Hari ini, kita akan membahas cara menangani positif palsu dalam keamanan siber. Dalam blog ini, kami akan mengungkap salah satu metode yang digunakan oleh tim SOC/Analis kami untuk mengidentifikasi positif palsu—sebuah tugas yang mirip dengan memecahkan teka-teki rumit. Positif palsu terjadi ketika sistem keamanan Anda keliru menganggap aktivitas yang aman sebagai ancaman, yang mengakibatkan peringatan yang tidak perlu. Penanganan positif palsu biasanya memerlukan keahlian dari profesional keamanan yang berpengalaman dan dapat menghabiskan waktu serta sumber daya yang cukup besar. Namun, ada kabar baik. Dengan Rekomendasi Keamanan Proaktif WAF (Web Application Firewall) berbasis AI/ML terbaru dari Radware, mengelola positif palsu menjadi jauh lebih mudah. Teknologi canggih ini memanfaatkan kecerdasan buatan dan pembelajaran mesin untuk menganalisis peristiwa keamanan dan memberikan saran perbaikan pada aturan WAF Anda. Alih-alih harus menyaring banyak peringatan secara manual dan membuat penyesuaian, Anda dapat mengandalkan sistem pintar untuk memberikan rekomendasi yang akurat. Peringatan Palsu: Mengapa Positif Palsu Itu Penting Dalam dunia keamanan siber, aturan WAF (Web Application Firewall) dirancang untuk melindungi dari serangan yang dikenal, seperti Pencegahan SQL Injection, Cross-Site Scripting, Pencegahan Permintaan yang Salah, dan lainnya. Sebagai contoh, serangan SQL injection melibatkan penyisipan kode SQL jahat ke dalam kueri untuk memanipulasi basis data. Aturan WAF yang dirancang untuk mencegah SQL injection mungkin memblokir input yang mengandung kata kunci atau pola tertentu yang sering dikaitkan dengan serangan tersebut. Misalnya, input seperti SELECT /FROM — bisa saja ditandai dan diblokir karena menyerupai upaya untuk memanipulasi kueri basis data. Meskipun aturan WAF statis ini efektif dalam melindungi aplikasi Anda dari serangan, mereka juga dapat menyebabkan positif palsu. Ini berarti bahwa lalu lintas yang sah dari pengguna yang valid dapat secara tidak sengaja diblokir, mengakibatkan gangguan dan frustrasi. Peringatan Gelap: Dampak Positif Palsu Menguras Sumber Daya: Mengejar alarm palsu memboroskan waktu dan sumber daya yang berharga, sehingga tim Anda kelelahan dan tidak mampu menangani ancaman yang sebenarnya. Kelelahan Peringatan: Terbebani oleh peringatan palsu yang terus-menerus, tim keamanan Anda mungkin mulai mengabaikan peringatan penting, mirip dengan efek kebal setelah mengalami terlalu banyak jalan buntu. Gangguan Operasional: Positif palsu dapat mengganggu operasional, memblokir aktivitas yang sah, dan memperlambat proses bisnis—bayangkan jika jalur yang aman salah diidentifikasi sebagai perangkap Memetakan Labirin: Mengendalikan Positif Palsu Seperti halnya Anda memastikan memiliki peta yang andal saat berada dalam labirin, mengelola positif palsu dengan baik sangat penting untuk menjaga operasi yang lancar dan aman. Keuntungan Manajemen Positif Palsu Deteksi Ancaman yang Terfokus: Dengan menyaring gangguan, tim Anda dapat lebih fokus pada ancaman nyata, meningkatkan keamanan secara keseluruhan. Efisiensi Operasional: Dengan lebih sedikit alarm palsu, sumber daya digunakan dengan lebih efektif, memungkinkan analis keamanan untuk fokus pada tugas-tugas strategis. Penghematan Biaya: Manajemen positif palsu yang efisien mengurangi usaha yang terbuang dan kebutuhan akan staf tambahan, sehingga menghemat biaya. Keputusan yang Lebih Baik: Peringatan yang akurat memungkinkan tim Anda membuat keputusan yang cepat dan tepat, memperkuat posisi keamanan Anda. Tantangan Master Labirin: Konfigurasi Positif Palsu Manual Mengatur sistem keamanan Anda untuk meminimalkan positif palsu bisa terasa seperti menavigasi labirin dengan berbagai belokan dan tikungan. Inilah beberapa alasan mengapa hal ini sangat menantang: – Kelebihan Data : Lingkungan keamanan menghasilkan volume data yang sangat besar. Menyaring data ini untuk menemukan positif palsu seperti menyusuri jalur tanpa akhir dalam labirin. – Lanskap Ancaman yang Berkembang : Lanskap ancaman terus berubah. Mengikuti vektor serangan baru mirip dengan menemukan jalur baru yang muncul dalam labirin. – Lingkungan yang Beragam : Lingkungan TI Anda mencakup berbagai perangkat dan aplikasi, masing-masing memerlukan pengaturan khusus—mirip dengan bagian labirin yang berbeda memerlukan strategi yang berbeda. – Dibutuhkan Navigator Terampil :Mengelola positif palsu memerlukan keahlian khusus. Ahli keamanan yang berpengalaman perlu meninjau banyak kejadian untuk menentukan apakah kejadian tersebut adalah positif palsu atau bukan. – Keseimbangan yang Rumit : Terlalu ketat dapat memblokir aktivitas yang sah; terlalu longgar, dan ancaman bisa lolos—seperti menyeimbangkan peta untuk menghindari jalan buntu dan perangkap. Solusi Labirin Terbaik: Rekomendasi Positif Palsu Otomatis Masuki era pemecah labirin otomatis untuk tantangan keamanan siber Anda! Dengan rekomendasi Refinement/Exclusions aturan WAF berbasis AI/ML dari Radware, mengelola lingkungan keamanan Anda menjadi semudah menavigasi dengan peta yang sempurna. Navigasi Labirin Menggunakan Rekomendasi Keamanan Proaktif Radware –Efisiensi dan Akurasi : Sistem otomatis menganalisis dan mempelajari kejadian keamanan aplikasi yang diblokir, dan menggunakan AI/ML canggih untuk memberikan saran perbaikan yang bisa diterapkan pada aplikasi Anda dengan satu klik—tanpa perlu tebak-tebakan manual! –Adaptabilitas : Sistem ini terus belajar dan beradaptasi dengan ancaman baru, seperti navigator cerdas yang menyesuaikan diri dengan jalur baru dalam labirin. -Konsistensi : Berbeda dengan analis manusia, sistem otomatis dapat menerapkan perbaikan aturan secara konsisten, mengurangi risiko kesalahan. –Skalabilitas : Automasi menangani volume data yang meningkat dengan mudah, seperti peta yang dapat diskalakan untuk mengakomodasi labirin yang lebih besar. –Optimisasi Sumber Daya : Bebas dari mengejar alarm palsu, tim Anda dapat fokus pada tugas-tugas prioritas tinggi, memastikan labirin (dan keamanan Anda) berfungsi dengan baik. –Keamanan : Kami tidak akan menerapkan perbaikan langsung pada aplikasi Anda. Sistem kami akan melakukan semua pekerjaan dan memberikan saran dengan contoh untuk membantu Anda memahami alasan di balik rekomendasi tersebut. Jika rekomendasi tersebut tidak sesuai atau kurang tepat untuk kebutuhan Anda, Anda dapat menolak rekomendasi tersebut dan memberikan alasan dalam sistem, sehingga kami dapat belajar untuk ke depannya. Kesimpulan: Nikmati Perjalanan dengan Tenang Mengelola positif palsu di lingkungan keamanan Anda tidak harus menjadi tugas yang membosankan. Dengan rekomendasi otomatis, Anda dapat menyederhanakan proses, fokus pada ancaman nyata, dan memastikan organisasi Anda terlindungi dengan baik. Jadi, bersantailah dan nikmati menavigasi labirin keamanan siber, dengan keyakinan bahwa tim keamanan Anda siap menghadapi setiap tantangan digital dengan keahlian. Selamat menikmati lanskap keamanan siber yang lebih aman dan efisien! Ingin tahu lebih lanjut mengenai radware, silahkan hubungi radware@ilogoindonesia.id
Author: Akmal U
Dampak Pembaruan CrowdStrike: Tindakan Penyangkalan Layanan yang Tidak Disengaja Menyerupai Dampak Serangan DDoS
Pada tanggal 19 Juli 2024, apa yang dimulai sebagai pembaruan rutin untuk sensor Falcon milik CrowdStrike berubah menjadi insiden pemadaman global. Meskipun bukan serangan cyber, dampaknya menyerupai serangan Denial of Service Terdistribusi (DDoS) dalam skala besar. Peristiwa ini menjadi pengingat nyata akan kerapuhan ekosistem digital yang saling terhubung kita dan konsekuensi yang luas dari kegagalan sistem, tanpa memandang asalnya. – Bagian Atas Kiri: Tampilan informasi penerbangan di Bandara Internasional Delhi menunjukkan pesan pemulihan sistem. Sumber: Twitter (X) – Bagian Atas Tengah: Grafik Downdetector menunjukkan masalah layanan yang luas. Sumber: Twitter (X) – Bagian Atas Kanan: Papan display stadion menampilkan pesan error Windows. Sumber: Twitter (X) – Bagian Bawah Kiri: Area check-in bandara yang ramai dengan layar yang tidak berfungsi. Sumber: Twitter (X) – Bagian Bawah Tengah: Scanner CT medis menampilkan pesan error layar biru. Sumber: Twitter (X) – Bagian Bawah Kanan: Beberapa perangkat yang terpengaruh di lingkungan kantor. Sumber: Twitter (X) Peristiwa Terungkap Pemicu untuk gangguan yang luas ini adalah sebuah file bernama “csagent.sys”, komponen kritis dari alat deteksi dan respons ujung (EDR) yang banyak digunakan oleh CrowdStrike. Pembaruan ini memicu rangkaian kegagalan sistem di berbagai sektor secara global, yang mengakibatkan: – Perangkat Windows mengalami kesalahan Blue Screen of Death (BSOD) – Crash sistem yang luas dan restart yang tidak terduga – Dalam kasus-kasus yang parah, sistem masuk ke dalam loop reboot tak terbatas Dampak lintas sektor Luasnya dampak insiden ini cukup mencolok, mempengaruhi berbagai industri dan infrastruktur kritis: – Penerbangan: Bandara di seluruh dunia menghadapi gangguan signifikan pada sistem informasi penerbangan dan proses check-in. – Kesehatan: Peralatan medis kritis, seperti scanner CT, mengalami downtime yang tidak terduga, berpotensi memengaruhi perawatan pasien. – Olahraga dan Hiburan: Sistem display di venue besar mengalami kegagalan, mengganggu acara dan penyebaran informasi publik. – Transportasi: Selain bandara, stasiun kereta dan terminal bus melaporkan masalah pada sistem informasi digital mereka. – Layanan Keuangan: Bank, bursa saham, dan jaringan ATM menghadapi tantangan operasional, menyoroti kerentanan sektor keuangan. – Ritel: Sistem kasir di banyak lokasi menjadi tidak berfungsi, langsung mempengaruhi perdagangan. – Layanan Pemerintah: Kantor sektor publik mengalami pelambatan atau berhenti dalam penyampaian layanan. – Pendidikan: Ruang kelas fisik dan platform pembelajaran online mengalami gangguan, mengganggu kelangsungan pendidikan. Paralel dengan Serangan DDoS Kesamaan antara insiden tidak disengaja ini dan serangan DDoS yang terkoordinasi sangat mencolok. Pertimbangkan serangan pada tanggal 21 September 2023, terhadap bandara-bandara di Kanada, yang dikaitkan dengan kelompok peretas pro-Rusia bernama NoName: – Beberapa bandara di Kanada mengalami gangguan operasional yang parah – Gangguan pada checkpoint perbatasan berlangsung lebih dari satu jam – Mesin check-in dan gerbang elektronik tidak dapat beroperasi Kedua skenario ini mengakibatkan: – Gangguan layanan yang luas – Dampak signifikan pada infrastruktur kritis – Potensi kerugian ekonomi – Kebutuhan akan respons insiden dan mitigasi yang cepat Wawasan Utama Insiden ini memberikan beberapa pelajaran berharga bagi para profesional keamanan cyber dan organisasi: Kesetaraan Dampak: Masalah perangkat lunak yang tidak disengaja dapat mencerminkan efek potensial dari serangan DDoS yang disengaja, menekankan perlunya strategi ketangguhan yang komprehensif. Kerentanan Infrastruktur Kritis: Peristiwa ini menyoroti keseimbangan yang rapuh dari ekosistem digital kita dan efek berantai dari titik-titik kegagalan tunggal. Kebutuhan Respons Cepat: Upaya mitigasi yang cepat dan terkoordinasi sangat penting baik menghadapi serangan cyber maupun gangguan perangkat lunak. Pendekatan Keamanan Komprehensif: Perlindungan harus memperhitungkan ancaman eksternal dan integritas sistem internal. Alat-alat yang dirancang untuk melindungi kadang-kadang bisa menjadi vektor untuk gangguan. Peran Langkah-langkah Keamanan Siber yang Kokoh Meskipun insiden CrowdStrike bukanlah serangan yang disengaja, dampaknya menegaskan pentingnya langkah-langkah keamanan siber yang kokoh dan berbagai aspek. Solusi seperti yang ditawarkan oleh Radware dirancang untuk mencegah skenario penyangkalan layanan ketika pelaku ancaman mencoba untuk menonaktifkan aplikasi Anda. Analisis perilaku canggih dan kemampuan mitigasi real-time memastikan sistem-sistem kritis tetap beroperasi, baik menghadapi serangan DDoS maupun kegagalan sistem yang tidak disengaja. ingin tahu lebih lanjut, hubungi radware@ilogoindonesia.id
Alasan Mengapa Harus Memilih Radware SecurePath untuk Mengamankan Perusahaan
Sebagian besar perusahaan saat ini bersifat hybrid. Oleh karena itu, perusahaan menghadapi IT hybrid yang kompleks yang menggabungkan on-premises, cloud pribadi dan multi cloud. Mengamankan lingkungan yang terdistribusi merupakan tantangan besar dengan beberapa alasan, Pertama, kualitas keamanan, kebanyakan tools keamanan cloud menggunakan hanya keamanan “negative”, Kedua, tingkat perlindungan yang bervariasi, setiap lingkungan memiliki kebijakan keamanan tersendiri. Ketiga, pencatatan atau pelaporan yang tidak konsisten, sulit untuk mendapatkan visibilitas keseluruhan di semua platform dan aplikasi. Dan keempat, tidak ada nya manajemen terpusat, karena terdapat berbagai tools dan dashboard manajemen dengan masing -masing kemampuan yang berbeda Radware Application Protection As a Service, didukung oleh SecurePath, adalah solusi terdepan. Solusi ini menyediakan perlindungan state of the art berdasarkan model keamanan “positive”, serta suite lengkap perlindungan WAF, bot, API, dan DDos. Ini memungkinkan konistensi di seluruh cloud, dan cakupan keamanan yang identik untuk semua aplikasi, tidak peduli dimanapun berada. Ini terjadi melalui integrasi tanpa ada nya gesekan dan opsi implementasi yang fleksibel dalam proses yang ada, tanpa ada nya gangguan. Semua memenuhi visibilitas terpusat. Apa Itu Radware SecurePath ? Radware securePath adalah keamanan aplikasi berbasis Api untuk solusi Radware Application Protection as a service, yang dirancang dari awal untuk melindungi aplikasi secara optimal yang diterapkan di berbagai cloud dan pusat data baik itu di lingkungan on-premise, cloud maupun di lingkungan cloud public sambil meningkatkan keamanan, waktu aktif dan kinerja. Ini memungkinkan perusahaan untuk memigrasikan aplikasi sambil menjaga kemanan lintas platform yang konsisten dengan manajemen, pelaporan dan manajemen terpusat. Untuk penjelasan paling sederhananya : sebuah detector memantau lalu lintas ke sever. Detector ini berkomunikasi dengan mesin analisis radware, yang mengelolah temuan dan memberikan peringatan terhadap setiap lalu lintas berbahaya. Akhir nya lalu lintas di blokir karena terdeteksi bahaya. Di radware di sebut sebagai “connector”. Connector ini di install pada perangkat milik pelanggan, dan setiap permintaan dari client akan memicu sebuah action. Connector membangun permintaan HTTP baru yang “mensimulasikan” permintaan asli sesuai dengan kemungkinan terdekat dan mengirimkan ke VIP dari aplikasi cloud WAF yang telah dikonfigurasi sebelum nya. Cloud WAF melakukan inspeksi terhadap permintaan dan melakukan pemerikasaan. Berdasarkan responnya, plugin akan memblokir atau mengizinkannya. Dengan arsitektur baru ini, solusi perlindungan aplikasi cloud dari radware dapat di terapkan secara tradisional inline, atau sebagai layanan berbasis Api 4 Pertimbangan Saat Menggunakan SecurePath Arsitektur yang unik dan pendekatan inovatif radware memberikan beberapa keunggulan yang memberikan manfaat di bandingkan dengan implementasi WAF tradisional. Fleksibilitas dalam implementasi Radware securePath menawarakan berbagai jenis implementasi. Ini dapat di implementasikan baik berbasis cloud maupun API. Tidak ada perubahan Tidak ada perubahan di routing Domain Name System ( DNS ) dan Border Gateway Protocol ( BGP ) dengan solusi SecurePath lalu lintas langsung menuju server aplikasi. Mengurangi Latensi Dengan SecurePath , komunikasi antara client ke server aplikasi tanpa gangguan. Yang artinya user memiliki akses penuh atas latensi. Tidak Ada berbagi Sertifikat SSL Tidak perlu lagi berbagi ssl sertifikat. Karena radware sudah memerlukan persyaratan regulasi. Seperti yang sudah dijelaskan diatas, solusi radware memiliki keunggulan signifikan. Dapat membantu perusahaan jika tidak memiliki sertitikat SSL, jika perusahaan menggunakan AWS CloudFront CDN atau GCP APIGEE Solusi Adware Dengan ada nya migrasi aplikasi ke cloud, terdapat kebutuhan yang semakin besar untuk memberikan solusi yang tidak biaya untuk keamanan VS mengirimkan semua lalu lintas melalui POP ( Point Of Presence ) tertentu. Solusi Out Of Path mempunyai keuntungan untuk mengurangi latensi karena Sebagian besar lalu lintas tidak melewati POP. Selain itu, lebih dapat diandalkan karena jika terjadi kegagalan lalu lintas di endpoint, arus tidak hanya berdampak pada layanan keamanan. Solusi keamanan yang ada memberikan cakupan parsial. Berbeda dengan Radware SecurePath yang dirancang secara unik untuk perlindungan aplikasi lintas cloud dan memungkinkan fleksibilitas maksimal. Dengan Radware SecurePath, permintaan pengguna diarahkan langsung ke server aplikasi. Detector perangkat lunak memantau lalu lintas aplikasi ke server dan mesin WAF menganalisis data dan memblokir transaksi berbahaya. Radware membarikan cakupan terhadap semua serangan. Di dunia WAF, perlindungan terhadap 10 ancaman teratar OWASP dan masih banyak lagi. Dalam perlindungan API penemuan dan perlindungan API terhadap penyalahgunaan. Dalam manajemen bot dengan mudah membedakan antara lalu lintas manusia dan non manusia. Jadi, alihkan manajemen keamanan ke tim pakar keamanan Radware. Dapatkan Solusi Radware SecurePath di Ilogo Indonesia Saat nya perusahaan untuk menghentikan pelaku kejahatan dengan Radware SecurePath. Dengan didukung tim IT bersertifikat akan membantu perusahaan untuk terhindar dari trial dan error. Dapatkan kemudahan meningkatkan kinerja keamanan. Jangan ragu untuk menghubungi radware@ilogoindonesia.id
