Tag: infoblox indonesia

Pada 16 Januari 2025, Gedung Putih mengeluarkan Perintah Eksekutif (EO) yang komprehensif untuk memperkuat dan mempromosikan keamanan siber di seluruh negara. EO ini mencakup langkah-langkah khusus untuk: Meningkatkan akuntabilitas bagi penyedia perangkat lunak dan layanan cloud Memperkuat keamanan sistem komunikasi dan manajemen identitas Federal Mempromosikan pengembangan inovatif dan penggunaan teknologi yang muncul untuk keamanan siber di seluruh departemen dan lembaga eksekutif Salah satu langkah utama yang diperkenalkan adalah keharusan untuk menerapkan protokol DNS yang terenkripsi yang memastikan kerahasiaan dan integritas trafik DNS. Hal ini mengakui DNS sebagai kontrol keamanan garis depan yang sangat penting, dengan menekankan peranannya dalam strategi pertahanan keamanan siber yang mendalam (defense-in-depth).   Mengapa DNS Terenkripsi Penting DNS sering disebut sebagai “buku telepon internet,” yang mengonversi nama domain yang dapat dibaca manusia menjadi alamat IP. Tujuan awal dari DNS adalah untuk mendistribusikan informasi seperti pemetaan host dan alamat IP, informasi pengaturan email, dan sebagainya. Oleh karena itu, DNS tidak secara tradisional dianggap sebagai alat untuk mengamankan komunikasi jaringan. Namun, peran DNS yang sangat penting dalam mendukung hampir semua komunikasi jaringan saat ini menjadikannya alat yang efektif untuk tidak hanya memantau, tetapi juga mengelola komunikasi tersebut. DNS terenkripsi menyediakan mekanisme untuk menjadikan DNS sebagai kontrol keamanan. Kueri DNS tradisional ditransmisikan dalam bentuk teks biasa, yang membuatnya rentan terhadap penyadapan dan manipulasi. Mengenkripsi lalu lintas DNS (melalui protokol seperti DNS over HTTPS (DoH) dan DNS over TLS (DoT)) meningkatkan keamanan dengan: Melindungi Kerahasiaan: Memastikan bahwa kueri DNS tidak dapat disadap dan digunakan untuk memantau aktivitas penelusuran pengguna. Mempertahankan Integritas: Mencegah aktor jahat untuk mengarahkan pengguna ke situs web palsu melalui pemalsuan DNS (DNS spoofing). Persyaratan ini membangun atas persyaratan yang telah ditetapkan dalam Memorandum M-22-09 dari Kantor Manajemen dan Anggaran (OMB) sebelumnya dan Panduan Implementasi DNS Terenkripsi CISA, yang mewajibkan infrastruktur DNS pada lembaga Eksekutif Sipil Federal (FCEB) untuk mendukung penggunaan DNS terenkripsi saat berkomunikasi dengan titik akhir lembaga, di mana pun itu didukung secara teknis. Persyaratan Utama tentang DNS Terenkripsi dalam EO Persyaratan spesifik untuk DNS terenkripsi adalah sebagai berikut: Dalam waktu 90 hari, Menteri Keamanan Dalam Negeri, yang bertindak melalui Direktur CISA, akan menyusun bahasa template kontrak yang mengharuskan setiap penyelesai DNS (baik klien maupun server) yang digunakan oleh lembaga-lembaga federal untuk mendukung DNS terenkripsi. Bahasa kontrak ini akan diserahkan kepada Dewan Regulasi Pengadaan Federal (FAR Council), yang memiliki waktu 120 hari untuk meninjau dan mengambil langkah-langkah untuk mengubah FAR. Lembaga-lembaga Eksekutif Sipil Federal (FCEB) diharuskan untuk mengaktifkan protokol DNS terenkripsi: Pada klien dan server yang ada yang mendukung protokol ini dalam waktu 180 hari. Pada klien dan server tambahan yang mendukung protokol tersebut dalam waktu 180 hari. Tantangan dan Peluang DNS terenkripsi membutuhkan sumber daya komputasi tambahan, terutama pada server DNS, karena perlu melakukan enkripsi dan dekripsi saat mengirim dan menerima pesan DNS. Lembaga-lembaga harus memperhitungkan hal ini dan memastikan bahwa server DNS mereka memiliki sumber daya yang cukup untuk menangani beban kueri sebelum memulai penerapan DNS terenkripsi secara luas. Kegagalan untuk mengimplementasikan DNS terenkripsi dengan benar dapat menyebabkan jaringan, aplikasi, dan pengguna mereka mengalami gangguan. Penggunaan DNS terenkripsi juga dapat menyulitkan pemecahan masalah karena staf TI yang menggunakan alat pemecahan masalah jaringan tidak akan memiliki akses langsung ke isi kueri atau respons DNS. Namun, isi dari kueri dan respons DNS tetap akan tersedia bagi staf TI pada server nama itu sendiri, karena server nama tersebut akan melakukan dekripsi yang diperlukan. Namun, manfaat dari DNS terenkripsi lebih besar daripada tantangan tersebut. Untuk mengatasi tantangan ini dan memastikan ketahanan siber, lembaga-lembaga dan organisasi harus membatasi keberadaan beberapa layanan kritis di satu sistem. Pemisahan tugas ini akan memastikan ketahanan yang maksimal, mengingat kebutuhan komputasi yang lebih tinggi. Infrastruktur yang menyelenggarakan layanan DNS harus didedikasikan untuk tugas ini dan diperkuat untuk tujuan ini guna mengurangi permukaan serangan dan memastikan bahwa sumber daya sistem yang memadai tersedia untuk layanan DNS. Infrastruktur tersebut harus mencakup kapasitas yang cukup untuk elemen-elemen layanan DNS seperti pencatatan, dukungan protokol DNS terenkripsi, dan DNS Protektif, jika berlaku. Hal ini mungkin lebih mudah dilakukan pada layanan DNS yang dirancang khusus, baik sebagai layanan atau melalui perangkat virtual atau fisik. Implikasi bagi Lembaga Pemerintah Saat lembaga-lembaga bergerak maju dengan inisiatif ini, sangat penting untuk tetap mendapatkan informasi terbaru tentang kemajuan teknologi dan mengadopsi praktik terbaik, termasuk: Melakukan audit terhadap infrastruktur DNS yang ada untuk mengevaluasi kesehatan dan konfigurasi server serta klien guna memastikan bahwa mereka telah dioptimalkan untuk mendukung protokol DNS terenkripsi. Merencanakan dan melaksanakan implementasi protokol ini di seluruh jaringan mereka untuk server DNS eksternal dan internal. Berkolaborasi dengan vendor dan penyedia layanan untuk memastikan kepatuhan terhadap persyaratan baru tersebut.   Bagaimana Infoblox Dapat Membantu Sebagai pemimpin dalam solusi DNS yang aman, Infoblox berada dalam posisi yang unik untuk membantu lembaga pemerintah dalam memenuhi persyaratan baru ini. Solusi kami adalah: Komprehensif: Mendukung DoH, DoT, dan intelijen ancaman tingkat lanjut untuk server DNS internal dan eksternal yang ada di tempat, di cloud, atau kombinasi keduanya. Skalabel: Memastikan lembaga dapat menerapkan protokol DNS terenkripsi di seluruh jaringan yang besar dan kompleks. Mudah untuk Diterapkan: Menyederhanakan transisi ke DNS terenkripsi dengan gangguan minimal.   Poin Penting Perintah Eksekutif ini menandai langkah penting dalam melawan kejahatan dunia maya yang menargetkan infrastruktur DNS. Dengan mewajibkan DNS terenkripsi, pemerintah federal menetapkan standar tinggi untuk ketahanan keamanan siber, dengan dampak yang diharapkan meluas ke berbagai industri. Infoblox dengan bangga mendukung misi ini, memberikan alat dan keahlian yang diperlukan untuk mengamankan fondasi internet. Hubungi Infoblox untuk update terkait produk cyber threat intelligence dan feature lainnya.

Pelajaran dari Pemburuan Malspam Domain Palsu untuk Menghindari Pengamanan Meskipun ada pengamanan, spam berbahaya tetap berhasil. Untuk melewati pengamanan, aktor ancaman memalsukan atau menyamarkan alamat pengirim email agar tampak lebih sah. Dalam penelitian terbaru, Infoblox Threat Intel menganalisis spam yang dikirim oleh aktor asal China bernama Muddling Meerkat, aktor misterius yang melakukan operasi DNS melalui Great Firewall China. Penelitian ini mengungkap beberapa kampanye spam berbahaya dan penggunaan domain palsu secara luas.   Bahan pemburuan: Telemetri buatan sendiri dan umpan balik komunitas Meskipun masih ada pertanyaan setelah publikasi awal tentang Muddling Meerkat, kami berbagi apa yang kami ketahui dan meminta masukan dari komunitas yang lebih besar. Umpan balik yang diterima mencakup laporan pemberitahuan penyalahgunaan yang mendalam akibat distribusi spam berskala besar, yang mengarah ke IP sumber China, dan Infoblox memiliki beberapa domain yang disalahgunakan. Dengan pengetahuan ini, Infoblox Threat Intel memulai pemburuan dengan menghubungkan log server nama otoritatif DNS kami dengan data yang dikumpulkan dari perangkap spam. Dengan memutar balik data, kami bertujuan untuk mempelajari lebih lanjut tentang seberapa luas operasi malspam yang dilakukan oleh Muddling Meerkat. Hal ini menghasilkan wawasan tambahan tentang penggunaan malspam yang dilakukan oleh aktor yang terkait dengan China. Berikut adalah empat pengamatan utama yang diperoleh:   Temuan #1: Kampanye Phishing dengan Kode QR Kelompok terbesar dari malspam berkembang di sekitar kampanye phishing yang menargetkan penduduk China Raya. Kampanye ini menyamarkan domain lama dan menyebarkan lampiran berisi kode QR yang mengarah ke situs phishing. Para penyerang menggunakan metode dua langkah di mana penerima pertama kali membuka lampiran email dan kemudian menggunakan WhatsApp untuk memindai kode QR. Metodologi ini menyulitkan langkah pengamanan dengan memindahkan interaksi ke aplikasi obrolan terenkripsi, yang tidak terdeteksi oleh sebagian besar alat pengamanan. Pada langkah kedua, aktor ancaman juga menggunakan algoritma pembuatan domain terdaftar (RDGA) untuk membuat domain acak yang hanya aktif untuk waktu singkat guna menghindari deteksi lebih lanjut.   Temuan #2: Kampanye Phishing Jepang Persentase besar spam yang dikumpulkan berasal dari sumber dengan nama host tiga huruf. Dengan mengelompokkan ini, kami menemukan operasi malspam yang menargetkan pengguna Jepang. Kampanye ini melibatkan email yang merujuk pada merek terkenal seperti Electronic Toll Collection (ETC), Sumitomo Mitsui Banking Corporation (SMBC), Amazon, dan Mastercard. Email-email tersebut mendesak pengguna untuk melakukan autentikasi karena masalah keamanan, yang mengarah ke sistem distribusi lalu lintas (TDS) dan akhirnya ke halaman login palsu yang mencuri kredensial. Kampanye lain menargetkan pengguna Jepang dengan pesan spam terkait dengan MyEtherWallet, dompet crypto yang populer. Pesan-pesan ini menggunakan domain yang mirip dan terkadang menyertakan teks dalam bahasa Jepang, meminta pengguna untuk login ke akun mereka. Meskipun tautannya terlihat sah, mereka mengarah ke domain palsu yang dibuat oleh aktor ancaman. Penggunaan domain palsu, penyamaran domain, dan TDS menunjukkan bagaimana aktor-aktor China ini menerapkan berbagai taktik untuk tetap berada di luar sorotan penelitian ancaman dan menghindari deteksi.   Temuan #3: Kampanye Pemerasan yang Familiar Kami juga menemukan kampanye yang menggunakan taktik spam yang sudah dikenal yang melibatkan penyamaran domain. Salah satu taktik umum melibatkan email pemerasan yang mengklaim bahwa peretas telah mengakses perangkat pengguna dan merekam aktivitas memalukan. Email-email ini menyamarkan alamat email pengguna, membuatnya tampak seperti pesan yang dikirim dari akun mereka sendiri. Email tersebut meminta pembayaran dalam Bitcoin untuk menghapus malware, dengan jumlah yang bervariasi dalam pesan-pesan tersebut. Meskipun sifat email ini mengejutkan, skema ini efektif, karena beberapa dompet Bitcoin yang terkait dengan kampanye ini berisi dana yang cukup besar. Kampanye-kampanye ini, dan lainnya yang menggunakan domain pengirim yang disamarkan, kemungkinan berasal dari bot spam yang masih beroperasi, bukan hasil kerja aktor yang canggih seperti Muddling Meerkat.   Temuan #4: Malspam Misterius Penelitian ini mengungkapkan kampanye spam yang misterius dan aktif yang menggunakan domain pengirim palsu dan lampiran spreadsheet Excel yang tampak tidak berbahaya tanpa tujuan yang jelas. Email-email ini, yang menyamarkan domain seperti yang digunakan oleh Muddling Meerkat, berasal dari sebuah perusahaan pengiriman China. Alamat email bervariasi secara luas dan menyertakan nama pengguna sintetis seperti “Edward.Evelyn” dan “Heidi.Gracie.” Kampanye ini diamati setiap dua dari tiga hari pada tahun 2024, dengan baris subjek yang menunjukkan pembaruan tarif pengiriman baru, namun tidak ditemukan konten berbahaya dalam file-file ini. Menariknya, email-email ini juga tidak menyertakan ajakan untuk bertindak dan hanya merupakan serangkaian tarif pengiriman yang terus diperbarui untuk perusahaan pengiriman China. Penyamarannya membuatnya tidak jelas mengapa baik perusahaan pengiriman maupun aktor berbahaya akan mengirim email semacam itu. Teknik serupa terlihat pada spam pribadi, di mana email memberikan nilai dana investasi dari perusahaan investasi India. Pesan-pesan ini, yang ditandai oleh Google Mail sebagai spam mencurigakan, juga mengandung spreadsheet tidak berbahaya dan file PDF. Dalam kasus ini, nama pengguna pengirim adalah seorang kenalan lama, menunjukkan bahwa akun email mereka diretas untuk operasi spam. Namun, nilai dari pesan-pesan ini bagi aktor spam tetap tidak jelas.   Pembelajaran: Penyamaratan Domain adalah Taktik yang Banyak Digunakan Saat pertama kali mempublikasikan Muddling Meerkat pada Maret 2024, kami mengidentifikasi sekitar 20 domain terkait, namun kini telah mengonfirmasi beberapa ratus lainnya yang ditemukan dalam perangkap spam. Sayangnya, kami tidak dapat menghubungkannya kembali ke log server nama otoritatif DNS kami, yang meninggalkan misteri tentang aktor ini. Meskipun kami tidak dapat menentukan apa yang sedang dilakukan Muddling Meerkat, penyelidikan kami berhasil mengungkapkan banyak tentang bagaimana aktor-aktor menggunakan domain palsu dalam malspam, yang dapat memberi informasi tentang cara menghentikan mereka. Bagi peneliti ancaman seperti kami, wawasan tersebut sering kali sama pentingnya dengan mengetahui semua niat di baliknya. Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.