Belajar dari Lapsus$ - Remaja yang Gigih dan Maju?

Nama baru yang sedang naik daun dalam serangan ransomware adalah Lapsus$. Jika Anda belum pernah mendengar tentang mereka sebelumnya, Anda mungkin pernah mendengar tentang beberapa perusahaan yang mereka serang, termasuk Nvidia, Samsung, Okta, dan Microsoft - hanya beberapa di antaranya. Bagi yang belum tahu, Lapsus$ adalah grup peretasan yang berfokus pada pencurian data dan pemerasan. Kelompok ini terutama menargetkan perusahaan, dan telah menimbulkan sejumlah korban global yang cukup membingungkan.

Seringkali, LAPSUS $ menyalahgunakan kelemahan manusia di dalam perusahaan, seperti bagian TI atau dukungan pelanggan. Dalam kasus lain, mereka membeli token login yang sudah diretas dari pasar web gelap. Biasanya, beberapa profesional keamanan siber mungkin melihat ini sebagai ancaman tingkat rendah. Kenyataannya adalah bahwa kecanggihan bukan satu-satunya metrik yang membuat peretas menjadi lebih mengancam; tetapi juga keberanian mereka.

Mulai dari menggunakan taktik rekayasa sosial dan penukaran kartu SIM, hingga serangan phishing yang licik dan memikat karyawan internal secara terbuka, operator Lapsus$ memanfaatkan sumber daya yang ditawarkan untuk mendapatkan pijakan ke dalam jaringan korporat melalui sarana VPN dan Virtual Desktop Infrastructure (VDI) yang populer.

Hal ini dengan jelas menyoroti fakta bahwa jika manusia bekerja untuk Anda, Anda rentan terhadap rekayasa sosial. Tidak seorang pun boleh diperlakukan sebagai tidak dapat dirusak. Implikasi langsung untuk sumber daya cloud adalah Anda harus mengurangi izin akses yang dimiliki orang seminimal mungkin yang mereka perlukan untuk melakukan pekerjaan mereka. Karena cloud biasanya menyimpan sumber daya yang sangat sensitif, memberikan izin yang berlebihan kepada siapa pun yang mungkin dilanggar (hampir semua orang!) dapat menyebabkan eksposur yang tidak beralasan ke permata mahkota organisasi.

Bagaimana pelanggaran ini terjadi?

Dengan menggunakan teknik rekayasa dan manipulasi sosial berskala besar, kelompok Lapsus$ telah mengumpulkan daftar korban yang sangat banyak di seluruh dunia. Menariknya, semua insiden tersebut memiliki pendekatan yang sama; semuanya melibatkan penggunaan kredensial yang valid, yang pada akhirnya menyalahgunakan izin apa pun yang telah diberikan kepada identitas tersebut. Serangan-serangan ini merupakan pengingat bahwa otentikasi (siapa Anda?) dan otorisasi (apa yang dapat Anda lakukan?) sangat penting untuk postur keamanan. Prinsip-prinsip hak istimewa yang paling sedikit dan tidak ada kepercayaan tidak pernah lebih tepat untuk diterapkan.

Apa yang bisa dilakukan?

Terlepas dari upaya terbaik Anda untuk autentikasi dan otorisasi, pelanggaran masih bisa terjadi di tangan orang dalam yang termotivasi.

Hal ini menimbulkan pertanyaan, "Bagaimana Anda menentukan apakah tindakan entitas yang tepercaya dan berwenang itu berbahaya?" Kumpulan izin memiliki kebiasaan buruk untuk merambat dan berkembang dari waktu ke waktu.

Sebagai bagian dari pendekatan Zero Trust Network Access (ZTNA), organisasi didorong untuk melakukan segmentasi jaringan mereka, menilai postur perangkat yang meminta, dan menyediakan akses ke aplikasi dan sumber daya secara kontekstual (menggunakan kemampuan DLP dan Remote Browser Isolation ).

Dalam kasus ancaman orang dalam yang naas, deteksi berbasis Anomali dan kemampuan analisis Perilaku dapat membantu mengenali dan mengurangi perilaku yang tidak normal dan berpotensi berbahaya dengan membangun garis dasar "aktivitas normal" untuk konteks spesifik tersebut, yang pada akhirnya menyoroti anomali atau penyimpangan apa pun agar tindakan cepat dapat diambil.

Namun, tentu saja, keamanan lebih dari sekadar kumpulan kontrol teknis. Praktisi keamanan harus meninjau izin, proses, dan prosedur yang digunakan oleh para pemangku kepentingan dan entitas tepercaya mereka - baik internal maupun pihak ketiga. Serangan-serangan yang disebutkan di atas telah mendorong dunia keamanan untuk memperhatikan hal-hal mendasar ini.