Organisasi menghadapi tantangan untuk mempertahankan visibilitas dan kontrol atas infrastruktur TI mereka. Akun pengguna yang terlupakan, paket perangkat lunak yang ketinggalan jaman, layanan yang tidak sah, atau ekstensi browser yang berbahaya dapat mengungkap kerentanan yang ingin dieksploitasi oleh pelaku ancaman.
Mengatasi risiko-risiko ini memerlukan pendekatan sistematis untuk menjaga keamanan dan integritas, serta kesehatan keseluruhan setiap sistem dalam organisasi. Di sinilah kebersihan TI menjadi penting.
Kebersihan TI adalah praktik sistematis dalam menjaga konfigurasi yang konsisten dan aman di seluruh titik akhir infrastruktur organisasi. Ini mencakup pemantauan berkelanjutan terhadap perangkat keras, perangkat lunak, akun pengguna, proses yang berjalan, dan konfigurasi jaringan untuk memastikan keselarasan dengan kebijakan keamanan dan persyaratan kepatuhan.
Kebersihan TI yang buruk menciptakan kesenjangan keamanan yang dapat menyebabkan pelanggaran data, gangguan sistem, dan kerusakan finansial dan reputasi yang signifikan.
Wazuh adalah platform keamanan sumber terbuka gratis yang menyediakan beragam kemampuan, termasuk kemampuan kebersihan TI khusus, pemantauan integritas file, penilaian konfigurasi, deteksi kerentanan, dan respons aktif.
Postingan ini mengeksplorasi bagaimana organisasi dapat memanfaatkan Wazuh untuk menjaga kebersihan TI perusahaan, mengkaji kasus penggunaan praktis, dan menunjukkan efektivitasnya dalam meningkatkan postur keamanan mereka.
Ikhtisar kebersihan TI
Kebersihan TI mencakup tindakan pencegahan yang diterapkan organisasi untuk menjaga kesehatan dan keamanan infrastruktur TI mereka. Hal ini mengurangi risiko insiden keamanan dengan memastikan sistem tetap dikonfigurasi dengan benar, terkini, dan dipantau.
Aspek-aspek utama meliputi:
- Visibilitas aset: Mempertahankan inventaris yang komprehensif dan terkini atas semua aset perangkat keras dan perangkat lunak di seluruh infrastruktur Anda.
- Manajemen konfigurasi: Memastikan sistem dikonfigurasikan sesuai dengan praktik terbaik keamanan dan kebijakan organisasi. Hal ini termasuk meminimalkan layanan, port, dan perangkat lunak, serta konfigurasi autentikasi dan pengerasan akun.
- Manajemen tambalan: Memperbarui perangkat lunak secara berkala untuk mengatasi kerentanan yang diketahui.
- Kontrol akses: Mengelola akun pengguna dan izin untuk mencegah akses tidak sah.
- Pemantauan dan audit: Terus melacak aktivitas dan konfigurasi sistem untuk mendeteksi anomali.
Tanpa praktik kebersihan TI yang tepat, organisasi menjadi rentan terhadap ancaman seperti akses tidak sah, infeksi malware, penyelundupan data, dan pelanggaran kepatuhan.
Kemampuan kebersihan TI Wazuh
Wazuh memperkenalkan kemampuan kebersihan TI di versi 4.13.0, yang menyediakan dasbor terpusat bagi tim keamanan untuk memantau inventaris sistem di seluruh infrastruktur.
Kemampuan ini memanfaatkan modul Wazuh Syscollector untuk mengumpulkan dan menggabungkan data dari semua titik akhir yang dipantau, menyimpannya dalam indeks khusus dalam pengindeks Wazuh untuk kueri dan analisis.
Kemampuan kebersihan TI Wazuh mengumpulkan data inventaris sistem, termasuk:
- Spesifikasi perangkat keras seperti CPU, memori, dan penyimpanan data
- Detail dan versi sistem operasi
- Paket perangkat lunak yang diinstal dan versinya
- Menjalankan proses dan layanan
- Konfigurasi jaringan dan port terbuka
- Akun pengguna dan keanggotaan grup
- Ekstensi browser dan izinnya
Data ini disajikan melalui antarmuka dasbor intuitif yang memungkinkan administrator keamanan menanyakan dan menganalisis informasi inventaris di beberapa titik akhir secara bersamaan, sehingga menghilangkan kebutuhan akan pemeriksaan manual yang memakan waktu.
Mengakses dasbor kebersihan TI
Pengguna dapat mengakses data inventaris melalui dashboard Wazuh dengan menavigasi ke Operasi keamanan > kebersihan TI. Antarmuka menyediakan banyak tab untuk berbagai kategori inventaris:
Setiap tab memungkinkan administrator menambahkan filter khusus untuk menyaring kueri dan memilih bidang tambahan untuk ditampilkan. Fleksibilitas ini memungkinkan tim keamanan dengan cepat mengidentifikasi perubahan konfigurasi, pelanggaran kebijakan, dan anomali keamanan di seluruh infrastruktur mereka.
Kasus penggunaan praktis untuk kebersihan TI perusahaan
Manajemen patch perangkat lunak
Mempertahankan konsistensi versi perangkat lunak di seluruh titik akhir sangat penting untuk keamanan, stabilitas, dan kepatuhan. Versi paket yang tidak konsisten menimbulkan kerentanan yang dapat dieksploitasi dan dapat melanggar kebijakan patching organisasi. Memverifikasi versi perangkat lunak secara manual di ribuan titik akhir tidak praktis dan rawan kesalahan.
Kemampuan kebersihan TI Wazuh memberikan visibilitas komprehensif ke dalam paket yang diinstal di seluruh infrastruktur. Administrator keamanan dapat:
- Identifikasi titik akhir yang menjalankan versi perangkat lunak yang usang atau rentan
- Mendeteksi instalasi perangkat lunak yang tidak sah
- Verifikasi kepatuhan dengan katalog perangkat lunak yang disetujui
Misalnya, administrator dapat menggunakan filter di Paket tab untuk mengidentifikasi semua titik akhir yang menjalankan versi tertentu dari aplikasi atau pustaka penting. Dengan menerapkan filter pada bidang seperti paket.nama dan lapangan paket.versitim keamanan dapat dengan cepat membuat daftar titik akhir yang memerlukan pembaruan paket, sehingga secara signifikan menyederhanakan proses manajemen patch.
Manajemen ekstensi browser
Ekstensi browser adalah permukaan serangan yang semakin dieksploitasi, khususnya di lingkungan perusahaan. Ekstensi dengan izin luas dapat mengakses data sensitif, memasukkan skrip berbahaya, mencegat kredensial, dan berfungsi sebagai vektor malware. Insiden keamanan baru-baru ini melibatkan pemblokir iklan palsu dan pengelola kata sandi yang digunakan dalam kampanye pencurian kredensial.
Kemampuan kebersihan TI Wazuh memberikan visibilitas lengkap ke dalam ekstensi browser di seluruh titik akhir yang dipantau, termasuk:
- Nama dan versi ekstensi
- Izin yang diminta (tab, penyimpanan, webRequest, dan sebagainya.)
- Tanggal dan sumber instalasi
- Asosiasi pengguna
Tim keamanan dapat menggunakan informasi ini untuk mengidentifikasi ekstensi yang tidak sah atau berisiko tinggi, mendeteksi ekstensi dengan izin berlebihan, dan menerapkan kebijakan ekstensi browser. Hal ini memungkinkan mereka merespons dengan cepat laporan ekstensi berbahaya.
Manajemen identitas
Itu Identitas bagian kebersihan TI Wazuh memungkinkan audit akun untuk memastikan bahwa identitas dan izin pengguna tetap selaras dengan kebijakan organisasi di seluruh infrastruktur. Administrator dapat mengaudit informasi pengguna dengan menerapkan filter di dalam Pengguna Dan Grup dasbor.
Kasus penggunaan berikut menunjukkan deteksi akun tidak aktif untuk mengidentifikasi akun yang tidak aktif atau tidak diperlukan, dan hak istimewa verifikasi akun untuk memastikan hanya pengguna resmi yang memiliki izin yang lebih tinggi.
Deteksi akun tidak aktif
Akun pengguna yang tidak aktif atau ditinggalkan menimbulkan risiko keamanan yang signifikan. Akun-akun ini, yang sering kali milik mantan karyawan atau kontraktor, dapat dieksploitasi oleh penyerang untuk mendapatkan akses tidak sah. Mereka mewakili vektor serangan yang terlupakan dan mungkin tidak memiliki kontrol keamanan saat ini, seperti otentikasi multi-faktor, dan dengan demikian menjadi titik masuk bagi penyerang.
Kemampuan kebersihan TI Wazuh memungkinkan organisasi mengidentifikasi akun yang tidak aktif secara sistematis. Administrator dapat:
A. Navigasi ke Operasi keamanan > Kebersihan TI > Identitas > Pengguna.
B. Filter akun berdasarkan kriteria seperti:
- Akun dengan shell login yang valid (menunjukkan akses interaktif)
- Tanggal login terakhir di luar kebijakan organisasi
- Akun tanpa aktivitas terkini
C. Hasilkan daftar akun yang memerlukan peninjauan atau penonaktifan
Misalnya, gambar di atas menunjukkan pengguna yang difilter pengguna.shell nilai-nilai seperti /bin/bash atau /bin/sh untuk mengidentifikasi akun yang mampu mengakses sistem interaktif. Referensi silang data ini dengan rincian dari pengguna.last.login bidang mengungkapkan akun tidak aktif yang harus diselidiki atau dihapus.
Audit akun istimewa
Pengguna tidak sah dengan hak administratif menimbulkan risiko keamanan yang penting. Akun di grup Administrator lokal (Windows) atau grup sudo (Linux) dapat menginstal perangkat lunak, mengubah konfigurasi sistem, menonaktifkan kontrol keamanan, dan mengakses data sensitif.
Meskipun jarang digunakan, akun-akun ini merupakan target berharga bagi penyerang yang ingin mempertahankan kegigihan dan meningkatkan hak istimewa.
Kemampuan kebersihan TI Wazuh memungkinkan tim keamanan untuk:
- Identifikasi semua pengguna dengan hak istimewa yang lebih tinggi di seluruh infrastruktur
- Verifikasi bahwa hanya personel yang berwenang yang memiliki akses administratif
- Deteksi upaya peningkatan hak istimewa atau pelanggaran kebijakan
- Pertahankan kepatuhan terhadap kebijakan kontrol akses
Administrator dapat menggunakan filter di Grup tab di dalam Identitas bagian dari dasbor kebersihan TI Wazuh untuk mengidentifikasi anggota kelompok yang memiliki hak istimewa.
Administrator kemudian dapat melakukan referensi silang hasil ini terhadap daftar pengguna yang berwenang untuk mengidentifikasi akun dengan penetapan hak istimewa yang tidak sah.
Optimalisasi sumber daya perangkat keras
Di lingkungan perusahaan besar dengan banyak endpoint Linux dan Windows, spesifikasi perangkat keras yang tidak sesuai dapat menimbulkan tantangan operasional yang signifikan.
Server dengan inti CPU atau memori yang tidak mencukupi akan menyebabkan hambatan kinerja yang berdampak pada beban kerja penting, sementara server yang berukuran terlalu besar akan membuang-buang sumber daya dan mendorong biaya komputasi awan yang tidak perlu.
Kemampuan kebersihan TI Wazuh memungkinkan analisis sumber daya di seluruh perangkat, memungkinkan administrator untuk:
- Identifikasi titik akhir yang berada di luar spesifikasi yang ditentukan kebijakan
- Mendeteksi sistem yang kekurangan daya yang memengaruhi layanan penting
- Temukan contoh berukuran besar yang membuang-buang anggaran
- Optimalkan alokasi sumber daya cloud
- Rencanakan peningkatan kapasitas berdasarkan pola penggunaan aktual
Misalnya, administrator dapat menggunakan filter di dalam Perangkat keras tab untuk mengidentifikasi semua server dengan memori di bawah ambang batas yang ditentukan (misalnya, 8 GB untuk server web) atau sistem dengan sumber daya berlebihan yang dapat dirampingkan.
Pendekatan berbasis data ini mendukung optimalisasi biaya dan peningkatan keandalan tanpa memerlukan pemeriksaan manual pada masing-masing titik akhir.
Pemantauan pelabuhan dan layanan
Port terbuka yang tidak perlu dan layanan tidak sah memperluas permukaan serangan. Setiap port terbuka merupakan titik masuk potensial bagi penyerang, dan layanan tidak sah mungkin mengandung kerentanan atau kesalahan konfigurasi yang membahayakan keamanan.
Kemampuan kebersihan TI Wazuh memberikan visibilitas komprehensif ke dalam:
- Semua port jaringan terbuka di seluruh titik akhir
- Layanan mendengarkan di setiap port
- Asosiasi proses untuk menjalankan layanan
- Status dan konfigurasi port
Tim keamanan dapat menggunakan filter di dalam Pelabuhan tab untuk mengidentifikasi titik akhir dengan port terbuka yang tidak terduga atau layanan tidak sah. Misalnya, port database (3306, 5432) tidak boleh dibuka di workstation atau server web. Mereka harus dibatasi hanya pada jaringan internal atau server aplikasi tertentu.
Praktik terbaik untuk menerapkan kebersihan TI dengan Wazuh
Untuk memaksimalkan manfaat kemampuan kebersihan TI Wazuh, organisasi harus mengikuti praktik terbaik berikut:
1. Menetapkan inventarisasi dasar: Dokumentasikan konfigurasi yang diharapkan, perangkat lunak yang disetujui, akun resmi, dan spesifikasi perangkat keras standar untuk berbagai jenis titik akhir. Buat kebijakan eksplisit untuk versi perangkat lunak, siklus hidup akun pengguna, ekstensi browser sions, akses istimewa, dan standar perangkat keras.
2. Peringatan otomatis: Konfigurasikan Wazuh untuk menghasilkan peringatan atas penyimpangan kritis seperti akun istimewa baru, instalasi perangkat lunak tidak sah, atau ekstensi browser yang mencurigakan.
3. Integrasikan dengan alur kerja: Hubungkan temuan kebersihan TI dengan sistem tiket yang ada, alat manajemen patch, dan proses respons insiden.
4. Memelihara dokumentasi: Simpan catatan rinci tentang pengecualian yang diizinkan, perubahan yang disetujui, dan tindakan perbaikan yang diambil sebagai respons terhadap masalah kebersihan.
5. Manfaatkan modul Wazuh lainnya: Manfaatkan SCA, deteksi kerentanan, dan deteksi malware serta kebersihan TI untuk cakupan keamanan yang komprehensif.
6. Jadwalkan tinjauan rutin: Melakukan audit berkala terhadap data inventaris untuk mengidentifikasi penyimpangan dari konfigurasi dasar dan pelanggaran kebijakan.
7. Latih tim keamanan: Pastikan personel memahami cara menanyakan dan menafsirkan data kebersihan TI secara efektif untuk mengidentifikasi risiko keamanan.
Kesimpulan
Menjaga kebersihan TI mengurangi risiko insiden keamanan dengan menjaga sistem dikonfigurasi, di-patch, dan dipantau dengan benar. Kemampuan kebersihan TI Wazuh memenuhi kebutuhan ini dengan menyediakan inventaris terpusat dan real-time di seluruh titik akhir.
Tim keamanan dapat dengan cepat menemukan pelanggaran kebijakan, penyimpangan konfigurasi, dan anomali keamanan menggunakan data holistik pada perangkat keras, perangkat lunak, akun, proses, port, dan ekstensi browser, sehingga memungkinkan pengambilan keputusan berdasarkan informasi dan data.
Kunjungi Wazuh situs web atau bergabung dengan Wazuh masyarakat untuk mempelajari lebih lanjut.
Disponsori dan ditulis oleh Wazuh.
