ACT Blog

logo bendera indonesia
Networking Ahmad Rudiansyah  

7 Langkah Rencana Respons Ransomware

ACT Communications – Keberhasilan ransomware sangat bergantung pada kesiapan organisasi untuk menanggapi serangan semacam itu. Kurangnya rencana yang tepat untuk menanggapi ransomware bisa sangat mahal, dan biaya ini terus meningkat karena penjahat dunia maya berusaha memeras lebih banyak uang dari organisasi menggunakan alat dan teknik serangan yang semakin canggih. Palo Alto melaporkan bahwa pembayaran ransomware rata-rata naik 71% selama paruh pertama tahun 2022 menjadi $925.162.

Mengetahui betapa mahalnya serangan ransomware, bagaimana seharusnya organisasi Anda merespons jika diduga ada serangan ransomware?

Menetapkan Rencana Tanggap Insiden Ransomware

Ada beberapa langkah penting untuk mempersiapkan organisasi Anda menghadapi serangan ransomware, termasuk menilai risiko, mengatasi ancaman, dan evaluasi pasca-insiden. Berikut adalah tujuh hal terpenting yang harus dilakukan untuk mengantisipasi serangan ransomware.

1. Penilaian risiko

Rencana respons ransomware yang efektif harus menggabungkan tahap persiapan yang terdefinisi dengan baik untuk memastikan organisasi Anda mengetahui risiko dan kerentanannya. Penilaian menyeluruh harus dilakukan untuk mengungkap titik-titik lemah ini. Itu harus:

  • Gunakan solusi perangkat lunak yang tepat untuk menghilangkan kerentanan dan melakukan pembaruan dan tambalan bila diperlukan.
  • Uraikan tim yang bertanggung jawab atas respons ransomware dan dokumentasikan peran dan tanggung jawab mereka.
  • Pastikan karyawan sadar dunia maya dengan melatih mereka menggunakan teknik kesadaran dunia maya yang kompeten. Langkah ini sangat penting, karena phishing adalah salah satu penyebab utama infeksi ransomware.
  • Persiapkan dan/atau perbarui proses dan kebijakan keamanan siber organisasi Anda, seperti langkah-langkah komprehensif untuk respons insiden dan pemulihan bencana, asuransi siber, dan kontrol akses. Itu juga dapat berisi kebijakan organisasi Anda tentang mendekati negosiasi tebusan.
  • Verifikasi kemampuan sistem respons insiden dengan melakukan latihan seperti tes penetrasi.

2. Deteksi

Jika terjadi potensi serangan ransomware, sangat penting untuk mendapatkan konfirmasi apakah kejadian tersebut memang merupakan serangan. Anda dapat menggunakan alat deteksi canggih serta solusi pemantauan untuk mengungkap anomali dan kemungkinan pelanggaran.

Jika serangan tersebut divalidasi sebagai serangan ransomware, Anda harus segera memberi tahu pemangku kepentingan yang tepat, sehingga mereka dapat menjalankan peran yang telah diuraikan sebelumnya untuk merespons pelanggaran tersebut. Ini termasuk tim manajemen, staf TI, hukum dan hubungan masyarakat (PR), dan tim lain yang dianggap organisasi Anda sebagai bagian dari tim respons ransomware.

Baca Juga :  Apa itu Edge Computing?

Langkah selanjutnya adalah pemeriksaan ruang lingkup insiden. Ini termasuk mencatat sistem, aplikasi, jaringan, dan perangkat mana yang terpengaruh dan mencari tahu bagaimana malware menyebar. Pendekatan dan langkah deteksi harus didokumentasikan dengan hati-hati untuk pelaporan pascaserangan, yang akan membantu menemukan, memahami, dan menambal setiap kerentanan dalam infrastruktur Anda.

3. Penahanan

Penahanan melibatkan mitigasi kerusakan ransomware dengan mengisolasi dan mengkarantina malware. Untuk melakukannya, Anda harus menyimpan semua bukti, fisik dan digital, untuk analisis forensik. Ini berarti sistem yang terkena dampak perlu dikendalikan secara terkendali untuk memfasilitasi analisis tambahan. Setelah penilaian awal dampak, kebijakan yang digariskan pada tahap persiapan ikut berperan saat menyebarkan informasi tentang penyerangan kepada pihak yang terkena dampak.

Langkah-langkah utama dalam fase ini meliputi:

  • Identifikasi sistem yang terinfeksi untuk memahami tingkat infeksi ransomware. Ini melibatkan penentuan semua aset yang terinfeksi dan tingkat perluasan lateral. Jika tim Anda kekurangan keterampilan teknis atau sumber daya untuk melakukan langkah ini, hubungi penyedia respons insiden pihak ketiga untuk mendapatkan bantuan.
  • Isolasi inang yang terkena dampak setelah mereka berhasil diidentifikasi. Sangat penting untuk memutuskan sistem yang terinfeksi dari jaringan secepat mungkin untuk mencegah penyebaran infeksi ke perangkat lain.
  • Pastikan cadangan aman dan bebas dari infeksi. Tentukan dan hati-hati mengevaluasi titik pemulihan terbaru yang layak.
  • Bukti dokumen dari sumber seperti file log, gambar sistem, pemberitahuan ransomware, dan file terenkripsi. Perlu dicatat bahwa bukti ini mungkin tidak stabil dan harus diperiksa serta didokumentasikan secara teratur saat serangan sedang berlangsung. Bukti tersebut dapat berisi kunci enkripsi yang dapat dipulihkan jika terjadi serangan—selama tertangkap sebelum kunci dihapus. Dalam beberapa kasus, jika serangan ditemukan cukup cepat, dimungkinkan untuk menghentikan proses enkripsi dan mengurangi beberapa kerusakan.

4. Investigasi

Investigasi menyeluruh perlu dilakukan setelah penahanan untuk mengidentifikasi jenis tebusan yang digunakan, kemungkinan risiko, dan opsi untuk pemulihan. Terkadang jenis ransomware yang digunakan menggunakan enkripsi yang lemah dengan mekanisme dekripsi yang tersedia untuk umum.

Selain itu, inisiatif seperti No More Ransom mewakili kolaborasi antara perusahaan keamanan TI dan lembaga penegak hukum untuk memungkinkan pemulihan korban ransomware jika memungkinkan.

Langkah-langkah yang dapat Anda ikuti dalam tahap investigasi adalah sebagai berikut:

  • Memanfaatkan bukti yang diawetkan untuk menetapkan lacak balak sebelum penyelidikan. Jika organisasi Anda tidak memiliki keahlian teknis, disarankan untuk berkonsultasi dengan pakar forensik digital dan respons insiden.
  • Identifikasi strain ransomware. Ransomware sering kali menampilkan nama, versi, atau jenisnya. Jika Anda mengalami masalah dengan proses ini, tim tanggap insiden pihak ketiga dapat membantu. Selain No More Ransom, ID Ransomware oleh MalwareHunterTeam adalah sumber daya gratis yang dapat membantu mengidentifikasi ransomware.
  • Tetapkan bagaimana sistem yang terpengaruh dikompromikan untuk mencegah infeksi ulang.
  • Hubungi otoritas hukum yang relevan. Penegakan hukum, tim hukum, dan kantor perlindungan data termasuk dalam kategori ini. Berkonsultasi dengan penegak hukum dapat membantu Anda menangani tuntutan tebusan berdasarkan keahlian dan pengalaman mereka dengan ransomware. Pihak ketiga juga dapat disewa untuk membantu negosiasi tebusan jika perlu, dan organisasi Anda harus memutuskan apakah akan melibatkan penyedia asuransi dunia maya tergantung pada tingkat infeksi.
Baca Juga :  10 Alasan Mengapa Bisnis Memilih Open Source

5. Remediasi

Fase ini adalah tentang menghapus setiap artefak jahat di jaringan Anda melalui tindakan seperti menyelesaikan pemindaian sistem, menambal kerentanan sistem, dan memperbarui alat keamanan siber Anda. Indikator kompromi juga harus dibagikan dengan pihak terkait, seperti penyedia layanan keamanan terkelola (MSSP).

6. Pulihkan dan pulihkan

Tahap ini berfokus pada bagaimana organisasi Anda akan pulih dari serangan ransomware dan kembali ke operasi normal sesegera mungkin. Ini melibatkan pemulihan sistem dan data dari cadangan aman yang Anda identifikasi di Langkah 3 untuk memulihkan waktu aktif.

7. Kegiatan pasca insiden

Pada fase ini, Anda harus:

  • Pastikan semua aplikasi, data, dan sistem telah dipulihkan dan diperhitungkan dengan memverifikasi cadangan.
  • Ikuti persyaratan peraturan dan pemberitahuan pelanggaran apa pun yang diperlukan untuk organisasi Anda.
  • Belajar dari serangan untuk meningkatkan postur keamanan Anda, dan ambil tindakan untuk menghindari skenario berulang.

Haruskah Organisasi Anda Memiliki Rencana Tanggapan Ransomware?

Memiliki rencana respons ransomware dapat membuat perbedaan yang luar biasa. Rencana respons ransomware yang efektif dapat membantu organisasi pulih dari serangan ransomware tanpa harus membayar uang tebusan, dan dalam kasus yang ekstrim dapat menjadi perbedaan antara ketidaknyamanan dan kebangkrutan.

Selain pembayaran ransomware rata-rata yang meningkat, model ransomware-as-a-service yang semakin populer telah secara signifikan menurunkan penghalang masuk bagi penjahat dunia maya potensial. Dengan pelanggaran keamanan seperti itu, adalah kunci untuk mempertahankan downtime seminimal mungkin, sehingga dampak finansial tetap minimal.

Baca Juga :  Membuat Rencana Pemulihan Bencana untuk Cloud Hybrid

Tanpa rencana, membayar uang tebusan menjadi satu-satunya jalan keluar, menempatkan semua kekuatan di tangan penyerang. Meskipun mungkin tidak ilegal dalam banyak kasus, membayar uang tebusan peretas tidak dianjurkan oleh lembaga penegak hukum, karena hal itu memberdayakan pihak yang bertanggung jawab—selain beban keuangan yang ditimbulkannya pada organisasi Anda.

Memiliki respons sistematis terhadap insiden ransomware yang diantisipasi tidak hanya dapat menghemat uang organisasi Anda, tetapi juga memberikan langkah awal dalam menangani kerusakan. Di luar biaya, gangguan layanan sebagai akibat dari serangan ransomware kemungkinan akan berdampak pada reputasi perusahaan.

Ini dapat merusak kepercayaan pelanggan ketika sebuah organisasi gagal menanggapi serangan ransomware, terutama jika pada akhirnya mengakibatkan organisasi membayar uang tebusan. Dengan rencana respons ransomware, organisasi Anda lebih siap untuk memulihkan data sebelum pelanggan terpengaruh oleh gangguan layanan kritis—dan menunjukkan kepercayaan Anda sebagai produk atau mitra.

Jika Anda berusaha menghindari respons yang kikuk terhadap serangan ransomware dan menerapkan langkah-langkah formal yang akan memastikan serangan semacam ini tidak berulang berhasil dieksekusi terhadap organisasi Anda, maka rencana respons ransomware harus dimiliki.

Mengembangkan Rencana Respons Ransomware yang Efektif

Penting untuk diingat bahwa rencana respons ransomware akan menjadi tidak efektif jika Anda tidak belajar dari setiap insiden ransomware. Anda harus selalu menyelidiki mengapa serangan terjadi dan menentukan tindakan yang tepat untuk diambil guna menopang kerentanan dan mencegah kompromi di masa mendatang. Plus, pelajaran yang diperoleh dari setiap tahap harus terus mengembangkan rencana respons ransomware Anda ke depannya.

Anda mungkin tidak perlu menggunakan paket respons ransomware Anda. (Faktanya, ini ideal!) Namun, kemungkinan ini seharusnya tidak menghalangi organisasi Anda untuk memilikinya, karena penjahat dunia maya terus berkembang, menyempurnakan, dan membuat metode mereka lebih mudah diakses dan intuitif bagi penjahat dan lebih menghancurkan target mereka. Dalam keamanan, selalu lebih baik mempersiapkan diri secara berlebihan daripada kurang persiapan.

Jika Anda mencari paket keamanan yang lebih komprehensif untuk perusahaan anda, silahkan hubungi marketing kami untuk berkonsultasi lebih lanjut.

Open chat
Tim Marketing
Halo, silahkan jelaskan kebutuhan anda agar kami dapat memberikan penawaran terbaik!