engineering , dan perangkat riset yang t ersedia unt uk membant u
menerobos masuk ke jaringan yang menjadi t ujuan. Fase riset juga t erlibat dalam pengembangan t ools yang
digunakan unt uk menyerang.
Serangan APT bisa berupa malw are umum, modul penet rat ion t est ing, perangkat lain yang sudah
dimodifikasi. Beberapa perangkat digunakan unt uk membuka kelemahan dan lainnya unt uk aspek spesifik
serangan level lanjut an.
Fase Entry
Pada fase masuk APT memperoleh basis pada jaringan mungkin menjadi demonst rasi pert ama
penyerang. M ereka akan mencoba sat u hal set elah yang lain sampai memperoleh akses. . mereka mungkin
mencoba beberapa met ode berkelanjut an unt uk it u, jika siapapun dari mereka t erdet eksi, mereka t et ap
berfokus kembali pada operasi. Para ahli meyakini bahw a spear phishing adalah salah sat u alat umum yang
digunakan selama serangan fase masuk. Secara khas, spear phishing mengubah email dengan lampiran
berbahaya
t ermasuk PDF yang berisi exploit . Tet api, t idak ada sat upun email at aupun lampiran yang
diperlukan. Unt uk melew at i pert ahanan ant ivirus email, pesan mungkin dikirim melalui w ebmail akun jejaring
sosial, dan lainnya. Dan daripada lampiran, link sederhanan ke file malw are pada layanan berbagi file publik
mungkin bisa menyelesaikan t ugas yang sam a. Tidak menjadi suat u hal yang mengejut kan bahw a jejaring
sosial juga menjadi kendaraan yang sangat
populer unt uk menperkenalkan serangan massa-pasar
sebagaim ana APT.
M et ode yang lain digunakan dalam percobaan unt uk mengambil basis jaringan, dengan remot e
akses dan kont rol dengan level yang lebih rendah. Remot e Access t ool (RAT) dit et apkan, secara relat if sebagai
alat umum penyerang APT akan berpengaruh pada t ujuannya. Saat RAT dit empat kan, penyerang bisa
menginfeksi plat form pada serangan di fase berikut nya.
Tanpa memperhat ikan aspek t eknis serangan, social engineering mejadi kunci at uran permainan.
Infromasi diperoleh sepanjang fase riset menjadi dasar unt uk menipu pengguna unt uk mengungkapkan kunci
akses jaringan. Dalam level aw al, APT mencoba unt uk menghindari peningglan jejak yang mungkin t erbuka
pada t ujuan dengan t ingkat yang lebih t inggi. M ungkin jalan t ermudah unt uk memperoleh ent ri jarigan adalah
membelinya dari seseorang yang sudah memperoleh akses sebagai bagian dari serangan massa-m arket .
Dimana oport unis serangan massa-pasar berhubungan dengan penyerang APT. Fakt anya, peret as menget ahui
t aw aran root akses pada server pemerint ah amerika serikat dan jaringan lain unt uk USD 49912 at au lebih
rendah.
Fase Penetrasi
Kesuksesan biasanya jarang t erjadi diaw al fase penet r asi, t api penyerang bisa memperoleh
informasi pent ing dari sist em yang t erancam. Pert ama, mereka biasanya menjelajah kebut uhan unt uk riset
yang lebih sebagai langkah aw al memperoleh informasi dari sist em yang t erinfeksi baik it u jaringan, pola t rafik,
kelemahan pot ensial server yang t erhubung dan yang lain. Kont rol jarak jauh t erhadap sist em yang erancam
bisa menghasilkan infrormasi yang berharga, t ermasuk ident it as pemilik dan t ingkat aksesnya. Salah sat u
penyerang memiliki informasi cukup dari sist em yang t erancam , mereka akan sabar berpindah meleat i jaringan
sampai menemukan t arget nya.
Fase Panen
Penyerang semakin dekat ke t ujuannya di fase panen. Ist ilah ‘panen’ merujuk pada fase ini. M ereka
mengumpulkan apa yang mereka bisa dan menunggu dengan sabar unt uk perubahan dan pert ukaran dat a
yang t ersedia. Ini menjelaskan bagaimana APT berbeda secara dramat is dengan malw are massa-pasar, yang
mana percobaan unt uk menggali banyak informasi sangat memungkinkan dengan cepat . APT cenderung
menet ap unt uk jangka w akt u yang lama dan didisain agar t idak t erdet eksi.
Strategi Pertahanan APT diperlukan unt uk mengantisipasi serangan
Pert ahanan melaw an serangan canggih ini memerlukan perencanaan st rat egi pert ahanan yang
baik. Pert am a, harus menget ahui bagaimanaa fungsi organisasi, komunikasi, menggunakan solusi keamanan
saat ini dan bagaimana cara memanfaat kan kemampuannya secara maksim al, juga harrus diient ifikasi
bagaimana penyerang bisa menggunakan dat a yang t ersimpan at au dipindahkan ke jaringan unt uk
menemukan t ujuan mereka.
Sejak serangan APT menerapkan alat umum dalam mengkoordinasi aksi sepanjang w akt u, hampir
t idak mungkin unt uk mengident ifikasi suat u insiden t unggal, t ermasuk penempat an penghalang spear phishing
sebagai gejala dari serangan APT yang lebih besar, t ap[i melalui infomrasi yang dihubungkan dari bermacam
sist em, secara khas menggunakan log files. Jejak akt ivit as APT mungkin bisa dit emukan pada w eb gat ew ay log
files dari proxy, gat ew ay ant ivirus, firew all, w eb filt er ,DNS, IPS/ IDS, dan solusi yang lain. Saat kamu
menet apkan garis basis pada akt ivit as t ert ent u, t im-mu dapat membangun sist em yang sensit if, jadi kamu
menget ahui kapan unt uk memeriksa log pada sist em yang lain unt uk t anda peringat an akt ivit as APT. Alat
pelaporan menghubungkan berbagai sist em membuat nya lebih mudah dalam menet apkan basis garis dan
mendisain laporan yang menyorot i akt ivit as mencurigakan. Sebagai cont oh, bot net conficker yang menjadi
permasalahan sangat besar dit ahun 2009 dan 2010, yang dit emukan saat beberapa orang mencat at akt ivit as
mencurigakan dalam log DNS-nya karena conficker menanyakan DNS unt uk ribuan alamat IP yang t idak ada
set iap hari.
Sejak sebagain besar m et ode dan alat serangan umum APT, pert ahananmu dimulai dengan st andar
aplikasi pert ahanan yang pant as. Tent u saja, hal t ersebut sangat mebant u jika kamu menggunakannya dengan
benar, dan jika mereka diper barui secara berkala. Yang lebih baik, t ermasuk layanan cloud jadi kamu t idak
membut uhkan unduh, pat ch at au perbaharuan. Ant ivirus unt uk t rafik HTTP, HTTPS, dan FTP menjadi bagian
st rat egi banyak endor sejak t ahun 2000. Bagaimanapun, saat ini banyak perusahaan t et ap bergant ung semat amat a pada poin akhir pada ant ivirus. M emberikan perkembangbikan layam an w ebmail, jejaring sosial dan
aplikasi w eb lain yang lebih rent an, ini menjadi suat u kekeliruan. M emiliki dua at au lebih vendor dengan
perbedaan pendekat an unt uk analisis t ingkah laku dan heur ist ik akan menambah kesempat anmu lebih akt if
medet eksi jenis-jenis malw are, t erm asuk yang digunakan pada APT ini.
Indust ri pemfilt eran w eb bergeser dari pendekat an pemghalangan ut ama kont en porno ke garis
depan pert ahanan gerbang jalan malw are 7-8 t ahun yang lalu. Dit ambah, beberapa kualit as filt eran w eb saat
ini t ermasuk kat egori t erpisah unt uk mengident ifikasikan t rasmisi keluar yang bisa mengindikasikan ancaman
pada sist em sejak aw al fase masuk sebelum APT secara efekt if menerobos jaringan. Exploit yang mengambil
keunt ungan kerent anan sist em menjadi t opik umum dalam beberapa t ahun t erakhir yang bergeser dari sist em
operasi ke aplikasi populer. t erut ama Penyerang APT yang ahli dalam mengeksploit asi kerent anan, jadi
mendekat kan jarak yang menjadi priorit as ut ama pada IT.
Lebih jauh, orang dalam yang jauh lebih berbahaya adalah pegaw ai yang menyediakan informasi
unt uk penyerang dengan maksud unt uk menyerangorganisasi t ersebut . Kebanyakan pengguna t idak
menyadari resiko keamanan dengan ket idak pedulian perilaku yang bisa mengancam keamanan dat a
perusahaan, dan kedua APT dan serangan M assa-pasar malw are rut in mengeeksploit kesalahan ini. It ulah
mengapa dibut uhkan pelat ihan keamanan pengguna akhir yang bisa mengurangi secara signif ikan bembobolan
keamanan jejaring sosial. Pelat ihan keamanan bisa juga berkoordinasi ant ar grup yang saling berbagi
peminat an. Diluar edukasi pengguna, IT juga harus mempert im abngkan pencabut an beberapa hak-hak
ist imew a. Sebagai cont oh, IT bisa mencegah penggunaan RAT dari Webmail ke pengiriman dat a file melalui
penghalangan lampiran.
Pada sis jaringan, IT seharusnya mengidet ifikasi informasi dan sumberdaya yang
mungkin menjadi t arget APT. hal it u juga pent ing unt uk mengident ifikasi yang mana pengguna yang memiliki
akses le sumberdaya t ersebut , dan yang m ana mereka yang t idak memperoleh akses t ersebut .
Pertahanan Berlapis
Dengan M emahami definisi APT, sangat memungkinkan unt uk mengevaluasi solusi yang ada unt uk
kemampuanya unt uk bert ahan melaw an berbagai macam at at penyerang yang mungkin digunakan diset iap
level. Yang mana banyak vendor keamanan yang menaw arkan diri sebagai solusi melaw an APT. Dengan APT
yang semakin meningkat , pemerint ah dan indust ri dimanapun membut uhkan st rat egi dan solusi yang benar
unt k mempert ahankan dirinya. Pemahana yang t elit i t ent ang bagaimana APT beroperasi dan bagaim an mereka
bisa mengeksploit asi sosial, fisik dan kerent anan jaringan di organisasi sebagai langkah aw alyang krusial unt uk
penempat an serangan APT, t erlalu sering organisasi gagal unt uk mengenal serangan APT yang meningkat kan
karena kurangnya kemampuan unt uk korelasi kejadian yang t erisolasi. M empelajari bagaiman membuat log
file dan alat pelaporan bisa meningkat kan kesadaran akan APT, t api memperkuat pert ahanan akt if t erhadap
APT bisa menjadi lebih kompleks. Karena w eb saat ini mendominasi komunikasi global, organisasi IT yagn
besar membut uhkan pendekat an keamanan yang komprehensive. Lapisan keamanan bekerja melalui
pengant aran komprehensif gat ew ay dan perlindungan berbasis jaringan, solusi kont rol dan pemant auan,
sebaik kecerdasan w akt u nyat a yang t idak memerlukan pat ch dan pembaharuan. Sebagai hasilnya, kesuksesan
st rat egi pengamanan APT mengurangi akt ivit as mencurigakan pada set iap level
siklus hidup APT,
mengident ifikasi dan korelasi jejak yang mencurigakan dan mengakt if kan IT unt uk menignkat kan kebijakan
keamanan secara berkelanjut an.
Sumber
Blue Coat Labs Report : Advanced Persist ent Threat
ISACA : Advanced Persist ent Threat Aw areness
Fireeye Advanced Threat Report : 2013