10 most dangerous mistakes when setting up a corporate network

10 kesalahan paling berbahaya saat menyiapkan jaringan perusahaan

Oleh Diposting pada

Kesalahan dalam mengonfigurasi infrastruktur TI sering terjadi di organisasi besar — ​​bahkan di departemen TI dan keamanan siber yang paling matang dan kompeten. Hal ini terlihat dari berita mingguan tentang peretasan terhadap perusahaan-perusahaan besar dan mapan, serta hasil audit keamanan — meskipun hal ini jarang dipublikasikan. Masalah ini juga telah diakui oleh regulator AS seperti CISA dan NSA. Dalam makalah baru mereka yang berisi rekomendasi yang disiapkan oleh tim “merah” dan “biru” setelah melakukan banyak audit dan respons terhadap insiden, mereka mencatat bahwa kesalahan konfigurasi menyoroti kelemahan sistemik dalam organisasi besar – termasuk perusahaan dengan keamanan informasi yang matang. Namun, dokumen tersebut menegaskan bahwa tim keamanan jaringan dapat menetralisir atau memitigasi kelemahan ini dengan pendanaan, pelatihan, dan staf yang memadai. Mari kita lihat kesalahan yang dianggap paling berbahaya oleh para ahli.

1 Konfigurasi aplikasi default

Perangkat atau aplikasi apa pun — baik itu printer, server email atau file, atau sistem konferensi video — biasanya memiliki mekanisme login dengan kredensial akses default yang mungkin lupa dinonaktifkan oleh orang-orang. Pengaturan default perangkat ini mungkin sangat sederhana (misalnya, admin1234, atau hanya 1234) dan karenanya tidak terlalu aman, namun seringkali tidak ada yang mengubahnya. Contoh umumnya adalah printer yang memiliki akses jaringan istimewa untuk memudahkan pencetakan, bersama dengan panel kontrol berbasis web dengan kredensial login default. Kejadian umum lainnya adalah server Windows dengan SMB versi lama atau protokol retro lainnya yang diaktifkan. Pengaturan default dan templat Layanan Sertifikat Direktori Aktif juga sangat berbahaya, memungkinkan pengguna yang tidak memiliki hak istimewa untuk mendapatkan sertifikat server, meningkatkan hak istimewa ke tingkat administratif, atau mengautentikasi diri mereka sendiri dengan mendapatkan TGT Kerberos.

Langkah-langkah keamanan yang disarankan:

  • Terapkan prosedur wajib sebelum mulai mengoperasikan sistem TI apa pun: nonaktifkan akun default (seperti “admin” atau “tamu”) atau setidaknya ubah kata sandinya.
  • Terapkan penggunaan kata sandi yang kuat yang terdiri dari 15 karakter acak atau lebih.
  • Terapkan pengaturan aman pada perangkat atau layanan, dengan mengikuti instruksi pengerasan dari pabriknya dan/atau pedoman umum yang relevan — seperti DISA STIG.
  • Terapkan konfigurasi ADCS yang aman: nonaktifkan pendaftaran web jika memungkinkan, nonaktifkan NTLM di server ADCS, dan nonaktifkan nama alternatif subjek (SAN) untuk pemetaan UPN.
  • Tinjau izin default di templat ADCS, hapus tanda CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT dari templat, dan hapus properti FullControl, WriteDacl, dan Write dari pengguna dengan hak istimewa rendah.
  • Aktifkan validasi supervisor untuk setiap sertifikat yang diminta.

2 Manajemen hak pengguna dan admin yang salah

Di jaringan besar mana pun, Anda akan sering menemukan hak istimewa berlebihan yang diberikan kepada pengguna biasa (awalnya diberikan untuk tujuan sementara dan kemudian tidak pernah dicabut), hak istimewa yang diperluas untuk akun layanan (aplikasi dan layanan), dan hak istimewa tertinggi untuk administrator (yang sering bekerja di mode istimewa ini sepanjang waktu). Penyerang sengaja mencari dan mengeksploitasi akun-akun ini, karena mereka mempercepat dan mempermudah pengambilalihan jaringan.

Langkah-langkah keamanan yang disarankan:

  • Menegakkan prinsip hak istimewa yang paling rendah.
  • Menerapkan sistem manajemen identitas yang mencakup pencatatan penerbitan dan penggunaan izin. Hal ini memudahkan untuk mendeteksi penggunaan hak akses yang tidak sah.
  • Gunakan sistem ini untuk meminimalkan jumlah akun administratif, dan mengurangi jumlah akun secara keseluruhan (dengan menggabungkannya dengan benar).
  • Audit akun secara rutin, nonaktifkan akun yang tidak aktif, dan hapus hak istimewa yang berlebihan.
  • Batasi akun yang memiliki hak istimewa untuk melakukan aktivitas biasa seperti menjelajahi web dan mengakses email.
  • Berikan hak istimewa yang lebih tinggi hanya selama durasi tugas yang diperlukan — bahkan kepada administrator.
  • Kapan pun memungkinkan, jalankan layanan dan daemon dengan hak istimewa dan hak akses terbatas.

3 Pemantauan jaringan internal tidak memadai

Banyak organisasi hanya memantau lalu lintas yang berasal dari host eksternal dan server tertentu, sedangkan pemantauan jaringan internal terbatas pada kejadian titik akhir. Hal ini membuat sulit untuk mendeteksi serangan dan menyelidiki insiden secara tepat waktu.

Langkah-langkah keamanan yang disarankan:

  • Analisis aktivitas normal sehari-hari aplikasi dan layanan untuk dapat mengidentifikasi anomali dalam akses dan penggunaan. Misalnya, administrator harus secara teratur meninjau daftar akses dan izin untuk layanan utama dan menghapus akun yang mencurigakan atau ketinggalan jaman.
  • Analisis lalu lintas jaringan harian organisasi untuk dapat mengidentifikasi anomali di dalamnya.
  • Menerapkan sistem SIEM untuk mengumpulkan dan menganalisis telemetri dari berbagai sumber, termasuk sistem EDR dan IDS, log jaringan, dan lainnya.

4 Kurangnya segmentasi jaringan

Jaringan dengan tujuan dan tingkat kepentingan yang berbeda sering kali kurang terisolasi satu sama lain. Permasalahan umum mencakup interkoneksi lengkap jaringan yang berisi informasi rahasia dan tidak rahasia, serta jaringan TI dan OT. Dalam sebagian besar kasus, segmentasi sama sekali tidak ada, atau sudah diterapkan, namun beberapa teknisi menganggap hal ini terlalu merepotkan dan membuat terowongan antar jaringan sesuka hati (atau bahkan menghubungkan jaringan terisolasi ke internet). Akibatnya, kepala departemen TI dan keamanan informasi berpikir bahwa jaringan tersebut tersegmentasi padahal sebenarnya tidak.

Langkah-langkah keamanan yang disarankan:

  • Terapkan segmentasi jaringan jika belum ada. Hal ini dapat melibatkan segmentasi fisik dan logis (VLAN). Penting untuk memastikan bahwa perangkat jaringan infrastruktur memiliki daftar kontrol akses (ACL) terkini dan dikonfigurasi dengan benar untuk mencegah perangkat yang tidak sah terhubung ke jaringan administratif, industri, dan rahasia. Kami juga merekomendasikan penggunaan zona demiliterisasi (DMZ) untuk mengurangi aksesibilitas sistem TI internal dari internet.
  • Menerapkan firewall generasi berikutnya (NGFW) yang mampu melakukan inspeksi stateful dan inspeksi paket mendalam, dengan mempertimbangkan aplikasi asal. Firewall harus menolak lalu lintas yang berbeda dari lalu lintas standar yang diperbolehkan dalam jaringan. Pemfilteran lalu lintas berbasis aplikasi tidak hanya didasarkan pada port jaringan, dan secara signifikan mengurangi peluang penyerang untuk mengeksploitasi protokol jaringan secara jahat.

5 Budaya pengelolaan tambalan yang buruk

Masalah sistematis adalah penerapan patch dan pembaruan yang lambat dan tidak lengkap pada sistem perangkat keras dan perangkat lunak. Situasi ini diperburuk oleh kenyataan bahwa banyak organisasi, karena berbagai alasan, terus mengoperasikan sistem yang sudah ketinggalan zaman (seperti Windows XP, SAP R/3, dan sebagainya) yang sudah lama tidak menerima pembaruan apa pun.

Langkah-langkah keamanan yang disarankan:

  • Sistematisasikan proses manajemen patch, dengan memprioritaskan remediasi kerentanan yang diketahui dapat dieksploitasi dan kerentanan kritis.
  • Otomatiskan pembaruan sebanyak mungkin menggunakan sistem pembaruan otomatis vendor perangkat lunak, atau — bahkan lebih baik lagi — dengan memiliki sistem manajemen patch terpusat.
  • Perbarui tidak hanya perangkat lunak tetapi juga firmware perangkat keras dan BIOS/UEFI komputer.
  • Analisis sistem usang yang digunakan dalam bisnis dan, jika mungkin, rencanakan pensiunnya. Jika hal ini tidak memungkinkan, terapkan tindakan kompensasi seperti isolasi jaringan untuk sistem lama.

6 Kemungkinan melewati kontrol akses

Pengaturan lingkungan dan aplikasi sering kali memungkinkan serangan seperti “pass-the-hash” dan “kerberoasting” untuk mengakses sumber daya target tanpa mengetahui kata sandinya.

Langkah-langkah keamanan yang disarankan:

  • Minimalkan penggunaan kredensial yang sama di berbagai sistem untuk mencegah penyerang menyebar melalui jaringan. Pantau upaya login yang tidak standar dan gagal.
  • Menerapkan manajemen patch (lihat poin 5).
  • Menerapkan tindakan terhadap serangan PtH: menerapkan pembaruan KB2871997, menerapkan pembatasan UAC pada akun lokal setelah login jaringan, dan melarang pengguna domain bergabung dengan grup administrator lokal di komputer.
  • Batasi komunikasi langsung antar komputer biasa. Mereka perlu berinteraksi melalui server.
  • Gunakan akun yang memiliki hak istimewa hanya pada sistem yang memerlukan hak istimewa ini. Pertimbangkan untuk menggunakan komputer khusus untuk akses administrator yang memiliki hak istimewa.

7 Metode otentikasi multi-faktor yang lemah atau salah dikonfigurasi

Kesalahan umum adalah mengonfigurasi akses di mana otentikasi hanya dilakukan oleh kartu pintar, namun hash untuk kata sandi yang sudah lama tidak digunakan masih dianggap valid. Jika kebijakan kedaluwarsa hash tidak dikonfigurasi, penyerang dapat beroperasi dari akun lama menggunakan teknik yang disebutkan di poin 6.

Masalah umum lainnya adalah metode MFA yang rentan terhadap phishing, seperti kode SMS. Penyerang dapat memperoleh kode melalui berbagai cara — mulai dari rekayasa sosial dan pengeboman MFA hingga serangan jaringan telekomunikasi SS7 atau duplikasi kartu SIM yang tidak sah.

Langkah-langkah keamanan yang disarankan:

  • Nonaktifkan metode otentikasi usang seperti NTLM.
  • Gunakan kebijakan grup atau pengaturan Windows Hello for Business untuk mengacak hash secara rutin untuk akun yang diakses melalui kartu pintar.
  • Pertimbangkan untuk beralih ke standar autentikasi terbuka berdasarkan infrastruktur cloud.
  • Beralih ke sistem MFA yang tahan terhadap phishing.

8 Pembatasan akses yang tidak memadai ke folder dan layanan jaringan

Di jaringan perusahaan, biasanya ditemukan folder jaringan yang dapat diakses tanpa autentikasi, atau repositori administratif yang dapat diakses oleh pengguna biasa. Ini sering kali berisi file dengan kata sandi admin atau informasi sensitif lainnya dalam teks biasa.

Langkah-langkah keamanan yang disarankan:

  • Semua repositori dan layanan hanya boleh mengizinkan akses ke pengguna yang diautentikasi dan diberi wewenang.
  • Sumber daya penting harus dikonfigurasi berdasarkan prinsip hak istimewa paling rendah.
  • File dan folder harus memiliki pengaturan ketat yang membatasi manipulasi tidak sah — terutama folder yang berisi informasi rahasia seperti kunci.
  • Pastikan penyerang tidak dapat mengubah daftar kontrol akses (ACL) sesuka hati, yang pada dasarnya akan mengesampingkan semua tindakan di atas.
  • Dalam kebijakan grup Windows, nonaktifkan “enumerasi anonim akun SAM dan bagikan”.

9 Kata sandi dan kebijakan kata sandi berkualitas buruk

Banyak organisasi mengizinkan pengguna untuk memiliki kata sandi yang pendek dan sederhana. Hasilnya, hingga 80% kata sandi karyawan dapat dibobol dengan cepat menggunakan alat seperti Hashcat.

Langkah-langkah keamanan yang disarankan:

  • Tetapkan kriteria kompleksitas yang disarankan untuk semua kata sandi.
  • Evaluasi apakah pengguna dapat menggunakan pengelola kata sandi, dan yang mana.
  • Melarang penggunaan kata sandi administrator lokal yang sama pada komputer yang berbeda.
  • Menerapkan kriteria kompleksitas tinggi untuk kata sandi administratif dan frasa sandi pada sertifikat/kunci pribadi.
  • Menerapkan proses dan sistem otomatis untuk mencari kata sandi yang disimpan dalam teks biasa atau format yang mudah diekstraksi (kata sandi disimpan di browser).

10 Kurangnya batasan pada eksekusi kode

Hanya sedikit organisasi yang mengaktifkan mode “daftar aplikasi yang diizinkan” — di mana hanya aplikasi yang disetujui yang dapat dijalankan di komputer perusahaan. Mengizinkan eksekusi file yang tidak tepercaya memungkinkan penyerang menyebarkan berbagai malware, meningkatkan hak istimewa menggunakan driver yang rentan, dan sebagainya.

Langkah-langkah keamanan yang disarankan:

  • Aktifkan pengaturan yang mencegah eksekusi aplikasi dari sumber tidak tepercaya.
  • Lebih baik lagi, gunakan daftar yang diizinkan (juga dikenal sebagai penolakan default), yang mengizinkan berjalannya aplikasi hanya dari daftar tetap aplikasi yang disetujui. Pastikan alat yang menerapkan kebijakan ini memeriksa tanda tangan digital dan atribut file penting lainnya, bukan hanya berfokus pada nama.
  • Blokir aplikasi rentan yang diketahui (terutama driver) agar tidak berjalan.
  • Batasi kemampuan untuk menjalankan bahasa skrip (seperti PowerShell), periksa log untuk eksekusi skrip yang disetujui, dan larang eksekusi bahasa skrip yang tidak digunakan dalam sistem TI perusahaan.
  • Tinjau sistem keamanan host dan perimeter secara rutin untuk memastikan sistem tersebut memfilter spam secara efektif dan memblokir malware agar tidak dijalankan.


#kesalahan #paling #berbahaya #saat #menyiapkan #jaringan #perusahaan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *