Dalam studi terbaru yang dilakukan oleh Sophos X-Ops, ditemukan bahwa penyerang dapat menembus Microsoft Active Directory hanya dalam waktu 16 jam. Active Directory adalah aset penting bagi perusahaan, dan begitu penyerang mendapatkan akses, mereka dapat bergerak bebas melalui jaringan, mencuri data, menanam ransomware, dan menyebabkan gangguan dalam bentuk lainnya.
Secara efektif menyusup ke Microsoft Active Directory, yang sekarang dikenal sebagai Microsoft Entra ID (sebelumnya Azure Active Directory), merupakan pencapaian yang signifikan bagi pelaku kejahatan. Begitu mereka mendapatkan akses ke Active Directory, mereka memiliki kemampuan untuk melakukan pivot di seluruh jaringan, mengekstraksi data, menyusup ke aplikasi dan server, memperkenalkan titik akses tersembunyi dan ransomware, serta memulai berbagai bentuk gangguan.
Sebagai contoh, meskipun penyerang biasanya mencapai Active Directory dalam waktu sekitar 16 jam, mereka tidak menunda pencurian data dari tahap tersebut. Menurut Sophos, hingga Juni 2023, durasi rata-rata antara eksfiltrasi data dan penyebaran ransomware adalah sekitar 21 jam. Namun demikian, terdapat jeda waktu yang cukup lama sebelum data yang dicuri tersebut dipublikasikan secara online, rata-rata sekitar 28,5 hari.
Salah satu alasan mengapa Active Directory sering menjadi sasaran adalah kurangnya langkah-langkah pertahanan yang kuat. Sophos menemukan bahwa sebagian besar server Active Directory yang mereka selidiki hanya dilindungi oleh Microsoft Defender, dan dalam beberapa kasus, tidak memiliki perlindungan sama sekali. Bahkan ketika Microsoft Defender hadir, penyerang memiliki metode efektif untuk menonaktifkannya.
“Faktanya, kami telah menyaksikan peningkatan yang konsisten dalam penggunaan metode ini selama tiga Laporan Musuh Aktif terakhir. Pada tahun 2021, pendekatan ini terdeteksi pada 24% kasus, yang meningkat menjadi 36% pada tahun 2022 dan terus meningkat, mencapai 43% pada paruh awal tahun 2023,” kata Sophos dalam laporannya.
Saat menonaktifkan Active Directory, penyerang menemukan tempat yang aman untuk digunakan sebagai titik awal pergerakan mereka dalam organisasi yang disusupi. Untungnya, organisasi dapat meningkatkan keamanan pengaturan Active Directory mereka dengan mengambil tindakan tertentu, terutama jika mereka tidak aktif atau hanya mengandalkan Microsoft Defender, seperti yang ditunjukkan oleh temuan Sophos. Berikut ini adalah beberapa hal yang perlu dipertimbangkan:
- Inventaris: Kumpulkan akuntansi komprehensif untuk semua Active Directory. Selalu perbarui daftar ini.
- Perkuat host administratif: Amankan sistem host administratif direktur aktif dengan mematikan semua layanan yang tidak digunakan, menghapus objek usang, membatasi port, dan segala hal lain yang memungkinkan untuk mengurangi permukaan serangan host. Menerapkan Solusi Kata Sandi Administrator Lokal Microsoft.
- Terapkan prinsip hak istimewa paling rendah: Identifikasi akun dengan tingkat hak istimewa tinggi dan kurangi akses hanya ke tingkat yang diperlukan.
- Perkuat pengontrol domain Anda: Penyerang dapat mengubah dan menghancurkan database Layanan Domain Active Directory dan mengakses semua akun terkait dengan mendapatkan akses ke database Layanan Domain Direktori Aktif. Sistem ini menyediakan layanan dan informasi yang dibutuhkan perusahaan untuk mengelola pengguna, stasiun kerja, aplikasi, dan servernya.
- Menerapkan autentikasi yang kuat: Autentikasi multifaktor (MFA) dapat digunakan untuk akses Active Directory. MFA adalah lapisan keamanan tambahan yang mengharuskan pengguna untuk menyediakan dua atau lebih bentuk otentikasi sebelum mengakses sistem atau aplikasi. Hal ini dapat dilakukan dengan menggunakan kemampuan autentikasi multifaktor asli Microsoft atau vendor autentikasi multifaktor pihak ketiga. Selain itu, gunakan kata sandi yang kuat.
- Pantau adanya kompromi: Gunakan kemampuan logging dan audit untuk mengidentifikasi dan menyelidiki aktivitas mencurigakan dengan cepat. Ini termasuk penggunaan alat manajemen log, alat pemantauan Active Directory khusus, serta sistem pemantauan informasi dan peristiwa keamanan.
- Tinjau dan perbarui kebijakan keamanan: Tinjau dan sesuaikan kebijakan keamanan yang mengatur penerapan Active Directory secara berkala untuk memastikan kebijakan tersebut tetap efektif.
Tentu saja, terlepas dari seberapa rajinnya suatu organisasi menjaga Active Directory nya, ada kalanya penyerang dapat melanggar pertahanannya. Konsekuensinya, organisasi perlu menetapkan cara untuk mendeteksi intrusi ini.
Melalui pemantauan yang cermat terhadap indikasi kompromi, organisasi dapat memastikan tim operasi keamanan mereka memiliki kemampuan untuk mengamati situasi dan, jika perlu, memobilisasi tim tanggap insiden mereka. Hal ini memerlukan penggunaan manajemen log umum dan alat pemantauan, alat khusus untuk mengawasi pengaturan Active Directory, serta informasi keamanan dan sistem pemantauan peristiwa.
Hanya dengan mengintegrasikan kemampuan audit dan logging, organisasi dapat dengan cepat mengidentifikasi dan menyelidiki aktivitas mencurigakan.
Terakhir, penting untuk menilai dan menyesuaikan kebijakan keamanan yang mengatur penerapan Active Directory secara berkala untuk memastikan kebijakan tersebut tetap mutakhir dan efektif.
Sumber :