Home Networking Cara mengenali ancaman web gelap di jaringan Anda menggunakan NDR
Networking

Cara mengenali ancaman web gelap di jaringan Anda menggunakan NDR

Sponsored by Corelight7 min read
63
cara-mengenali-ancaman-web-gelap-di-jaringan-anda-menggunakan-ndr
Cara mengenali ancaman web gelap di jaringan Anda menggunakan NDR

Para profesional keamanan siber menyadari bahwa jaringan perusahaan adalah target utama risiko web gelap seperti ransomware, aktivitas orang dalam yang tidak sah, dan penyelundupan data. Yang kurang jelas adalah bahwa bukti aktivitas ini sering kali tersembunyi di depan mata, terkubur dalam lalu lintas jaringan sehari-hari.

Bagi pemimpin keamanan yang menggunakan Deteksi dan Respon Jaringan (NDR), sinyal tersembunyi ini menjadi peluang bagi pertahanan.

Ingin tahu cara mengenali ancaman web gelap di jaringan Anda?

Mulailah dengan empat langkah penting berikut untuk memanfaatkan NDR dalam deteksi dan investigasi:

Langkah 1: Ketahui gerbang ke web gelap

Berbeda dengan web publik, web gelap bergantung pada alat anonim seperti browser Tor, Invisible Internet Project (I2P), dan jaringan Freenet peer-to-peer (P2P) yang mengaburkan asal pengguna, mengenkripsi lalu lintas, dan menghindari deteksi.

Meskipun memiliki kemampuan untuk mengaburkan aktivitas, tanda-tanda pergerakan web gelap masih terekam dalam data jaringan.

Tanda-tandanya mencakup penggunaan port yang tidak biasa, pola lalu lintas terenkripsi, dan komunikasi dengan node masuk atau keluar Tor (dieksplorasi lebih lanjut di langkah 4).

Langkah 2: Pahami NDR

Sistem NDR memantau lalu lintas jaringan secara real-time, memanfaatkan AI, pembelajaran mesin, dan analisis perilaku untuk mengidentifikasi aktivitas mencurigakan atau berbahaya. NDR juga menyimpan catatan komprehensif aktivitas jaringan, memberikan sejarah dan konteks penting.

Dengan wawasan ini, tim dapat mengintegrasikan NDR ke dalam infrastruktur dan proses SOC mereka untuk meningkatkan waktu rata-rata untuk mendeteksi (MTTD) dan merespons (MTTR) terhadap ancaman dunia maya, termasuk yang ditimbulkan oleh web gelap.

Langkah 3: Terapkan NDR untuk visibilitas web gelap yang komprehensif

Pantau lalu lintas di seluruh jaringan inti, lingkungan edge, dan segmen internal Anda. Rekomendasi utama meliputi:

  • Posisikan sensor NDR di lokasi strategis:
    Fokus pada segmen jaringan yang menampung aset bernilai tinggi untuk menangkap aktivitas perintah dan kontrol (C2) dan upaya penyelundupan data.

  • Analisis lalu lintas utara-selatan: Gunakan NDR untuk memeriksa komunikasi internal-ke-eksternal guna mendeteksi kemungkinan interaksi web gelap.

  • Lacak gerakan lateral: Pantau lalu lintas internal antar perangkat untuk mencari tanda-tanda yang dapat mengindikasikan ancaman terkait web gelap.

Langkah 4: Deteksi dan berburu dengan NDR

Mulailah dengan baselining jaringan

Penerapan NDR sering kali dimulai dengan periode dasar jaringan selama 30 hari yang memungkinkan platform mempelajari lalu lintas normal organisasi Anda. Setelah selesai, NDR dapat secara otomatis menandai indikator aktivitas web gelap, termasuk:

  • Komunikasi baru dengan IP eksternal yang sebelumnya tidak dikenal

  • Koneksi rekan yang berlebihan

  • Protokol transfer file yang mencurigakan atau lalu lintas ke domain yang tidak biasa

  • Lalu lintas keluar yang tidak biasa menyamar seperti biasa, menandakan kemungkinan eksfiltrasi data ke pasar web gelap

Dengan penetapan garis dasar, kini Anda dapat menyempurnakan pengaturan NDR untuk mengotomatiskan deteksi indikator web gelap yang ditargetkan.

Perhatikan bahwa jika jaringan Anda telah disusupi, Anda harus berhati-hati agar NDR tidak menganggap aktivitas ancaman sebagai hal yang “normal”.

Inilah sebabnya mengapa penetapan dasar jaringan memerlukan analisis aktif dan pemahaman tentang lingkungan Anda.

Deteksi otomatis aktivitas Tor

  • Atur peringatan dinamis untuk perangkat yang berkomunikasi melalui port Tor default (9001, 9030, 9050).

  • Pantau log terowongan untuk mengetahui pola yang tidak teratur seperti header Transport Layer Security (TLS) terkompresi, perilaku negosiasi unik, sesi yang sangat panjang, dan penggunaan bandwidth yang tinggi.

  • Pindai tanda tangan lalu lintas Tor, termasuk panjang paket dan jabat tangan yang berbeda.

  • Lacak koneksi ke node entri Tor, relai, jembatan, dan node Obfourscator atau “obfs4” yang diketahui. Tandai lalu lintas yang sering berpindah antara beberapa IP eksternal atau berinteraksi dengan layanan anonimisasi.

  • Platform NDR Terbuka Corelight dengan Peneliti dapat memberikan visibilitas ke dalam koneksi Tor melalui metadata jaringan (termasuk koneksi, protokol, dan koneksi serta sertifikat TLS), tanda tangan Suricata, dan deteksi algoritme pembelajaran mesin.

Pantau Koneksi I2P dan P2P

  • Atur peringatan dinamis untuk lalu lintas pada port I2P (7650–7659) dan port BitTorrent/P2P (6881–6889).

  • Pantau lalu lintas UDP keluar yang tinggi ke IP acak atau eksternal, yang menandakan terowongan I2P.

  • Perhatikan lonjakan berkala ke IP yang tidak dikenal atau belum terselesaikan dan port UDP yang tidak jelas yang umum terjadi pada penemuan rekan I2P.

  • Mendeteksi sesi P2P yang persisten dan berdurasi panjang di seluruh IP terdistribusi, yang menunjukkan aktivitas Freenet.

  • Carilah sertifikat yang ditandatangani sendiri yang khas dari Freenet dan alat anonimisasi lainnya.

  • Tandai stasiun kerja dan perangkat (termasuk IoT) yang menunjukkan koneksi persisten ke nama domain dengan entropi tinggi atau acak, yang merupakan tanda umum layanan anonimisasi.

  • Cahaya Inti Pengumpulan Lalu Lintas Terenkripsi dapat membantu mengidentifikasi sertifikat yang tidak biasa, enkripsi yang tidak terduga, dan anomali TLS lainnya yang dapat mengindikasikan penggunaan koneksi I2P dan P2P terenkripsi.

Lacak aktivitas DNS yang mencurigakan

  • Pantau log DNS untuk kueri ke alamat .onion, subdomain yang tidak umum, dan upaya mengakses domain yang terkait dengan alat anonimisasi.

  • Tandai kueri ke domain yang bereputasi rendah, jarang digunakan, atau berbahaya, terutama yang tertaut ke VPN atau proxy. Misalnya, permintaan DNS yang melibatkan domain .su, yang diperuntukkan bagi negara bekas Uni Soviet, hampir tidak pernah sah.

  • Deteksi perangkat yang menghindari DNS internal dan malah menggunakan server DNS eksternal. Hal ini dapat mengindikasikan penggunaan alat anonimisasi, namun kemungkinan juga merupakan pelanggaran terhadap kebijakan dan preferensi keamanan jaringan organisasi.

Pantau koneksi VPN

  • Deteksi koneksi ke penyedia VPN konsumen terkenal (misalnya, NordVPN, ExpressVPN, ProtonVPN).

  • Peringatan tentang port VPN non-standar (OpenVPN: 1194, Layer Two Transport Protocol, atau L2TP: 1701).

  • Tandai lalu lintas yang dirutekan melalui OpenVPN, IPSec, atau WireGuard, termasuk penggunaan sertifikat SSL/TLS khusus yang terkait dengan layanan ini, untuk menentukan apakah hal tersebut diizinkan oleh kebijakan dan praktik saat ini.

  • Paket VPN Insights Corelight mengidentifikasi lebih dari 400 protokol, penyedia, dan jenis VPN unik serta mencatatnya bersama dengan metadata penting (seperti negara asal) untuk diselidiki.

Pantau “perjalanan yang mustahil”, geolokasi, dan anomali serupa

  • Identifikasi contoh “perjalanan yang tidak mungkin” menggunakan data geolokasi IP dari pengguna atau perangkat (misalnya, login dari negara yang jauh ketika pengguna berada di kantor Anda).

  • Deteksi koneksi dari wilayah atau negara mencurigakan di luar cakupan operasional normal organisasi Anda.

  • Cari lalu lintas tanpa aplikasi bisnis sah yang dapat diidentifikasi

Tandai gerakan lateral yang menandakan kemungkinan infiltrasi

  • Tandai lalu lintas internal yang berpindah antar beberapa sistem sebelum mencapai titik akhir eksternal.

  • Pantau aktivitas yang tidak biasa antar perangkat internal, terutama menggunakan protokol yang tidak terduga seperti proxy/tunnel SOCKS.

  • Pengumpulan Lalu Lintas Terenkripsi Corelight juga dapat mengidentifikasi lalu lintas manajemen jarak jauh yang tidak biasa, bahkan dalam koneksi terenkripsi, membantu melihat potensi penggunaan SSH dan RDP yang berbahaya saat penyerang bergerak ke samping dalam jaringan.

Deteksi malware dan suar perintah dan kontrol (C2).

  • Menggunakan Anak-anak untuk menganalisis file yang diekstraksi dari lalu lintas jaringan. Cari malware atau biner yang mencurigakan.

  • Periksa log untuk mengetahui pola aktivitas “check-in”. Hal ini dapat terjadi secara berkala, misalnya setiap 5 menit, atau setiap jam.

  • milik Corelight Koleksi C2 mengidentifikasi lusinan kerangka serangan, RAT, dan malware yang sering digunakan untuk melancarkan serangan, membangun C2, dan mengunduh alat tambahan untuk perluasan serangan.

Tambahkan intelijen ancaman

  • Hubungkan aktivitas web gelap yang diketahui dengan menambahkan umpan intelijen ancaman. Integrasikan feed untuk menandai Indikator Kompromi (IOC) seperti hash, IP, dan domain C2.

  • Pertimbangkan untuk menyewa layanan intelijen ancaman pihak ketiga untuk memantau web gelap untuk mencari obrolan tentang organisasi Anda atau kebocoran data dari lingkungan Anda.

  • Lacak upaya login dari lokasi yang mencurigakan atau disusupi dengan pemantauan kredensial eksternal.

  • Kerangka Intel Corelight mencocokkan jutaan indikator pada kecepatan garis, menghasilkan peringatan dan log untuk deteksi dan penyelidikan tepat.

Solusi NDR yang disesuaikan secara signifikan meningkatkan kemampuan organisasi Anda dalam mendeteksi aktivitas web gelap dan memperkuat postur keamanan siber secara keseluruhan.

Platform Open NDR Corelight memiliki fitur deteksi multi-lapisan terintegrasi, analisis file, pemantauan protokol tingkat lanjut, dan pengumpulan metadata jaringan jangka panjang yang komprehensif.

Untuk mengetahui lebih lanjut tentang Corelight NDR atau mendiskusikan cara mengaktifkan kemampuan deteksi web gelap ini dalam jaringan Anda sendiri, kunjungi corelight.com.

Disponsori dan ditulis oleh cahaya inti.

Post Views: 63

Read Also

Exit mobile version