Ransomware telah menjadi salah satu model bisnis terkuat kejahatan siber, merugikan organisasi hingga miliaran dolar setiap tahun. Dalam serangan ransomware, penjahat siber mencuri atau mengenkripsi data berharga dan kemudian meminta pembayaran agar data dikembalikan dengan aman. Serangan ini telah berkembang dari gangguan tingkat konsumen menjadi malware canggih dengan kemampuan enkripsi tingkat lanjut, dan tidak ada satu pun industri, geografi, atau ukuran bisnis yang kebal.
Melindungi organisasi Anda dari ransomware dan jenis malware lainnya memerlukan tanggapan yang cepat, karena untuk setiap detik yang berlalu, semakin banyak file yang dienkripsi dan semakin banyak perangkat yang terinfeksi—meningkatkan kerusakan dan biaya. IBM Security QRadar SIEM membantu Anda mendeteksi ancaman ini dengan cepat, sehingga Anda dapat segera mengambil tindakan yang tepat untuk mencegah atau meminimalkan dampak serangan.
Baca Panduan Definitif Ransomware
Baca laporan Biaya Pembobolan Data 2022
Dalam pertempuran melawan ransomware, deteksi dini dan pencegahan sangat penting. QRadar SIEM menawarkan analitik keamanan cerdas yang memberi Anda wawasan yang dapat ditindaklanjuti terhadap ancaman penting.
21% dari semua serangan siber adalah ransomware¹
Biaya rata-rata serangan ransomware adalah USD 4,54 juta2
Terdapat peningkatan 146% dalam ransomware Linux dengan kode baru3
Ransomware, seperti kebanyakan malware, berkembang melalui beberapa fase. QRadar SIEM dapat menemukan ransomware yang dikenal dan tidak dikenal di seluruh fase ini. Deteksi dini dapat membantu mencegah kerusakan yang dilakukan pada fase selanjutnya. QRadar menyediakan ekstensi konten yang menyertakan ratusan kasus penggunaan untuk menghasilkan peringatan di seluruh fase ini. Ekstensi konten dikirimkan melalui App Exchange dan memberikan kemampuan untuk mendapatkan kasus penggunaan terbaru. Kumpulan IBM Security® X-Force® Threat Intelligence digunakan sebagai referensi dalam kasus penggunaan untuk membantu menemukan indikator kompromi (IOC) terbaru yang diketahui, seperti alamat IP, hash file malware, URL, dan lainnya.
Sebagian besar malware dan ransomware yang "dikenal" dapat ditemukan pada fase awal. Untuk mendeteksi ransomware yang tidak dikenal, QRadar SIEM menyediakan kasus penggunaan yang berfokus pada pendeteksian perilaku ransomware. Visibilitas di seluruh endpoint, server aplikasi (di lokasi dan cloud), dan perangkat jaringan (firewall) memungkinkan QRadar SIEM Use Case Manager untuk mendeteksi pola perilaku ransomware yang menjangkau infrastruktur TI dan OT Anda. Use Case Manager dapat membantu Anda memvisualisasikan jika Anda memiliki kasus penggunaan, atau aturan, yang menjangkau fase ini dengan menggunakan matriks MITRE ATT&CK.
Ransomware terlihat seperti malware lain selama fase ini. Ransomware menggunakan teknik phishing untuk memikat karyawan Anda yang tidak menaruh curiga untuk mengeklik tautan atau dapat juga dilakukan melalui email, Honeypot, media sosial, atau pesan teks.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku distribusi dan ransomware yang diketahui:
- Dapat dieksekusi tertanam dalam email
- Email atau komunikasi web dengan host yang agresif
- Subjek email yang mencurigakan
Ini adalah saatnya hitungan dimulai. Ransomware sekarang ada di lingkungan Anda. Jika ransomware menggunakan "dropper" (pengirim program) untuk menghindari deteksi pada fase distribusi, ini adalah saat dropper mulai menetap di lingkungan Anda dan mengunduh "file dapat dieksekusi nyata" dan menjalankannya.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku infeksi:
- Deteksi file atau proses berbahaya
- Deteksi IOC berbahaya
- Dekode atau unduh file diikuti dengan aktivitas yang mencurigakan
Ransomware sedang memindai mesin untuk menganalisis hak administratif yang dapat diperolehnya, menjalankan dirinya sendiri saat boot, menonaktifkan mode pemulihan, menghapus salinan bayangan, dan banyak lagi.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pementasan:
- Mencoba penghapusan salinan bayangan, cadangan
- Pemulihan dinonaktifkan dalam konfigurasi boot
Sekarang ransomware memiliki mesin dari fase awal dan akan memulai fase pengintaian jaringan (jalur serangan), folder dan file dengan ekstensi yang telah ditentukan, dan lainnya.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pengintaian:
- Mencoba penghapusan salinan bayangan, cadangan
- Pembatasan ukuran transfer data
Kerusakan sebenarnya dimulai sekarang. Tindakan umum meliputi: membuat salinan setiap file, mengenkripsi salinan, menempatkan file baru di lokasi aslinya. File asli mungkin ditransfer secara ilegal dan dihapus dari sistem, yang memungkinkan penyerang memeras korban dengan ancaman untuk menyebarluaskan pembobolan yang mereka lakukan, atau bahkan membocorkan dokumen yang dicuri.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku enkripsi:
- Penghapusan atau pembuatan file yang berlebihan
- Jumlah file yang mencurigakan diganti namanya atau dipindahkan pada mesin yang sama (UNIX)
- Pembatasan ukuran transfer data
Kerusakan terjadi dan pengguna menerima pemberitahuan tentang cara membayar uang tebusan untuk mendapatkan kunci dekripsi. Pada titik ini tidak banyak lagi yang bisa dideteksi, kecuali pembuatan file instruksi dekripsi.
Contoh kasus penggunaan QRadar SIEM untuk menemukan perilaku pemberitahuan tebusan:
- Instruksi dekripsi ransomware dibuat
Kasus Penggunaan untuk menemukan ransomware tersedia di Ekstensi Konten berikut yang ditemukan di App Exchange (tautan berada di luar ibm.com):
- IBM QRadar Phishing dan Ekstensi Konten Email (tautan berada di luar ibm.com)
- Konten Pemantauan Ancaman Keamanan IBM QRadar (tautan berada di luar ibm.com)
- Ekstensi Konten Endpoint IBM QRadar (tautan berada di luar ibm.com)
Waktu sangat penting setelah fase infeksi awal. Semakin cepat Anda mendeteksi, semakin cepat Anda dapat memulai rencana respons insiden (IR) Anda. Semakin baik rencana IR, semakin cepat Anda dapat menghentikan kemajuan ransomware di semua fase. NIST (tautan berada di luar ibm.com) dan SANS (tautan berada di luar ibm.com) memiliki pedoman IR yang telah digunakan sejak lama. Ada beberapa aspek kunci dari setiap rencana IR.
Tersedia cadangan. Dukungan offline sangat penting dalam serangan ransomware. Pastikan Anda memahami di mana cadangan itu berada dan cara memulihkan sistem Anda. Sertakan langkah-langkah tentang siapa yang harus dihubungi untuk setiap aset TI penting dalam proses IR Anda.
Tim, alat, dan peran yang diidentifikasi. Saat ransonware berkembang melalui berbagai fase dari infeksi awal hingga enkripsi, komposisi tim respons berubah. Hal ini biasanya berarti lebih banyak orang yang perlu terlibat di seluruh organisasi. Hal ini sering kali bisa mencakup penggunaan layanan pihak ketiga untuk membantu atau, dalam kasus pelanggaran, menghubungi bagian hukum, pembuat peraturan eksternal, dan pelanggan. Mengetahui siapa yang harus dihubungi dan kapan sesuatu dianggap penting. Memperbarui daftar kontak itu penting, tetapi mengintegrasikan peran kontak tersebut ke dalam proses Anda sangat penting untuk memberikan respons yang efektif. Dokumen cetak dan PDF sudah memadai, tetapi memiliki alat dan otomatisasi yang tepat dan memberi seluruh tim akses ke proses respons ransomware, tindakan, dan dokumentasi historis adalah kuncinya.
Proses dan otomatisasi yang ditetapkan dengan baik. Proses IR dapat berisi banyak tugas dan menyertakan banyak poin keputusan. Menyelaraskan proses Anda dengan fase yang diuraikan oleh NIST dan SANS merupakan praktik yang baik. Misalnya Anda dapat mengatur proses IR dengan tahapan berikut:
- Temukan dan Identifikasi
- Pengayaan dan Validasi
- Penahanan dan Perbaikan
- Pemulihan dan Komunikasi
QRadar SOAR menyediakan buku pedoman untuk menentukan proses IR Anda dan mengotomatiskan banyak tindakan yang mungkin perlu dilakukan oleh seorang analis untuk melewati fase dengan cepat. Respons pembobolan QRadar SOAR dapat membuat tugas pelaporan pembuat peraturan yang diperlukan berdasarkan PI yang diekspos.
Inventarisasi aset TI, pemilik, PI. Saat sistem terinfeksi, analis keamanan perlu mengetahui pemilik sistem dan aplikasi serta data. Solusi manajemen aset seperti ServiceNow atau SAP dapat membantu mengelola kontak untuk sistem. IBM Security® Discover and Classify dapat membantu menemukan sumber data dan PI di setiap sumber. Jadi jika terjadi pembobolan data, analis mengetahui apakah ada peraturan yang terlibat.
Kota Los Angeles, LA Cyber Lab, dan IBM bergabung untuk menghadirkan intelijen ancaman dan memperkuat bisnis lokal yang rentan.
Mengintegrasikan data, menganalisis log, dan memprioritaskan insiden membantu perusahaan investasi dan pengembangan real estat Vietnam mendeteksi dan merespons ancaman.
Dengan menghosting solusi QRadar SIEM pada penyimpanan IBM FlashSystem® berkinerja tinggi, Data Action (DA) menawarkan keamanan yang lebih baik untuk bank alternatif.
Deteksi ancaman dari pusat ke titik akhir dengan QRadar SIEM melindungi organisasi Anda dengan berbagai cara.
Gabungkan solusi perburuan ancaman siber IBM Security ke dalam strategi keamanan Anda untuk melawan dan memitigasi ancaman dengan lebih cepat.
Integrasikan paket kepatuhan ke dalam QRadar SIEM untuk memastikan kepatuhan dan otomatisasi pelaporan.
Hentikan serangan siber dengan cepat menggunakan deteksi ancaman nyaris real-time dari QRadar SIEM.