Lindungi file dengan menggunakan tindakan perlindungan dalam operasi sehari-hari. Jika terjadi serangan, untuk dapat mengembalikan file ke keadaan semula. Backup data sangat penting untuk pemulihan.
Membayar uang tebusan tidak menjamin Anda akan mendapatkan password untuk memulihkan data ketika ransomware sudah mengambil alih.
Langkah-langkah perlindungan
- Membuat Backup
- Pelatihan pengguna
- Mengkarantina email yang mencurigakan
- Penyaringan konten
Jaga software selalu update
Pastikan firmware, aplikasi anti-malware, sistem operasi, dan perangkat lunak pihak ketiga telah menginstal patch terbaru, karena versi ransomware baru keluar secara teratur, dan pembaruan software memastikan bahwa anti-malware Anda mengenali ancaman yang lebih baru.
Microsoft menerbitkan patch untuk menghentikan WannaCry 30 hari sebelum infeksi. Tanpa patch, sistem operasi Windows rentan.
Maintain backup dengan serius
File backup harus dilindungi dengan benar dan disimpan secara offline atau out-of-band, sehingga tidak dapat menjadi sasaran penyerang.
Menggunakan layanan cloud dapat membantu mengurangi infeksi ransomware, karena banyak yang mempertahankan versi file sebelumnya yang memungkinkan untuk memutar kembali ke versi yang tidak terinfeksi.
Pastikan untuk secara rutin menguji backup. Jika terjadi serangan, verifikasi bahwa backup file tidak terinfeksi sebelum restorasi.
Mengembangkan rencana dan kebijakan
Buat rencana respons insiden agar tim keamanan TI Anda tahu apa yang harus dilakukan selama kejadian ransomware.
Rencana tersebut harus mencakup peran dan komunikasi yang ditentukan untuk dibagikan selama serangan. Turut menyertakan daftar kontak seperti mitra atau vendor yang perlu diberi tahu.
Misalnya kebijakan tentang mensikapi suspicious e-mail kepada karyawan untuk melatih dan melakukan tindakan jika mereka menerimanya dengan meneruskan email tersebut ke tim keamanan TI.
Selalu punya backup
Cara terbaik untuk memulihkan dari ransomware adalah memulihkan data dari cadangan. Pencadangan melewati permintaan tebusan dengan memulihkan data dari sumber selain file yang dienkripsi.
Peretas mengembangkan ransomware untuk mencari file cadangan. Setelah memulihkan dari cadangan, Anda masih harus menghapus ransomware dari jaringan.
Mendeteksi Ransomware
Serangan ransomware biasanya berasal dari file yang dapat dieksekusi atau skrip yang mendownload file untuk dapat dieksekusi dan menjalankan sesuatu. Tidak setiap serangan ransomware terjadi secara langsung.
Beberapa ransomware tetap tidak aktif hingga tanggal tertentu. Misalnya, jenis ransomware bernama Locker, peniru CryptoLocker, diam hingga tengah malam 25 Mei 2015 ketika mengeksekusi muatannya.
Administrator jaringan mendeteksi ransomware dengan aplikasi yang memantau lalu lintas jaringan yang mencurigakan. Aplikasi mengirim pemberitahuan ketika malware mengganti nama sejumlah besar file.
Software anti-malware melindungi dari ribuan jenis ransomware berisi tanda tangan digital yang mengidentifikasi ransomware sebelum dapat dieksekusi. Kecuali serangan zero-day.
Zero-day adalah kerentanan pada sistem atau perangkat yang telah diungkapkan tetapi belum ditambal (patched). Eksploitasi yang menyerang kerentanan zero-day disebut exploit zero-day.
Solusi anti-malware saat ini mencakup kecerdasan buatan (AI), mesin pembelajaran, dan pemantauan perilaku. Solusi ini membandingkan status file saat ini dengan perubahan dan permintaan akses file. Sistem memberi tahu administrator tentang aktivitas mencurigakan sehingga serangan dapat diselesaikan lebih awal.
Deteksi dini membantu pencegahan
Pencegahan ransomware yang efektif memerlukan kombinasi aplikasi pemantauan yang baik, rutinitas backup file, software anti-malware, dan pelatihan user.
Meskipun tidak ada pertahanan dunia maya yang sepenuhnya mengurangi risiko, setidaknya dapat sangat membatasi peluang keberhasilan penyerang.
Tinjau pengaturan port
Banyak varian ransomware memanfaatkan port 3389 Remote Desktop Protocol (RDP) dan Server Message Block (SMB) 445. Pertimbangkan apakah perlu membiarkan port tersebut terbuka, dan pertimbangkan untuk membatasi koneksi hanya ke host tepercaya.
Pastikan untuk meninjau pengaturan ini untuk lingkungan lokal dan cloud, bekerja sama dengan penyedia layanan cloud untuk menonaktifkan port RDP yang tidak digunakan.
Harden endpoints
Pastikan sistem dikonfigurasi dengan mempertimbangkan keamanan. Pengaturan konfigurasi yang aman dapat membantu membatasi permukaan ancaman organisasi Anda dan menutup celah keamanan yang tersisa dari konfigurasi default.
Selalu perbarui sistem
Pastikan semua sistem operasi, aplikasi, dan perangkat lunak yang digunakan organisasi diperbarui secara berkala. Menerapkan pembaruan terbaru akan membantu menutup celah keamanan yang ingin dieksploitasi oleh penyerang.
Jika memungkinkan, aktifkan pembaruan otomatis sehingga Anda akan secara otomatis memiliki tambalan keamanan terbaru.
Pelatihan
Pelatihan kesadaran keamanan adalah kunci untuk menghentikan ransomware di jalurnya. Saat karyawan dapat menemukan dan menghindari email jahat, semua orang berperan dalam melindungi organisasi.
Pelatihan kesadaran keamanan dapat mengajari anggota tim apa yang harus dicari dalam email sebelum mereka mengeklik tautan atau mengunduh lampiran.
Menerapkan Intrusion Detection System (IDS)
Intrusion Detection System (IDS) adalah sistem yang memantau lalu lintas jaringan untuk aktivitas mencurigakan dan mengeluarkan peringatan saat aktivitas tersebut ditemukan.
Intrusion Detection System (IDS) adalah software yang melakukan scan jaringan atau sistem untuk aktivitas berbahaya atau pelanggaran kebijakan.
Setiap usaha jahat atau pelanggaran biasanya dilaporkan ke administrator atau dikumpulkan secara terpusat menggunakan sistem security information and event management (SIEM).
SIEM adalah solusi yang membantu organisasi mendeteksi, menganalisis, dan merespons ancaman keamanan sebelum membahayakan operasi bisnis.
Teknologi SIEM mengumpulkan data log peristiwa dari berbagai sumber, mengidentifikasi aktivitas yang menyimpang dari norma dengan analisis secara real-time, dan mengambil tindakan yang sesuai.
SIEM memberi organisasi visibilitas ke dalam aktivitas dalam jaringan mereka sehingga mereka dapat merespons dengan cepat potensi serangan siber dan memenuhi persyaratan kepatuhan.
Dalam dekade terakhir, teknologi SIEM telah berkembang untuk membuat deteksi ancaman dan respons insiden menjadi lebih cerdas dan lebih cepat dengan kecerdasan buatan (AI).
