Tag: infoblox indonesia

Sangat penting untuk melakukan provisioning dan deprovisioning jaringan serta server dengan cepat di seluruh infrastruktur hybrid dan multi-cloud guna memenuhi kebutuhan bisnis yang terus berkembang. Provisioning layanan jaringan penting seperti catatan DNS dan alamat IP dengan metode manual tradisional semakin memakan waktu karena melibatkan banyak permintaan layanan ke berbagai tim yang terpisah dalam pengaturan hybrid dan multi-cloud. Plugin provider Infoblox untuk Terraform dari HashiCorp terintegrasi dengan platform Infoblox DDI dan mengotomatiskan provisioning DNS serta alamat IP di lingkungan hybrid dan multi-cloud. Integrasi ini meningkatkan efisiensi operasional, mengurangi kesalahan, dan memastikan konsistensi dalam penerapan hybrid dan multi-cloud. Tantangan Otomatisasi Hybrid dan Multi-Cloud Keterbatasan dalam pengelolaan layanan jaringan penting secara manual di lingkungan hybrid dan multi-cloud menimbulkan tantangan berikut, yang tidak sesuai dengan proses infrastruktur sebagai kode (Infrastructure as Code/ IaC) yang gesit: Alokasi Alamat IP Secara Manual Menyebabkan Konflik: Menemukan alamat IP yang tersedia menjadi tantangan tanpa visibilitas IP yang jelas. Penggunaan spreadsheet untuk pelacakan lambat dan rawan kesalahan, sehingga menyulitkan pengelolaan infrastruktur jaringan yang dinamis. Keterlambatan dalam Provisioning DNS Menghambat Efisiensi: Provisioning catatan DNS secara manual untuk layanan memakan waktu dan tidak dapat mengikuti kecepatan pembuatan serta penghapusan sumber daya. Hal ini sering kali mengakibatkan catatan yang usang atau tidak tersedia untuk layanan yang saat ini dibutuhkan. Plugin Khusus Vendor Menambah Kompleksitas: Tidak adanya lapisan otomatisasi terpusat di berbagai penyedia cloud publik seperti Amazon Web Services, Microsoft Azure, dan Google Cloud, memerlukan konfigurasi deployment yang berbeda-beda. Ketergantungan pada plugin khusus vendor untuk setiap penyedia cloud menambah kompleksitas dan beban administratif. Integrasi Infoblox dan Terraform Plugin Infoblox untuk platform IaC mengotomatiskan provisioning dan deprovisioning layanan jaringan penting di lingkungan hybrid dan multi-cloud. Plugin ini memperluas pengelolaan alamat IP (IPAM) dan layanan DNS ke berbagai platform cloud dan virtualisasi, serta terintegrasi dengan pipeline continuous integration/continuous delivery (CI/CD) yang sudah ada. Terraform adalah alat IaC open-source untuk membangun, mengubah, dan me-versioning infrastruktur di berbagai cloud dan platform. Sebagai provider yang disetujui oleh Terraform, Infoblox memungkinkan otomatisasi deployment cloud melalui Terraform IaC. Integrasi ini mencakup berbagai kasus penggunaan: Otomatisasi Alokasi Alamat IP: Alokasikan alamat IP secara efisien sebagai bagian dari deployment IaC. Pastikan semuanya terdokumentasi di dalam Infoblox untuk mencegah konflik IP yang dapat menyebabkan gangguan layanan. Permudah pelepasan alamat IP yang sudah tidak digunakan. Menambahkan dan Memperbarui Catatan DNS Secara Real-Time: Otomatiskan pembuatan catatan DNS untuk layanan baru saat deployment, serta penghapusan catatan DNS saat sumber daya sudah tidak diperlukan. Gunakan Satu Plugin untuk Lingkungan Hybrid dan Multi-Cloud: Kelola DNS baik di lingkungan on-premise, hybrid, maupun multi-cloud dengan menggunakan satu plugin provider. Ini menghilangkan kebutuhan akan beberapa plugin untuk masing-masing penyedia cloud dan on-premise. Gambar 1. Contoh skenario “Sebelum” dan “Sesudah” provisioning DNS dan alamat IP tanpa dan dengan integrasi Infoblox dan Terraform Manfaat Organisasi yang memanfaatkan integrasi ini memperoleh berbagai manfaat: Meningkatkan Efisiensi: Mengotomatiskan alokasi alamat IP dan provisioning catatan DNS, sehingga mengurangi waktu dan upaya yang diperlukan dalam proses manual. Mengurangi Kesalahan: Menghilangkan risiko konflik IP dan kesalahan lainnya yang terkait dengan pengelolaan IPAM dan DNS secara manual. Memungkinkan Skalabilitas: Mendukung deployment sumber daya secara cepat di lingkungan hybrid dan multi-cloud, memastikan layanan jaringan dapat berkembang sesuai kebutuhan organisasi. Menjamin Konsistensi: Memastikan bahwa catatan IPAM dan DNS diperbarui dan dipelihara secara konsisten di seluruh platform cloud, meningkatkan keandalan dan akurasi layanan jaringan. Meningkatkan Visibilitas: Memberikan visibilitas waktu nyata terhadap sumber daya jaringan, memungkinkan tim TI untuk dengan cepat menemukan dan mengelola data jaringan dan IP yang telah ditandai. Dampak di Dunia Nyata Kisah sukses dari pelanggan Infoblox menunjukkan manfaat nyata dari integrasi Infoblox dan Terraform. Sebuah perusahaan jasa keuangan besar di Amerika Serikat menugaskan tim TI-nya untuk membuat application landing zone bagi tim-tim yang akan memigrasikan aplikasi ke cloud. Setiap landing zone harus dideploy di dua region dan tiga availability zone di cloud publik untuk memastikan ketahanan sistem. Selain itu, landing zone tersebut juga harus mendukung tiga tier aplikasi dan tiga lingkungan berbeda. Awalnya, tim tersebut membutuhkan waktu enam hingga delapan minggu untuk membuat landing zone aplikasi ini di lingkungan AWS mereka. Dengan menggunakan plugin provider Terraform, waktu pembuatan application zone berkurang drastis dari delapan minggu menjadi hanya 15 menit. Deployment aplikasi yang lebih cepat memungkinkan inovasi yang lebih cepat pula. Otomatisasi Provisioning Aplikasi dengan Integrasi Infoblox dan HashiCorp Terraform Organisasi dapat menggunakan plugin provider Terraform Infoblox bawaan untuk mengaktifkan otomatisasi, menyederhanakan operasional, dan meningkatkan efisiensi. Solusi ini tidak hanya mengotomatiskan alokasi alamat IP dan provisioning catatan DNS, tetapi juga mengurangi potensi kesalahan serta memastikan pembaruan yang konsisten di lingkungan hybrid dan multi-cloud. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Infoblox menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di Infoblox.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Sebuah himbauan keamanan siber terbaru dari Cybersecurity and Infrastructure Security Agency (CISA) membahas penggunaan teknik DNS yang dikenal sebagai fast flux oleh aktor ancaman. CISA mendorong “penyedia layanan, khususnya penyedia DNS Protektif (Protective DNS/PDNS), untuk membantu mengurangi ancaman ini dengan mengambil langkah-langkah proaktif dalam mengembangkan analitik deteksi fast flux yang akurat, andal, dan tepat waktu, serta kemampuan pemblokiran untuk pelanggan mereka.” Infoblox mengetahui tentang fast flux, sebuah teknik yang pertama kali dijelaskan hampir dua dekade lalu, dan solusi DNS protektif kami melindungi pelanggan dari aktor ancaman yang menggunakan teknik tersebut. Seperti yang dicatat dalam himbauan CISA, membedakan fast flux dari aktivitas jaringan yang sah sangatlah sulit. Infoblox menggabungkan puluhan algoritma, termasuk yang mempertimbangkan variasi IP, ke dalam detektor kami untuk domain yang mencurigakan. Himbauan ini mendapatkan banyak perhatian dari media dan menimbulkan sejumlah pertanyaan dari pelanggan kami. Kami akan menjawab kekhawatiran tersebut dalam blog tanggapan ini. Apa itu fast flux? Fast flux adalah pergantian cepat catatan DNS, biasanya catatan A dan NS, untuk menghindari pemblokiran IP. Teknik ini pertama kali dijelaskan pada tahun 2007 oleh para peneliti, dan sejak saat itu telah digunakan oleh berbagai aktor, meskipun tidak dianggap umum. Seberapa sulit fast flux terdeteksi? Fast flux adalah penyalahgunaan mekanisme sah untuk load balancing dan pengoperasian jaringan global secara efisien. Seperti yang diakui dalam himbauan, membedakan fast flux dari lalu lintas yang sah sangat sulit. Tanpa perspektif global terhadap banyak jaringan DNS, seperti yang dimiliki Infoblox, metode deteksi tunggal kemungkinan besar akan menimbulkan false positive yang merugikan. Infoblox telah memulai penelitian mengenai fast flux lebih dari satu dekade yang lalu dan sangat memahami jebakan yang dapat dihadapi penyedia layanan. Kami telah memasukkan keragaman IP, seperti yang disarankan dalam himbauan, selama bertahun-tahun. Bagaimana jaringan saya dapat dilindungi dari aktor yang menggunakan fast flux? Teknik ini bertujuan mempertahankan infrastruktur berbahaya dengan mendistribusikannya ke banyak alamat IP, tetapi nama domain tetap sama. Solusi DNS protektif harus memblokir domain mencurigakan dan berbahaya dengan tingkat efektivitas tinggi, terlepas dari teknik yang digunakan oleh aktor ancaman untuk memastikan operasi mereka terus berjalan. Ukuran efektivitas yang baik adalah perlindungan sebelum terjadinya dampak, artinya seberapa sering penyedia DNS protektif memblokir sebuah domain sebelum organisasi Anda membuat permintaan (query) DNS. Apakah saya akan melihat fast flux di jaringan saya? Fast flux bukanlah teknik yang umum digunakan secara sengaja, meskipun dalam beberapa tahun terakhir telah dilaporkan digunakan oleh aktor APT asal Rusia. Namun, ada banyak penggunaan sah dari dynamic DNS, yang merupakan konsep dasar di balik fast flux. Karena respons DNS disimpan dalam cache, kemungkinan sebuah organisasi akan melihat bukti fast flux dalam jaringan mereka sangat tergantung pada operasinya. Berdasarkan pengalaman kami, hal ini jarang terjadi dan dapat diatasi melalui pemblokiran domain. Teknik aktor ancaman apa yang harus saya khawatirkan? Penggunaan teknologi periklanan (adtech) untuk mendukung berbagai aktivitas berbahaya, termasuk pencurian kredensial yang dilaporkan sebagai akses awal ke sejumlah pelanggaran data besar selama setahun terakhir, sangat mengkhawatirkan dan kurang mendapat perhatian. Aktor ancaman tidak hanya menyalahgunakan perusahaan adtech yang sah, tetapi juga mendirikan perusahaan adtech mereka sendiri untuk menciptakan ekosistem yang menyamarkan aktivitas sebenarnya. Penyedia DNS protektif harus menyadari tren ini dan memiliki mekanisme kuat untuk mengidentifikasi serta melacak aktor-aktor tersebut. Meskipun kesadaran terhadap peran adtech, khususnya traffic distribution system (TDS) dalam rantai serangan mulai meningkat, domain yang digunakan oleh aktor ini sebagian besar masih tidak terdeteksi oleh vendor keamanan besar. Himbauan CISA terbaru tentang fast flux menyoroti pentingnya pemblokiran aktivitas berbahaya di lapisan DNS. Dengan menggunakan solusi DNS protektif, perusahaan dan individu dapat terlindungi dari berbagai ancaman secara hemat biaya. Selama beberapa tahun terakhir, kami telah memblokir lebih dari 75% dari seluruh domain berbahaya sebelum adanya query DNS pertama dari pelanggan kami, dengan tingkat keberhasilan yang melebihi 90% di sebagian besar jaringan pelanggan individual. Baik aktor menggunakan fast flux, domain generation algorithm, CNAME obfuscation, maupun traffic distribution system untuk menyembunyikan operasinya, kami siap menghadapinya. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Infoblox menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di Infoblox.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Adopsi cepat terhadap multi-cloud, ditambah dengan keberadaan lokasi on-premises seperti pusat data, kampus, dan cabang, telah menyebabkan perluasan permukaan serangan. Menurut Gartner, pada tahun 2026, lebih dari 90 persen perusahaan akan memperluas kapabilitas mereka ke lingkungan multi-cloud. Rata-rata bisnis menggunakan tiga atau lebih penyedia cloud sambil tetap mempertahankan infrastruktur on-premises. Realitas ini membuat organisasi harus menangani jaringan konfigurasi dan antarmuka yang kompleks, sekaligus menetapkan dan mempertahankan kebijakan keamanan secara terpisah untuk setiap lingkungan. Organisasi mencoba melindungi skenario yang beragam ini dengan jaringan alat keamanan yang kompleks. Pendekatan ini tidak ideal karena tim SecOps kesulitan dalam proses deployment, kurangnya visibilitas, serta respons terhadap ancaman yang terfragmentasi dan lambat, yang pada akhirnya membuat mereka rentan terhadap ancaman yang terus berkembang. Kunci untuk mengatasi tantangan ini terletak pada penggunaan solusi yang menyediakan satu titik manajemen untuk mengatur dan memelihara kebijakan/hak akses, pandangan komprehensif terhadap aset di seluruh infrastruktur hybrid multi-cloud, dan pendekatan keamanan preemptive untuk mitigasi ancaman. Solusi Infoblox yang mencakup Infoblox Universal DDI™ Product Suite, Infoblox Universal Asset Insights™, dan Infoblox Threat Defense™ sedang mengubah pendekatan dalam mengamankan jaringan hybrid multi-cloud. Dengan fokus pada titik manajemen yang sederhana untuk pengaturan, deployment, dan manajemen DNS, visibilitas menyeluruh, dan intelijen ancaman berbasis DNS, organisasi dapat menyederhanakan manajemen dan upaya keamanan, mengurangi beban operasional, dan yang paling penting, tetap selangkah lebih maju dari ancaman yang muncul. Tantangan Deployment yang Sulit dan Kompleks Dalam lingkungan hybrid multi-cloud, alat keamanan sering berjalan dalam silo, masing-masing mengelola bagian tertentu dari infrastruktur. Tim keamanan harus mengelola berbagai deployment keamanan seperti firewall dan solusi SASE. Untuk aplikasi privat, penting untuk menerapkan solusi khusus atau memodifikasi solusi SD-WAN agar lokasi terpencil tetap terlindungi saat menggunakan aplikasi privat. Sebagian besar solusi SASE berfokus pada mengamankan akses pengguna ke aplikasi cloud. Namun, untuk melindungi konektivitas aplikasi ke internet, perusahaan perlu menggunakan firewall virtual, keamanan bawaan IaaS, atau teknologi seperti cloud-native application protection platform (CNAPP). Semua ini menambah beban operasional. Diperlukan metode universal untuk melindungi semua hal, di mana pun, secara sederhana. Respons Terfragmentasi dan Lambat Saat tim keamanan perlu merespons ancaman dengan memperbarui kebijakan keamanan—misalnya memblokir domain berbahaya—mereka harus menjelajahi banyak antarmuka manajemen dan API. Setiap komponen, dari server DNS on-premises hingga layanan DNS cloud-native, firewall DNS, dan platform intelijen ancaman, membutuhkan pembaruan terpisah. Fragmentasi ini meningkatkan kompleksitas dan memperlambat waktu respons, membuat organisasi rentan selama jendela waktu antara deteksi ancaman dan penerapan kebijakan secara menyeluruh. Visibilitas yang Tidak Lengkap Anda tidak bisa mengamankan apa yang tidak terlihat. Aset sering tersebar di jaringan on-premises serta cloud publik dan privat, sehingga sulit mendapatkan pandangan terpadu terhadap seluruh permukaan serangan. Metode pemantauan dan manajemen tradisional sering gagal memberikan visibilitas holistik yang dibutuhkan untuk mengamankan setiap aset. Perangkat pengguna, workload cloud, dan perangkat IoT/OT mungkin berjalan dalam silo terpisah tanpa pengawasan yang konsisten. Pertahanan Reaktif: Bahaya Menunggu “Boom” Model keamanan tradisional bersifat reaktif. Banyak solusi keamanan fokus pada deteksi dan mitigasi ancaman setelah ancaman tersebut aktif. Pendekatan ini sering mendeteksi malware atau pelanggaran keamanan setelah eksekusi terjadi, saat kerusakan telah dimulai. Masalah dari pertahanan reaktif adalah malware modern terus berkembang. Aktor ancaman menggunakan AI untuk menciptakan varian dengan cepat, menyulitkan alat keamanan konvensional untuk mengimbangi. Mentalitas “tunggu sampai meledak” ini menyebabkan keterlambatan deteksi dan respons ancaman. Rata-rata, dibutuhkan 258 hari bagi tim keamanan untuk mengidentifikasi dan mengatasi pelanggaran menurut Laporan IBM 2024 Cost of a Data Breach—yang menyebabkan lonjakan biaya pelanggaran dan gangguan operasional. Metode Universal untuk Melindungi Segalanya, di Mana Saja, dengan Cara yang Sederhana Tantangan-tantangan di atas menyoroti perlunya metode universal untuk melindungi segalanya, di mana saja, secara sederhana tanpa harus mengandalkan jaringan keamanan yang terfragmentasi. Solusinya dimulai dengan menyatukan manajemen DNS melalui satu titik integrasi yang secara mulus mencakup pusat data, kantor cabang, dan semua lingkungan cloud publik utama. Bayangkan memiliki satu control plane untuk semua DNS Anda, bukan satu untuk tiap lokasi—ini secara drastis menyederhanakan operasi. Kemudian, menambahkan Protective DNS di atas platform manajemen terpadu ini akan memberikan pertahanan ancaman preemptive di seluruh lingkungan Anda tanpa memerlukan solusi keamanan terpisah untuk setiap bagian jaringan. Keamanan Preemptive: Pendekatan yang Berfokus pada DNS Salah satu kekuatan utama dalam paket keamanan Infoblox adalah kemampuannya memanfaatkan data DNS untuk deteksi ancaman. Intelijen ancaman DNS memungkinkan Infoblox mengidentifikasi dan memblokir domain berisiko tinggi milik aktor ancaman bahkan sebelum domain tersebut diaktifkan. Ini dilakukan dengan memantau secara terus-menerus registrasi domain dan kueri DNS untuk mengidentifikasi infrastruktur milik penyerang. Dengan mengenali domain berisiko sebelum digunakan dalam serangan, Infoblox dapat mencegah serangan “left-of-boom”, secara signifikan mengurangi kemungkinan pelanggaran berhasil. Baik dalam memblokir domain phishing dan ransomware, mengidentifikasi Domain Generation Algorithms (DGA), atau melindungi dari serangan DNS zero-day, pendekatan Infoblox tidak hanya melindungi aset perusahaan dari ancaman terbaru, tetapi juga mengurangi biaya operasional yang terkait dengan pemulihan pasca pelanggaran. Bahkan, intelijen ancaman DNS mampu mengidentifikasi ancaman rata-rata 63 hari lebih awal dibandingkan dengan alat deteksi endpoint atau firewall generasi berikutnya. Solusi: Titik Intersepsi dan Penegakan Keamanan Terpadu dari Infoblox Hanya Infoblox yang menyediakan platform terpadu untuk manajemen DNS dan kebijakan keamanan di lingkungan on-premises, remote, dan cloud dengan layanan jaringan terbaik (DNS, DHCP, dan IPAM) dan Protective DNS terbaik. Infoblox Universal DDI dapat mencegat lalu lintas dari cloud, on-premises, atau perangkat remote/mobile dengan cara yang sederhana namun efektif yang terintegrasi secara mulus dengan layanan jaringan Anda. Ini menggantikan banyak antarmuka manajemen DNS di infrastruktur hybrid multi-cloud Anda. Infoblox Universal Asset Insights mengotomatiskan penemuan dan pemantauan aset secara terus-menerus di seluruh infrastruktur organisasi. Dengan visibilitas menyeluruh dari cloud publik ke on-premises hingga perangkat IoT, tim jaringan dapat memastikan daftar aset selalu diperbarui tanpa intervensi manual, mengurangi risiko “blind spot” seperti DNS/CNAME yang menggantung, aset zombie, server virtual yang terpapar internet, atau bucket S3 terbuka. Infoblox Threat Defense menggunakan intelijen ancaman DNS yang fokus pada deteksi “left-of-boom” dengan mengidentifikasi domain berisiko tinggi sebelum digunakan dalam serangan. Ini memungkinkan Infoblox memblokir 75% ancaman bahkan sebelum kueri DNS pertama menjangkau domain berbahaya, secara signifikan mempersempit jendela risiko. Universal DDI dengan Threat Defense mengubah lanskap keamanan yang terfragmentasi menjadi satu tampilan terpadu untuk deteksi dan respons ancaman. Alih-alih harus berurusan dengan banyak antarmuka untuk memperbarui…

Gambaran Umum Adtech Berbahaya dan Ancaman yang Ditimbulkannya Gambaran klasik tentang seorang peretas bertudung yang beroperasi dari ruang bawah tanah adalah gambaran yang keliru ketika berbicara tentang pelaku ancaman di balik banyak kejahatan siber. Adtech berbahaya adalah contoh utama. Jenis ancaman siber ini bukan dilakukan oleh individu yang bekerja sendirian, tetapi oleh organisasi profesional dengan banyak afiliasi. Di permukaan, entitas ini mungkin tampak sah, yang membuat mereka mampu menjerat korban mereka. Dalam artikel ini, kami memberikan gambaran singkat tentang apa itu varian adtech yang tidak jujur ini, mengapa berbahaya, dan bagaimana intelijen ancaman berbasis DNS dapat melindungi dari ancaman tersebut. Apa Itu Adtech dan Kapan Menjadi Berbahaya? Teknologi periklanan (adtech) adalah kumpulan teknologi dan taktik yang digunakan oleh pemasar untuk meningkatkan efektivitas kampanye mereka dengan menjangkau audiens secara daring dalam cara yang sangat tertarget. Google AdSense adalah salah satu contoh adtech yang banyak dikenal. Jika Anda pernah memperhatikan bahwa situs web yang Anda kunjungi tiba-tiba menampilkan iklan dari produk yang baru saja Anda telusuri di tempat lain, itu adalah adtech yang sedang bekerja. Gambar 1: Tiga peserta utama dalam adtech. Adtech melibatkan tiga kelompok utama: penerbit, pengiklan, dan operator. Penerbit biasanya memiliki situs web yang berisi konten menarik bagi audiens tertentu. Mereka berusaha memonetisasi platform online mereka. Contoh penerbit termasuk media berita, situs perkiraan cuaca, dan kelompok dengan minat khusus. Pengiklan berusaha menarik perhatian calon pembeli dengan mengirimkan konten promosi, seperti iklan banner, video, artikel sponsor, dan lainnya. Pengiklan selalu berusaha menjangkau audiens yang tepat untuk layanan atau produk yang mereka promosikan. Operator, seperti Google, bertindak sebagai perantara antara pengiklan dan penerbit. Mereka memungkinkan penerbit untuk mendaftarkan situs web mereka dan memungkinkan pengiklan menempatkan iklan digital langsung ke situs penerbit. Operator menerima pembayaran dari pengiklan dan membayar penerbit. Selain itu, mereka menyediakan alat bagi pengiklan untuk menemukan situs penerbit yang sesuai dengan audiens yang ditargetkan. Gambar 2: Seperti halnya adtech yang sah, variasi berbahaya menggunakan sistem distribusi lalu lintas untuk menyampaikan konten yang tepat kepada orang yang tepat pada waktu yang tepat. Bahaya Tersembunyi dari Adtech Berbahaya Gambaran stereotip seorang peretas berkerudung yang bekerja dari ruang bawah tanah adalah keliru ketika berbicara tentang pelaku kejahatan dunia maya. Adtech berbahaya adalah contoh nyata dari ancaman siber yang tidak dilakukan oleh individu tunggal, melainkan oleh organisasi profesional dengan banyak afiliasi. Di permukaan, entitas ini mungkin tampak sah, itulah yang membuat mereka dapat menjebak korbannya. Dalam artikel ini, kita akan membahas secara singkat apa itu adtech berbahaya, mengapa itu berbahaya, dan bagaimana intelijen ancaman berbasis DNS dapat melindungi dari ancaman ini. Apa Itu Adtech dan Kapan Menjadi Berbahaya? Teknologi periklanan, atau adtech, adalah kumpulan teknologi dan taktik yang digunakan oleh pemasar untuk meningkatkan efektivitas kampanye mereka dengan menargetkan audiens secara spesifik. Google AdSense adalah contoh adtech yang umum dikenal. Jika Anda pernah melihat iklan tentang produk yang baru saja Anda telusuri muncul di situs web lain, maka Anda telah melihat adtech beraksi. Tiga Pemain Utama dalam Adtech Adtech melibatkan tiga kelompok utama: Penerbit (Publishers) – Pemilik situs web yang menyediakan konten bagi audiens tertentu dan ingin memonetisasi platform mereka, seperti situs berita, prakiraan cuaca, dan komunitas berbasis minat. Pengiklan (Advertisers) – Pihak yang ingin menarik perhatian calon pembeli dengan konten promosi seperti iklan banner, video, dan artikel bersponsor. Operator (Operators) – Pihak perantara seperti Google yang menghubungkan penerbit dengan pengiklan, menangani pembayaran, dan menyediakan alat bagi pengiklan untuk menemukan audiens yang sesuai. Bagaimana Adtech Berubah Menjadi Berbahaya? Adtech berbahaya mengikuti proses yang sama dengan adtech sah. Dalam kasus ini, penerbit (kadang disebut afiliasi) menawarkan situs web yang telah dikompromikan kepada operator, yang kemudian mengarahkan korban ke pengiklan berbahaya. Terkadang operator sendiri yang meretas situs web. Di pusat proses ini terdapat sistem distribusi lalu lintas (Traffic Distribution System/TDS) yang digunakan oleh operator untuk mengelola lalu lintas dengan berbagai fitur canggih, seperti: Profiling browser Situs umpan (decoy) untuk mengecoh alat pemindaian keamanan Layanan penyamaran (cloaking) untuk melindungi domain berbahaya Organisasi kriminal menggunakan adtech berbahaya untuk menarik korban ke dalam skema ilegal mereka, termasuk: Aplikasi palsu Penyebaran malware Pencurian kredensial Penjualan produk dan layanan digital palsu Mengapa Adtech Berbahaya Begitu Berisiko? Beberapa alasan utama mengapa adtech berbahaya sangat merugikan: Operator Sulit Dihentikan Organisasi yang menjalankan adtech berbahaya memiliki infrastruktur besar, termasuk: Ribuan situs yang telah dikompromikan untuk menipu pengguna Ribuan domain untuk mengarahkan korban Layanan notifikasi browser yang memanfaatkan push notification Adtech berbahaya sering dipecah menjadi beberapa entitas untuk menyamarkan aktivitas mereka, mulai dari pembuatan iklan hingga halaman scam, CAPTCHA palsu, survei palsu, hingga unduhan berbahaya. Beberapa operator, seperti VexTrio Viper, telah beroperasi selama bertahun-tahun dan terus mendapatkan keuntungan besar. Penipuan Mengancam Keamanan Organisasi Adtech berbahaya menipu korban dengan menyamarkan diri sebagai merek populer, sehingga korban menurunkan kewaspadaan mereka. Contohnya: Korban mengunjungi situs yang telah dikompromikan Operator mengirimkan CAPTCHA palsu yang meminta korban menerima notifikasi browser dari pengiklan berbahaya Notifikasi ini kemudian mengarahkan korban ke lebih banyak konten berbahaya Bahkan organisasi yang sangat sadar keamanan pun bisa tertipu. Korban yang menerima notifikasi browser berbahaya dapat tertipu untuk mengunduh perangkat lunak yang tidak diverifikasi atau memberikan informasi pribadi maupun kredensial organisasi mereka. Adtech berbahaya juga berkontribusi pada serangan MFA bombing, di mana korban dibanjiri permintaan autentikasi multi-faktor. Dengan menggabungkan kredensial yang sudah dicuri dengan MFA bombing, peretas dapat memperoleh akses tidak sah ke aset perusahaan, yang dapat mengarah pada: Kebocoran data Serangan ransomware Kerusakan reputasi merek Dampak Adtech Berbahaya Bisa Bertahan Lama Begitu korban terjebak, aliran informasi yang telah terdistorsi akibat iklan palsu dapat terus berlanjut, bahkan setelah korban membersihkan cache browser atau melakukan tindakan pencegahan lainnya. Kontrol Keamanan Menjadi Tidak Efektif Adtech berbahaya mampu menghindari deteksi oleh alat keamanan dengan: Menganalisis browser pengunjung – TDS dapat menyembunyikan situs pengiklan berbahaya dari alat pemindaian keamanan. Menggunakan situs umpan – Jika TDS mendeteksi pengaturan keamanan tinggi, koneksi akan diarahkan ke situs yang tampak aman untuk mengecoh peneliti keamanan. Strategi ini memungkinkan operator mengganggu proses intelijen ancaman, sehingga alat deteksi otomatis gagal mengenali situs yang sebenarnya menghosting konten berbahaya. Targeting Korban dengan Konten Khusus Alih-alih melakukan serangan secara luas, TDS memungkinkan pelaku kejahatan menyajikan konten yang disesuaikan dengan…

Sistem Nama Domain (DNS) adalah komponen fundamental dari internet yang memiliki nilai jauh lebih besar daripada sekadar “buku telepon internet,” seperti yang sering dianggap oleh banyak orang. Pelaku ancaman menyadari nilai tersebut dan memanfaatkan DNS dalam berbagai cara untuk menjalankan phishing, pencurian data, serta aktivitas berbahaya lainnya. Domain berisiko tinggi merupakan perhatian utama dalam penyalahgunaan DNS. Domain-domain ini, yang didaftarkan oleh pelaku ancaman, menunjukkan perilaku yang mengindikasikan niat jahat, bahkan sebelum aktivitas berbahaya yang jelas dimulai. Domain-domain ini sering kali memiliki karakteristik yang mirip dengan domain berbahaya yang sudah diketahui, sehingga sulit dideteksi. Domain berisiko tinggi dapat berupa domain yang baru didaftarkan, domain tiruan (lookalike domains), atau domain yang menunjukkan pola aktivitas mencurigakan. Komunikasi Command and Control (C2) Pelaku ancaman juga memanfaatkan DNS untuk komunikasi C2. Dengan menggunakan DNS untuk mengirim perintah ke malware yang telah terinstal di perangkat korban, penyerang dapat mempertahankan kendali atas sistem yang telah dikompromikan dan menghindari deteksi oleh sebagian besar alat keamanan yang hanya berfokus pada HTTP(S). Metode ini sangat efektif karena lalu lintas DNS sering kali diizinkan melewati firewall dan langkah-langkah keamanan lainnya tanpa pengawasan ketat, sehingga menjadi cara yang tersembunyi untuk mengelola perangkat yang terinfeksi. Memanfaatkan Berbagai Jenis Rekam DNS Pelaku ancaman sering kali menggunakan berbagai jenis rekam DNS untuk menghindari deteksi oleh alat keamanan yang hanya memantau tipe rekam tertentu. Misalnya, sementara banyak alat keamanan hanya berfokus pada pemantauan rekam A (address), penyerang dapat menggunakan rekam CNAME (canonical name) atau TXT (text) untuk menjalankan aktivitas berbahaya mereka. Dengan menggunakan jenis rekam DNS yang jarang dipantau, pelaku ancaman dapat menghindari deteksi dan terus menjalankan aksinya. DNS Tunneling DNS tunneling adalah teknik canggih di mana penyerang menggunakan kueri dan respons DNS untuk mengekstrak data dari jaringan yang telah dikompromikan. Dengan menyandikan data dalam kueri DNS, pelaku kejahatan siber dapat melewati langkah-langkah keamanan tradisional dan berkomunikasi dengan server Command and Control (C2) mereka. Metode ini sering digunakan dalam Advanced Persistent Threats (APTs) dan bisa sulit dideteksi tanpa alat khusus. Zero-Day DNS Taktik lain yang digunakan oleh penjahat siber adalah pendaftaran domain zero-day. Domain-domain ini didaftarkan dan langsung digunakan untuk melancarkan serangan spear phishing serta serangan bertarget lainnya. Karena domain ini baru didaftarkan, mereka sering kali dapat melewati langkah-langkah keamanan tradisional yang bergantung pada deteksi berbasis reputasi. Hal ini memungkinkan penyerang untuk melancarkan serangan mereka dengan cepat dan efektif sebelum domain tersebut teridentifikasi sebagai berbahaya. (lihat Gambar 1). Gambar 1: Pelaku ancaman dapat melancarkan serangan segera setelah mendaftarkan domain, memanfaatkannya sebelum sistem pertahanan diperbarui. Domain Tiruan (Lookalike Domains) Salah satu taktik paling umum yang digunakan oleh pelaku kejahatan siber adalah pembuatan domain tiruan. Domain ini dirancang agar sangat mirip dengan situs web resmi, sering kali dengan sedikit perbedaan ejaan atau variasi nama. Misalnya, pelaku ancaman dapat mendaftarkan “micros0ft.com” alih-alih “microsoft.com”. Domain tiruan ini kemudian digunakan dalam serangan phishing untuk menghindari sistem pertahanan dan menipu pengguna agar memberikan informasi sensitif seperti kredensial login atau detail keuangan. Sistem Distribusi Lalu Lintas (Traffic Distribution Systems/TDS) Pelaku ancaman telah membangun TDS berskala besar yang mengarahkan korban melalui jaringan domain yang kompleks untuk mendistribusikan konten berbahaya secara efisien dan dalam jumlah besar. Jika pertahanan hanya berfokus pada pemblokiran domain akhir yang berbahaya, pelaku ancaman akan mengganti domain dengan yang baru dan tetap menyebarkan malware menggunakan ribuan domain lainnya. Oleh karena itu, strategi pertahanan yang efektif harus menargetkan infrastruktur TDS itu sendiri, bukan hanya domain individu. (lihat Gambar 2). Gambar 2: Pelaku ancaman memanfaatkan TDS berskala besar untuk mengatasi pertahanan penyaringan domain tradisional. Dangling CNAMEs Dangling CNAME adalah jenis rekam DNS yang mengarah ke domain atau sumber daya yang tidak lagi ada atau tidak lagi dikendalikan oleh pemilik aslinya. Hal ini menciptakan kerentanan yang dapat dimanfaatkan oleh pelaku ancaman untuk mengambil alih subdomain dan menggunakannya untuk tujuan berbahaya. Rekam CNAME yang menggantung dapat menyebabkan pembajakan domain (domain hijacking), di mana lalu lintas yang seharusnya menuju domain asli justru dialihkan ke situs berbahaya. Kesimpulan Penyalahgunaan DNS oleh pelaku ancaman dapat menjadi titik buta bagi para profesional keamanan siber. Dengan memahami berbagai cara DNS dapat dieksploitasi, organisasi dapat menerapkan langkah-langkah keamanan yang lebih efektif untuk melindungi jaringan mereka. Pemantauan DNS secara rutin, penggunaan DNS sebagai perisai proaktif terhadap ancaman siber, serta penerapan alat deteksi ancaman tingkat lanjut adalah langkah-langkah penting dalam melawan serangan yang semakin canggih ini. Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Infoblox menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda. Pelajari lebih lanjut di Infoblox.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!

Infoblox Kini Tersedia di AWS dan Azure Marketplaces: Solusi Jaringan dan Keamanan untuk Hybrid Cloud Di tengah lanskap cloud yang terus berkembang, perusahaan semakin mencari cara untuk menyederhanakan operasi hybrid cloud mereka sambil tetap menjaga keamanan yang kuat. Infoblox, yang dipercaya oleh 75 persen perusahaan Fortune 500, kini menawarkan solusi jaringan dan keamanan kelas enterprise melalui AWS dan Azure Marketplaces. Hal ini memberikan cara yang lebih mudah dan efisien bagi bisnis untuk mendapatkan solusi cloud dari Infoblox. Keuntungan Marketplace untuk Pengadaan Enterprise Dengan membeli solusi Infoblox melalui cloud marketplace, organisasi dapat memanfaatkan investasi mereka yang sudah ada dalam AWS Enterprise Discount Program (EDP) dan Microsoft Azure Consumption Commitment (MACC). Ini berarti tidak diperlukan alokasi anggaran tambahan, sementara proses pengadaan menjadi lebih sederhana dan memungkinkan penerapan yang cepat di berbagai wilayah dalam AWS dan Azure. Portofolio Solusi Infoblox Infoblox menawarkan empat solusi utama melalui marketplace: Infoblox Universal DDI™ Product Suite (Private Offer) Solusi DDI (DNS, DHCP, dan IPAM) terintegrasi yang memberikan manajemen jaringan yang lengkap bagi perusahaan. Infoblox NIOS for DDI (Private Offer) Menyediakan DNS, DHCP, dan manajemen alamat IP tingkat enterprise dengan visibilitas dan kontrol terpusat. Infoblox Threat Defense™ (Private Offer) Solusi keamanan hybrid cloud dengan deteksi ancaman proaktif, terintegrasi dengan Infoblox NIOS-X as a Service. Infoblox NIOS PayGo Model lisensi fleksibel berbasis penggunaan (pay-as-you-go) untuk lingkungan hybrid dan cloud. Informasi lebih lanjut tentang produk ini dapat ditemukan di AWS dan Azure Marketplaces. Manfaat Transformasional bagi Jaringan Enterprise Selain kemudahan dalam pengadaan, implementasi solusi Infoblox telah memberikan peningkatan operasional yang signifikan bagi berbagai organisasi: ✅ Efisiensi Operasional Laporan Tolly menunjukkan bahwa otomatisasi manajemen jaringan Infoblox mengurangi waktu kerja staf hingga 69% dalam tugas penemuan jaringan. ✅ Keamanan yang Lebih Baik Studi Forrester Total Economic Impact melaporkan bahwa peningkatan keamanan Infoblox mengurangi insiden pelanggaran data dan biaya audit hingga 26,5%. ✅ Integrasi dengan Orkestrasi IT Modern Integrasi dengan Ansible dan Terraform mempercepat provisioning sumber daya DevOps. MYOB, perusahaan perangkat lunak keuangan, berhasil mengotomatiskan manajemen alamat IP mereka, memangkas waktu provisioning dari berjam-jam/hari menjadi hanya beberapa menit. Dampak Nyata bagi Pelanggan Infoblox telah membantu berbagai perusahaan dalam meningkatkan efisiensi dan keamanan jaringan mereka: 🔹 MYOB, pemimpin dalam industri layanan keuangan, mempercepat provisioning sumber daya DevOps mereka dari jam/hari menjadi hitungan menit dengan otomatisasi Infoblox. 🔹 Sebuah perusahaan media multinasional meningkatkan keamanan di jaringan globalnya, termasuk pusat data dan lokasi cloud AWS, menggunakan Infoblox Threat Defense. Cara Memulai dengan Infoblox di AWS & Azure Marketplaces Kunjungi AWS atau Azure Marketplace dan cari “Infoblox”. Pilih solusi dan model deployment yang sesuai dengan kebutuhan Anda. Pilih opsi lisensi yang paling sesuai. Deploy dan mulai kelola lingkungan hybrid cloud Anda dengan solusi Infoblox. Dengan aksesibilitas marketplace, solusi yang komprehensif, dan manfaat yang telah terbukti, Infoblox menjadi pilihan yang tepat bagi perusahaan yang ingin meningkatkan manajemen layanan jaringan di lingkungan hybrid dan multi-cloud. Dukungan di berbagai AWS dan Azure regions serta opsi lisensi yang fleksibel memastikan bahwa perusahaan dapat terus maju dengan inisiatif cloud mereka sambil menjaga keamanan dan manajemen jaringan yang optimal. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan infoblox indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi infoblox.ilogoindonesia.id untuk informasi lebih lanjut!

Dalam lanskap keamanan siber saat ini, solusi manajemen kerentanan sangat penting untuk mengidentifikasi, menilai, dan memprioritaskan kelemahan keamanan dalam infrastruktur organisasi. Namun, penerapan solusi manajemen kerentanan secara terpisah memiliki banyak keterbatasan. Alat manajemen kerentanan sering kali kesulitan menjaga inventaris aset yang komprehensif dan selalu diperbarui, terutama di lingkungan yang dinamis. Tantangan lainnya adalah keterlambatan dalam deteksi ancaman. Pemindaian terjadwal sering kali melewatkan ancaman real-time, sehingga menyulitkan proses evaluasi dan remediasi. Ekosistem Infoblox membantu mengatasi tantangan ini dengan menyediakan integrasi yang mulus antara teknologi Infoblox dan alat manajemen kerentanan terkemuka di industri. Dengan menghubungkan Infoblox IPAM, Threat Defense, dan SOC Insights dengan solusi manajemen kerentanan seperti Tenable dan Qualys, organisasi dapat menutup celah visibilitas serta mendeteksi ancaman secara real-time berdasarkan data yang diamati dan dianalisis oleh Infoblox dalam jaringan. Integrasi ini memaksimalkan nilai dari kapabilitas inti Infoblox dalam berbagai alat pihak ketiga, memberikan visibilitas yang lebih baik, efisiensi operasional yang lebih tinggi, serta manajemen ancaman yang lebih proaktif. Tantangan Menggunakan Manajemen Kerentanan Secara Terpisah Visibilitas Aset yang Terbatas Salah satu tantangan utama dalam manajemen kerentanan adalah mempertahankan inventaris aset yang lengkap dan selalu diperbarui—baik internal, eksternal, maupun berbasis cloud. Banyak organisasi mengalami kesulitan dalam memperoleh visibilitas penuh, yang mengakibatkan adanya perangkat yang tidak terkelola atau tidak diketahui dalam lanskap keamanan mereka. Pemindaian jaringan secara menyeluruh memang bisa menjadi solusi, tetapi metode ini memerlukan bandwidth besar dan sering kali tidak praktis untuk dilakukan secara rutin. Akibatnya, perangkat kritis mungkin tidak terdeteksi, meningkatkan risiko kerentanan yang tidak diketahui. Deteksi Ancaman yang Terlambat Mengandalkan pemindaian terjadwal dapat menyebabkan keterlambatan signifikan dalam mendeteksi ancaman. Meskipun pemindaian ini berguna untuk evaluasi rutin, metode ini sering kali gagal mendeteksi ancaman real-time atau yang berkembang dengan cepat. Keterlambatan ini memberikan kesempatan lebih banyak bagi penyerang untuk mengeksploitasi kerentanan. Selain itu, proses manual dalam menjalankan pemindaian atau menganalisis data ancaman semakin memperlambat deteksi dan remediasi. Tanpa kemampuan untuk bertindak berdasarkan wawasan real-time, tim keamanan menjadi reaktif daripada proaktif, yang pada akhirnya menyulitkan mitigasi risiko secara efektif. Proses Manual yang Tidak Efisien Tugas manual seperti merekonsiliasi data aset, menghubungkan kerentanan, dan memprioritaskan risiko dapat membebani tim keamanan. Proses ini tidak hanya memakan banyak waktu tetapi juga meningkatkan kemungkinan kesalahan manusia, sehingga mengurangi efektivitas keseluruhan dari program manajemen kerentanan. Kurangnya otomatisasi dalam area-area penting memaksa tim keamanan mengalokasikan sumber daya untuk aktivitas bernilai rendah, sehingga mengurangi waktu yang tersedia untuk menangani ancaman yang lebih kritis. Biaya Lisensi yang Tinggi Untuk organisasi dengan jaringan yang luas, biaya lisensi alat manajemen kerentanan untuk setiap aset bisa menjadi sangat mahal. Banyak aset, seperti perangkat IoT atau teknologi operasional (OT), mungkin tidak memiliki tingkat risiko yang sama dengan sistem bisnis yang kritis, sehingga tidak efisien untuk melisensikan semuanya. Untuk mengatasi hal ini, organisasi perlu memiliki informasi kontekstual tentang aset agar dapat memprioritaskan aset dengan risiko tinggi untuk pemindaian. Namun, tanpa alat yang terintegrasi untuk menyediakan konteks ini, penerapan kebijakan pemindaian selektif menjadi proses yang kompleks dan membutuhkan banyak sumber daya. Tantangan-tantangan ini menunjukkan keterbatasan dalam penggunaan alat manajemen kerentanan secara terpisah dan menekankan perlunya pendekatan yang lebih terintegrasi, efisien, dan hemat biaya. Infoblox dan Manajemen Kerentanan: Lebih Baik Bersama Mengintegrasikan Infoblox IPAM, Infoblox Threat Defense, dan SOC Insights dengan platform manajemen kerentanan terkemuka seperti Tenable dan Qualys memungkinkan organisasi untuk mengatasi tantangan dalam pendekatan manajemen kerentanan saat ini. Integrasi “better together” ini memfasilitasi pertukaran data yang mulus, meningkatkan efisiensi operasional, dan memperkuat mitigasi risiko dengan menggabungkan keunggulan dari kedua teknologi tersebut. Penemuan Aset Secara Berkelanjutan Infoblox IPAM memastikan deteksi aset secara real-time saat perangkat terhubung ke jaringan, menghilangkan keterlambatan dan kesenjangan yang sering terjadi dalam pembaruan inventaris aset secara manual atau terjadwal. Begitu perangkat baru terdeteksi, Infoblox dapat secara otomatis memicu pemindaian kerentanan, sehingga risiko dapat ditangani segera tanpa harus menunggu jadwal pemindaian berikutnya. Dengan fitur ini, organisasi dapat menjaga inventaris aset yang dinamis dan akurat, baik internal maupun eksternal, menutup celah visibilitas, dan mengurangi kemungkinan adanya perangkat yang tidak terpantau. Pemindaian Aset yang Selektif Tidak semua aset perlu atau cocok untuk dipindai—misalnya, printer, perangkat IoT, atau peralatan OT yang mungkin tidak merespons pemindaian atau bahkan berisiko mengalami gangguan akibat pemindaian tersebut. Infoblox IPAM menyediakan data kontekstual yang kaya, termasuk jenis aset, sistem operasi, lokasi, dan aktivitas, untuk membantu organisasi menargetkan hanya aset yang paling kritis dan relevan untuk dipindai. Pendekatan yang lebih presisi ini meningkatkan efisiensi manajemen kerentanan. Mengurangi konsumsi sumber daya yang tidak perlu. Menghemat biaya lisensi dengan memprioritaskan aset berisiko tinggi. Menjaga kontinuitas operasional, terutama untuk lingkungan dengan jumlah besar perangkat IoT dan OT. Deteksi Aktivitas Berbahaya Secara Real-Time Infoblox Threat Defense dan SOC Insights menambahkan lapisan intelijen ekstra dalam manajemen kerentanan dengan mendeteksi aktivitas DNS berbahaya secara real-time. Saat aktivitas mencurigakan terdeteksi, sistem dapat langsung memicu pemindaian pada aset terkait, memberikan konteks penting tentang perangkat yang terkena dampak dan sifat ancaman. Kemampuan ini memungkinkan analis SOC untuk fokus pada kerentanan paling mendesak. Mempercepat respons dan remediasi hingga 67% lebih cepat. Mengurangi potensi pelanggaran dengan menangani ancaman lebih awal. Visibilitas dan Otomasi Lintas Platform yang Ditingkatkan Integrasi ini menjembatani kesenjangan antara intelijen jaringan dan ancaman Infoblox dengan kemampuan manajemen kerentanan, menciptakan ekosistem keamanan yang lebih terpadu. Aliran data aset, ancaman, dan jaringan yang berkelanjutan memastikan semua alat bekerja dengan informasi yang paling akurat dan terkini. Organisasi mendapatkan penyelarasan lebih baik antara upaya manajemen kerentanan dan operasi keamanan secara keseluruhan. Memungkinkan deteksi ancaman proaktif dan remediasi skala besar. Dengan pendekatan ini, organisasi dapat mengoptimalkan visibilitas aset, meningkatkan efisiensi operasional, dan mengurangi risiko keamanan secara signifikan. Tingkatkan Performa Manajemen Kerentanan Anda Integrasi Infoblox dengan solusi manajemen kerentanan memungkinkan organisasi mencapai postur keamanan yang lebih kuat. Dengan fitur penemuan aset berkelanjutan, pemindaian aset yang selektif, dan deteksi aktivitas berbahaya secara real-time, organisasi dapat mengotomatisasi proses kritis, mengurangi biaya, dan menutup celah keamanan dengan lebih efektif. Dengan Infoblox dan manajemen kerentanan bekerja bersama, organisasi Anda dapat beralih dari pendekatan reaktif ke strategi proaktif, memastikan visibilitas yang lebih baik, efisiensi operasional yang lebih tinggi, dan mitigasi ancaman yang lebih efektif. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan infoblox, Anda bisa mendapatkan solusi IT lengkap…

Kombinasi Berbahaya Antara Situs Web yang Diretas dan AdTech Berbahaya Di dunia keamanan siber, kita jarang membahas dari sudut pandang korban. Biasanya, fokus kita ada pada sudut pandang pelaku: taktik, teknik, dan prosedur (TTPs) mereka. Namun, saya memutuskan untuk mencoba berada di posisi korban dan melihat apa yang terjadi setelah mengunjungi situs web yang diretas dan telah dimodifikasi untuk terhubung dengan adtech berbahaya. Apa Itu Adtech Berbahaya? Adtech (advertising technology) adalah kumpulan perangkat lunak dan alat yang digunakan untuk mengoptimalkan kampanye digital. Biasanya adtech ini digunakan secara sah, tetapi para pelaku kejahatan siber juga memanfaatkannya dengan cara mengintegrasikannya ke dalam situs yang telah diretas. Integrasi ini menjadi “pengait” bagi pelaku untuk mendapatkan akses ke perangkat pengunjung. Eksperimen saya menghasilkan temuan yang cukup mengejutkan. Mengunjungi situs web yang terhubung dengan adtech berbahaya dapat memberikan dampak jangka panjang terhadap pengalaman pengguna dengan perangkat mereka. Bagaimana Cara Kerjanya? Pelaku mengintegrasikan adtech berbahaya melalui notifikasi situs web, yang sering disebut sebagai push notifications karena dorongan langsung ke perangkat pengguna. Jika pengguna tertipu untuk menerima notifikasi ini, mereka akan mulai menerima pesan menyesatkan seperti peringatan virus palsu. Ketika pengguna mengklik notifikasi tersebut, mereka diarahkan ke konten berbahaya yang memperburuk pengalaman berselancar, bahkan memengaruhi situs dan berita yang sah. Mengapa Ini Mudah Terjadi? Ada ratusan ribu situs web yang diretas di internet, dan puluhan ribu situs baru diretas setiap harinya. Integrasi adtech hanya membutuhkan satu baris kode yang ditanam di situs yang diretas. Pelaku mendapatkan bagian keuntungan dari iklan yang ditampilkan ke korban setelah mereka meninggalkan situs yang diretas.  (Catatan: “Iklan” dalam konteks ini sebenarnya adalah penipuan atau konten berbahaya, bukan iklan tradisional.) Eksperimen Saya sebagai Korban  Saya menggunakan ponsel lama milik ibu saya, Google Pixel 2, dengan browser Chrome dan Firefox. Saya mengunjungi domain yang sudah diidentifikasi sebagai situs yang terinfeksi, yakni germannautica[.]com, yang terkait dengan kelompok ancaman VexTrio Viper. Setelah mengunjungi situs dan menerima notifikasi, saya masuk ke ekosistem yang terus membanjiri saya dengan konten berbahaya. Dampaknya meluas ke layanan resmi seperti newsfeed dan iklan dari Google maupun Taboola, yang ikut terkontaminasi. Bahkan setelah saya membersihkan cache browser, efek ini masih terus berlanjut. Hasilnya: Saya menerima lebih dari 100 push notifications per hari dari berbagai domain, yang masing-masing mengarahkan saya ke konten berbahaya. Notifikasi ini berisi pesan ancaman, iming-iming hadiah, hingga penawaran palsu. Beberapa di antaranya menyalahgunakan logo merek terkenal. Jenis penipuan yang saya temui: Penipuan antivirus (scareware) Penipuan hadiah/gift card Survei palsu Situs penambangan kripto palsu Aplikasi palsu dan adware Penyebaran malware Disinformasi dan manipulasi konten Teknik Serangan yang Digunakan: Saat mengunjungi germannautica[.]com, permintaan DNS TXT dikirim ke server Command and Control (C2) untuk mengumpulkan informasi tentang IP saya. Server C2 mengembalikan domain baru yang mengarahkan saya ke sistem distribusi lalu lintas (Traffic Distribution System – TDS) milik VexTrio Viper. Dalam hitungan detik, saya diarahkan beberapa kali hingga akhirnya muncul permintaan untuk mengaktifkan push notifications. Permintaan ini disamarkan dengan captcha palsu bergambar robot, yang merupakan ciri khas VexTrio Viper. Dampak yang Saya Rasakan: Berita dan iklan yang saya terima terkontaminasi, bahkan dari penyedia resmi. Sulit membedakan informasi asli dan palsu tanpa riset lebih lanjut. Efeknya berlanjut meskipun saya sudah membersihkan cache dan riwayat browser. Kesimpulan Awal: Integrasi adtech berbahaya melalui situs yang diretas bukan hanya membuat korban terpapar malware atau penipuan sesaat, tetapi juga menciptakan siklus disinformasi jangka panjang yang sulit dihentikan. Ini memperburuk pengalaman pengguna, mencederai kepercayaan pada platform berita, dan membuka celah lebih besar bagi serangan lanjutan. Next Step: Di bagian selanjutnya, saya akan membahas lebih dalam tentang bagaimana industri scareware berkembang melalui adtech berbahaya dan bagaimana pengguna bisa melindungi diri dari jebakan ini. Setelah saya menerima notifikasi, sistem Traffic Distribution System (TDS) milik VexTrio Viper kembali mengarahkan saya ke berbagai konten berbahaya, berdasarkan jenis browser dan karakteristik pengguna saya. Karena TDS ini mengarahkan pengguna ke berbagai jenis konten jahat sesuai dengan profil mereka, saya mencoba mengakses situs yang sama beberapa kali dengan mensimulasikan perangkat dan lokasi yang berbeda. Hasilnya, saya diarahkan ke berbagai jenis penipuan, seperti: Giveaway palsu (undi-undi hadiah fiktif) Situs kencan palsu Aplikasi palsu yang mengandung adware atau malware Peringatan virus palsu (scareware) yang menakut-nakuti pengguna agar mengunduh aplikasi tertentu atau memberikan data pribadi (Gambar 2 memperlihatkan beberapa contoh konten berbahaya yang saya temui saat mengunjungi situs yang telah dimodifikasi, germannautica[.]com).   Bagaimana mungkin satu domain yang sudah dikompromikan bisa menghasilkan begitu banyak halaman arahan (landing pages) berbeda? Ternyata, bukan hanya satu Traffic Distribution System (TDS) yang terlibat, melainkan serangkaian TDS yang mengarahkan lalu lintas (traffic) untuk menghindari deteksi sekaligus memaksimalkan potensi keuntungan dari pengunjung. Sebagian besar aktivitas ini tidak terlihat oleh pengguna di peramban mereka, namun bisa terdeteksi menggunakan alat pemindaian seperti Urlscan. Jika diperhatikan lebih detail pada contoh rantai pengalihan di Gambar 3, terlihat beberapa petunjuk di URL seperti: Kata “tds” yang merujuk pada sistem distribusi lalu lintas. Variasi istilah seperti “track” yang digunakan untuk melacak koneksi pengguna. “space-robot” yang terkait dengan permintaan notifikasi push. Beragam parameter iklan yang ditanamkan untuk menyesuaikan konten iklan yang ditampilkan. Dalam beberapa bulan terakhir, kami menemukan bahwa banyak TDS ini bukan dijalankan oleh peretas individu, melainkan dikelola oleh perusahaan adtech ilegal yang beroperasi di bawah bayang-bayang hukum. Dengan kata lain, peretas situs web hanyalah salah satu pelaku jahat dalam rantai ini—masih ada aktor lain yang lebih besar di balik layar. Namun, kisah tentang perusahaan adtech yang meragukan ini adalah cerita untuk lain waktu. Dalam hitungan detik, ponsel saya mulai bergetar terus-menerus karena menerima notifikasi seperti yang ditampilkan pada Gambar 4. Setiap kali saya mengklik salah satu notifikasi push tersebut, saya langsung diarahkan ke serangkaian pengalihan lainnya melalui berbagai TDS. Hasil akhirnya selalu sama: konten berbahaya. Selain itu, hampir setiap kali saya sampai di halaman tujuan, saya diminta kembali untuk mengizinkan notifikasi dari domain baru. Dalam waktu singkat, saya sudah menerima notifikasi dari belasan domain berbeda dan terjerumus semakin dalam ke ‘lubang kelinci’ (rabbit hole) notifikasi push yang tak ada habisnya. Dengan mempelajari pola pengalihan tersebut, saya menemukan sebuah ekosistem perusahaan adtech yang saling terafiliasi, di mana masing-masing pihak menyediakan konten berbahaya dan memperoleh keuntungan dari sejumlah domain yang telah…

Analisis Penggunaan DNS oleh Ransomware untuk C2 dan Eksfiltrasi Data serta Pencegahannya Peningkatan Ancaman Ransomware dan Dampaknya Serangan ransomware terus meningkat secara global dan menjadi ancaman serius bagi organisasi. Dampaknya meliputi: Downtime operasional yang signifikan (rata-rata pemulihan membutuhkan waktu 22 hari). Kerugian finansial akibat gangguan bisnis, diperkirakan mencapai $43,2 juta. Kehilangan data dan pencurian informasi sensitif. Kerusakan reputasi perusahaan. Untuk menghindari pembayaran tebusan, banyak organisasi mengandalkan backup data. Namun, pelaku ancaman kemudian mengadopsi strategi pemerasan ganda (double extortion), yaitu: Mengunci data dengan enkripsi. Mencuri data sensitif dan mengancam untuk mempublikasikannya jika tebusan tidak dibayar. Data yang bocor dapat menyebabkan sanksi hukum, hilangnya kepercayaan pelanggan, dan kerugian bisnis jangka panjang. Penggunaan DNS untuk Command and Control (C2) oleh Ransomware Setelah ransomware berhasil masuk ke jaringan perusahaan, DNS digunakan sebagai jalur komunikasi Command and Control (C2) untuk: Mengambil kunci enkripsi dari server pelaku ancaman. Mengirim perintah ke ransomware untuk melanjutkan aksinya. Alasan DNS Digunakan untuk C2: DNS adalah layanan mendasar di setiap jaringan, sehingga lalu lintas DNS jarang diblokir oleh firewall. DNS memberikan kerahasiaan (stealth) karena perintah dapat disamarkan dalam kueri DNS biasa. DNS Beaconing: Malware secara berkala mengirimkan kueri DNS ke server pelaku ancaman untuk menerima instruksi baru. Penggunaan DNS untuk Eksfiltrasi Data Selain komunikasi C2, ransomware juga menggunakan DNS untuk eksfiltrasi data sebagai bagian dari pemerasan ganda (double extortion). Data sensitif seperti nomor kartu kredit, informasi pelanggan, atau data rahasia perusahaan dapat diselundupkan melalui DNS dengan cara: Menanamkan data dalam kueri DNS. Menggunakan DNS sebagai “tunnel” untuk mengirim data keluar ke server pelaku ancaman. Data diterima dan didekode oleh server DNS berbahaya yang dikontrol oleh pelaku. Keunggulan Eksfiltrasi Data via DNS: DNS melewati firewall tanpa banyak pengawasan. Sulit dideteksi karena data dienkapsulasi dalam permintaan DNS yang tampak normal. Menghindari DLP (Data Loss Prevention) karena DLP biasanya lebih fokus pada HTTP, FTP, atau email. Pencegahan Ransomware Melalui DNS Threat Intel Blokir Proaktif Domain Berbahaya (Preemptive Blocking) DNS threat intelligence dapat digunakan untuk mengidentifikasi dan memblokir domain ransomware sebelum domain tersebut digunakan dalam serangan. Phishing adalah metode distribusi ransomware yang paling umum, di mana korban diarahkan ke situs web berbahaya. DNS threat intel mampu mengidentifikasi domain berpotensi berbahaya saat baru terdaftar dan memblokirnya hingga 63 hari sebelum serangan. Blokir Komunikasi C2 Melalui DNS Dengan memantau dan memblokir lalu lintas DNS menggunakan threat intelligence, perusahaan dapat: Menghentikan komunikasi malware dengan server C2. Mencegah pengunduhan kunci enkripsi dan memutus kendali pelaku ancaman sejak awal. Deteksi Eksfiltrasi Data Melalui Pemantauan Perilaku DNS Analisis perilaku lalu lintas DNS (DNS Behavior Monitoring) dapat mendeteksi aktivitas eksfiltrasi data, bahkan jika domain yang digunakan belum terdaftar sebagai berbahaya. Metode ini mencakup: Memantau kueri DNS dengan pola tidak biasa, seperti: Frekuensi tinggi ke domain yang tidak dikenal. Nama domain dengan entropi tinggi (acak dan kompleks). Penggunaan berlebihan DNS TXT record atau jenis rekaman lain yang tidak lazim. Memeriksa semua tipe DNS record seperti: A, AAAA, CNAME, MX, NS, SOA, TXT, dll., karena pelaku dapat menyembunyikan data di berbagai jenis record. Langkah Pencegahan dan Mitigasi Langkah Deskripsi DNS Threat Intelligence Memblokir domain ransomware dan phishing sebelum digunakan untuk serangan. DNS Traffic Monitoring Memantau kueri DNS secara real-time untuk mendeteksi aktivitas C2 dan eksfiltrasi data. Behavioral Analysis Mengidentifikasi pola perilaku aneh dalam lalu lintas DNS, seperti beaconing atau eksfiltrasi data. Deteksi Semua Jenis Rekaman DNS Menganalisis tipe record seperti TXT, CNAME, dan lainnya karena bisa digunakan untuk komunikasi atau penyelundupan data. Segmentasi Jaringan Membatasi komunikasi antara jaringan internal dan eksternal, serta membatasi akses internet langsung. Training Karyawan Edukasi terkait phishing dan ancaman siber agar karyawan lebih waspada. Kesimpulan DNS bukan hanya layanan fundamental dalam jaringan, tetapi juga telah dieksploitasi oleh ransomware untuk C2 dan eksfiltrasi data. Dengan memahami cara kerja ini, organisasi dapat: Mendeteksi dan memblokir komunikasi C2 sejak dini. Mengidentifikasi eksfiltrasi data melalui DNS. Memanfaatkan DNS threat intelligence dan behavior monitoring untuk mengamankan jaringan secara proaktif. Pendekatan ini memberikan lapisan perlindungan dini untuk mencegah ransomware berkembang di dalam jaringan perusahaan sebelum mencapai tahap enkripsi dan pemerasan.   Kesimpulan : Perlindungan proaktif terhadap ransomware sangat penting karena setelah ransomware masuk ke jaringan, organisasi hanya memiliki waktu sekitar satu jam untuk mendeteksi, menyelidiki, dan menangani sebelum insiden menyebar lebih luas. Oleh karena itu, mendeteksi dan menghentikan komunikasi Command and Control (C2) sebelum ransomware aktif dan menyebar menjadi langkah yang sangat krusial. Infoblox Threat Defense menawarkan solusi perlindungan dengan menggabungkan: DNS Threat Intelligence unik. Analisis perilaku (Behavioral Analysis). Pendekatan ini mampu mengganggu dan meminimalkan dampak serangan ransomware dengan akurasi tinggi dan tingkat false positive sangat rendah (0,0002%), sehingga memastikan perlindungan yang tepat sasaran.

Baru-baru ini, Infoblox Threat Intel menemukan sebuah botnet yang mengirimkan malware melalui kampanye spam dengan menggunakan domain pengirim palsu. Ini berbeda dari spoofing email yang baru-baru ini kami laporkan dalam Muddling Malspam: Penggunaan Domain Palsu dalam Spam Berbahaya, karena ini memanfaatkan konfigurasi DNS yang salah untuk melewati teknik perlindungan email. Botnet, yang dibangun dari perangkat yang terkompromi yang dikendalikan oleh aktor, sangat sulit untuk dihentikan dan mewakili ancaman yang terus-menerus dalam lanskap siber. Botnet ini menggunakan jaringan global router Mikrotik untuk mengirim email berbahaya yang dirancang agar tampak berasal dari domain yang sah. Spam yang kami amati mengirimkan malware trojan, namun botnet ini kemungkinan digunakan untuk berbagai aktivitas jahat lainnya. Kami terus memantau botnet ini melalui DNS.   Beberapa latar belakang tentang botnet Botnet telah ada sejak awal era internet dan seiring waktu, mereka berkembang dalam hal kecanggihan. Botnet adalah sekumpulan perangkat yang terkompromi yang dikendalikan secara jarak jauh oleh aktor ancaman untuk melakukan tindakan jahat dalam skala besar, mulai dari distribusi spam hingga serangan penolakan layanan (DoS). Sifat botnet yang terdistribusi membuatnya sulit untuk dihentikan dan memungkinkan aktor ancaman untuk menyembunyikan identitas mereka. Selain itu, ketika serangan berasal dari ribuan sumber seperti botnet, ini menjadi tantangan jauh lebih besar bagi pembela untuk melawan, dibandingkan dengan serangan yang berasal dari satu alamat IP yang dapat dengan mudah diblokir. Penggunaan botnet jahat yang khas meliputi: Serangan penolakan layanan terdistribusi (DDoS): Botnet dapat membanjiri jaringan atau server target dengan lalu lintas, menyebabkan kerusakan atau membuatnya tidak dapat diakses. Ini dapat digunakan untuk pemerasan, mengganggu layanan, atau sebagai distraksi untuk serangan lainnya. Kampanye spam dan phishing: Dengan menggunakan banyak perangkat yang terkompromi, penyerang dapat mengirimkan volume besar email spam atau pesan phishing, meningkatkan kemungkinan untuk menipu penerima agar mengungkapkan informasi sensitif atau mengunduh malware. Credential stuffing: Botnet dapat mengotomatisasi proses mencoba banyak kombinasi nama pengguna dan kata sandi di berbagai situs web, mengeksploitasi kredensial yang lemah atau yang digunakan ulang untuk mendapatkan akses tidak sah. Pencurian data: Perangkat yang terinfeksi dapat digunakan untuk mencuri informasi pribadi, data keuangan, atau kekayaan intelektual, yang kemudian dapat dijual di Dark Web atau digunakan untuk serangan lebih lanjut. Cryptojacking: Botnet dapat merampas daya pemrosesan perangkat yang terinfeksi untuk menambang mata uang kripto, menghasilkan pendapatan bagi penyerang tanpa sepengetahuan korban. Jaringan proxy: Perangkat yang terkompromi dapat digunakan sebagai proxy untuk menyembunyikan lokasi asli penyerang, membuatnya lebih sulit bagi penegak hukum untuk melacak aktivitas mereka. Penipuan klik: Botnet dapat menghasilkan klik palsu pada iklan online, menipu pengiklan dengan membuat iklan mereka terlihat menerima lalu lintas yang sah. Faktur yang Tidak Terduga Semua dimulai dengan penemuan kampanye malspam pada akhir November. Konten email terkait dengan faktur pengiriman dan menyertakan file zip yang berisi muatan berbahaya. File zip tersebut menggunakan konvensi penamaan yang konsisten, yaitu: Invoice (nomor 2-3 digit).zip atau Tracking (nomor 2-3 digit).zip Email-email ini menunjukkan bahwa aktor tersebut menyamar sebagai perusahaan pengiriman, DHL. Berikut adalah contoh email: “ Faktur untuk Pembayaran Pengiriman Nomor Faktur: 728326122 Kepada Pelanggan yang Terhormat, Kami telah menyiapkan faktur untuk pengiriman paket Anda. Silakan temukan file terlampir yang berisi informasi pembayaran yang diperlukan. Untuk menghindari keterlambatan dalam proses pengiriman, mohon lakukan pembayaran sesegera mungkin. Jika Anda memiliki pertanyaan, jangan ragu untuk menghubungi kami. Hormat kami, DHL Express ” Kami mengumpulkan puluhan ribu email spam yang ditandai tersebut dan memulai penyelidikan kami.   Trojan File zip terlampir berisi file JavaScript yang diobfuskasi, yang membuat dan mengeksekusi skrip PowerShell yang memulai koneksi keluar ke server perintah dan kontrol (C2) malware di 62.133.60[.]137. IP tersebut, yang terletak di Global Connectivity Solutions (AS215540), memiliki riwayat penggunaan yang mencurigakan, terkait dengan aktivitas Rusia sebelumnya. BOTNET Botnet yang Tersebar Header dari banyak email spam mengungkapkan berbagai domain dan alamat IP server SMTP, dan kami menyadari bahwa kami telah menemukan jaringan besar sekitar 13.000 perangkat MikroTik yang telah dibajak, semuanya bagian dari botnet yang besar. Bersama-sama, perangkat ini membentuk sebuah senjata besar, siap untuk meluncurkan serangkaian aktivitas berbahaya. Beberapa kerentanannya yang kritis telah diidentifikasi di router MikroTik, dan versi firmware dari router tidak selalu tersedia, tetapi kami melihat berbagai versi yang terpengaruh, termasuk rilis firmware terbaru. Salah satu kerentanannya adalah eksekusi kode jarak jauh dengan exploit yang dijelaskan di sini: https://vulncheck.com/blog/mikrotik-foisted-revisited Eksploitasi buffer overflow ini dapat dieksekusi secara jarak jauh tetapi memerlukan akses yang telah diautentikasi. Namun, router ini sebelumnya dilengkapi dengan akun pengguna ‘admin’ yang di-hardcode dengan kata sandi kosong. (Adalah praktik yang baik untuk menonaktifkan akun ini). Kerentanannya, dan kerentanannya yang lebih lama, tidak menjelaskan mengapa kami juga melihat rilis firmware terbaru yang juga terdaftar sebagai anggota botnet. Terlepas dari bagaimana perangkat tersebut telah dikompromikan, tampaknya aktor ancaman telah menanamkan skrip pada perangkat-perangkat tersebut yang memungkinkan SOCKS (Secure Sockets), yang memungkinkan perangkat untuk berfungsi sebagai pengalih TCP. Mengaktifkan SOCKS secara efektif mengubah setiap perangkat menjadi proxy, menyembunyikan asal-usul trafik berbahaya dan membuatnya lebih sulit untuk dilacak kembali ke sumbernya. Kekhawatiran besar lainnya adalah bahwa tidak ada autentikasi yang diperlukan untuk menggunakan proxy ini, membuat perangkat individu, atau seluruh botnet, tersedia untuk dimanfaatkan oleh aktor lain. Meskipun botnet ini terdiri dari 13.000 perangkat, konfigurasi mereka sebagai proxy SOCKS memungkinkan puluhan atau bahkan ratusan ribu perangkat yang terkompromi untuk menggunakannya untuk akses jaringan, secara signifikan memperbesar potensi skala dan dampak dari operasi botnet ini. Implikasi luas dari memiliki begitu banyak router dan domain yang dapat disalahgunakan sangat mengkhawatirkan. Dengan jaringan sebesar ini, seorang aktor dapat meluncurkan berbagai serangan, dari serangan DDoS hingga operasi yang lebih tersembunyi seperti pencurian data dan kampanye phishing. Setiap perangkat yang terkompromi menjadi bagian dari mesin besar yang lebih jahat, yang dapat menyebabkan kerusakan pada target yang tidak curiga. Lebih lagi, aktor ancaman dapat menggunakan proxy SOCKS untuk menyebarkan malware dengan merutekan lalu lintas mereka melalui perangkat yang terkompromi ini, melewati langkah-langkah keamanan tradisional. Operator infrastruktur perintah dan kontrol (C2) dengan akses ke botnet ini dapat sangat meningkatkan skala operasi mereka dan juga memberikan lapisan anonimitas, melindungi mereka dari deteksi dan pemblokiran. Peran DNS dalam Kampanye Malspam Bagi aktor ancaman malspam, memastikan bahwa payload berbahaya mereka berhasil melewati perlindungan yang ada untuk mencegah spam dan diteruskan ke…