BeritaKini.biz Berita Viral Terkini di Malaysia
Memandangkan penggodaman telah menjadi lebih merosakkan dan meluas, jenis alat yang berkuasa daripada syarikat termasuk CrowdStrike Holdings Inc dan Microsoft Corp telah menjadi rahmat untuk industri keselamatan siber.
Dipanggil perisian pengesanan dan tindak balas titik akhir, ia direka untuk mengesan tanda awal aktiviti berniat jahat pada komputer riba, pelayan dan peranti lain – “titik akhir” pada rangkaian komputer – dan menyekatnya sebelum penceroboh boleh mencuri data atau mengunci mesin.
Tetapi pakar mengatakan bahawa penggodam telah membangunkan penyelesaian untuk beberapa bentuk teknologi, membolehkan mereka melepasi produk yang telah menjadi standard emas untuk melindungi sistem kritikal.
Sebagai contoh, dalam dua tahun yang lalu, Mandiant, yang merupakan sebahagian daripada bahagian Google Cloud Alphabet Inc, telah menyiasat 84 pelanggaran di mana EDR atau perisian keselamatan titik akhir lain telah diganggu atau dilumpuhkan, kata Tyler McLellan, penganalisis ancaman utama dengan syarikat itu.
Penemuan itu mewakili evolusi terbaharu permainan kucing-dan-tikus yang dimainkan selama beberapa dekad, kerana penggodam menyesuaikan teknik mereka untuk mengatasi perlindungan keselamatan siber terbaharu, menurut Mark Curphey, yang memegang peranan kanan di McAfee dan Microsoft dan kini adalah keselamatan siber usahawan di UK.
“Menggodam alatan perlindungan keselamatan bukanlah perkara baharu,” katanya, sambil menambah bahawa “hadiahnya, jika berjaya, ialah akses kepada semua sistem yang menggunakannya, mengikut definisi sistem yang patut dilindungi”.
Penyiasat daripada berbilang firma keselamatan siber berkata bilangan serangan di mana EDR dilumpuhkan atau dipintas adalah kecil tetapi semakin meningkat, dan penggodam semakin bijak dalam mencari cara untuk memintas perlindungan yang lebih kukuh yang disediakannya.
Microsoft pada Disember mendedahkan dalam catatan blog bahawa penggodam menipu syarikat untuk menggunakan meterai ketulenannya kepada perisian hasad, yang kemudiannya digunakan untuk melumpuhkan EDR syarikat dan alat keselamatan lain pada rangkaian mangsa. Microsoft menggantung akaun pembangun pihak ketiga yang terlibat dalam muslihat itu dan berkata syarikat itu “mengusahakan penyelesaian jangka panjang untuk menangani amalan menipu ini dan mencegah kesan pelanggan pada masa hadapan”.
Pada bulan Februari, Arctic Wolf Networks memperincikan kes yang disiasat lewat tahun lepas di mana penggodam dari kumpulan perisian tebusan Lorenz pada mulanya dihalang oleh EDR mangsa. Penggodam itu mengumpulkan semula dan menggunakan alat forensik digital percuma yang membolehkan mereka mengakses memori komputer secara terus dan menggunakan perisian tebusan mereka dengan jayanya, memintas EDR, kata syarikat itu. Arctic Wolf tidak mengenal pasti mangsa atau EDR yang terjejas.
Dan pada bulan April, Kumpulan Sophos mendedahkan sekeping perisian hasad baharu yang ditemui firma berpangkalan di UK yang telah digunakan untuk melumpuhkan alatan EDR daripada Microsoft, Sophos sendiri dan beberapa syarikat lain sebelum menggunakan perisian tebusan Lockbit dan Medusa Locker.
“Pintas EDR dan melumpuhkan perisian keselamatan jelas merupakan taktik yang semakin meningkat,” kata Christopher Budd, pengurus kanan penyelidikan ancaman. “Oleh kerana sifat serangan seperti ini, ia amat sukar untuk dikesan kerana ia menyasarkan alat yang mengesan dan mencegah serangan siber.”
Pasaran untuk EDR dan teknologi keselamatan titik akhir baharu yang lain meningkat 27% untuk mencecah AS$8.6 bilion (RM38.38 bilion) secara global tahun lepas, diterajui oleh CrowdStrike dan Microsoft, menurut IDC.
Adam Meyers, naib presiden kanan perisikan CrowdStrike, berkata peningkatan jumlah serangan terhadap perisian EDR menunjukkan bahawa penggodam “telah berkembang”. Banyak serangan yang telah dijejaki CrowdStrike – terhadap produknya dan yang ditawarkan oleh pesaing – melibatkan salah konfigurasi sistem pelanggan atau kelemahan jauh dalam perisian atau perisian tegar, tanda bahawa penggodam perlu bekerja lebih keras untuk masuk ke rangkaian sasaran, katanya.
“Ini adalah perlumbaan ke bahagian bawah timbunan,” kata Meyers. “Kami cuba untuk pergi lebih rendah dan lebih rendah dan lebih dekat dan lebih dekat dengan perkakasan, dan semakin dekat anda dengan perkakasan semakin sukar serangan untuk dihentikan.”
Seorang wakil Microsoft enggan mengulas untuk cerita ini.
Sedekad yang lalu, pembuat perisian antivirus adalah pembekal dominan produk keselamatan untuk PC dan titik akhir yang lain. Populariti mereka merosot apabila serangan yang semakin maju mendedahkan kelemahan teknologi yang bergantung kepada penganalisis secara manual mencipta “tandatangan” digital jenis perisian hasad baharu untuk menyekatnya, menurut pakar keselamatan siber.
Peningkatan perisian tebusan dan serangan pemusnah lain telah mendorong permintaan untuk EDR dan teknologi serupa yang bertujuan untuk mengesan dan menyekat jangkitan lebih awal. Alat ini mencari lebih banyak isyarat aktiviti berniat jahat dan mengautomasikan banyak tugas yang memakan masa untuk menyiasat dan memperbaiki pelanggaran.
Satu insiden yang tidak dilaporkan sebelum ini yang didedahkan oleh Bloomberg News berlaku pada bulan Oktober, apabila Kumpulan Keselamatan CSIS yang berpangkalan di Copenhagen, Denmark menyiasat pelanggaran syarikat pembuatan Eropah.
Penggodam mengeksploitasi kelemahan yang tidak diketahui sebelum ini dalam EDR Microsoft, dan mereka membungkus perisian hasad sedemikian rupa sehingga ia dapat dikesan oleh alat keselamatan – yang memaklumkan pasukan IT mangsa bahawa serangan itu telah disekat, menurut Jan Kaastrup, ketua pegawai inovasi untuk CSIS yang menyelia siasatan. Tetapi penggodam tidak dihentikan dan dapat menjelajah rangkaian selama tiga minggu, katanya.
Pelanggaran itu tidak ditemui sehingga mangsa melihat data meninggalkan rangkaian korporatnya dan menghubungi firma keselamatan Denmark. Kaastrup enggan mengenal pasti mangsa tetapi membenarkan Bloomberg menyemak salinan tanpa nama laporan insiden itu. Firma itu melaporkan isu itu kepada Microsoft, yang enggan mengulas kepada Bloomberg mengenai perkara itu.
Pengajaran daripada insiden baru-baru ini, katanya, adalah mudah: teknologi hanya boleh melakukan begitu banyak terhadap penggodam yang ditentukan.
“Perisian keselamatan tidak boleh berdiri sendiri – anda memerlukan mata pada skrin digabungkan dengan teknologi,” katanya. EDR “jauh lebih baik daripada perisian antivirus. Jadi pasti anda memerlukannya. Ia bukan peluru perak yang difikirkan oleh sesetengah orang.” – Bloomberg
