Pertahanan phising berlapis merupakan solusi terbaik saat ini dalam menghadapi ancaman phising yang datang bertubi-tubi setiap harinya.
Seperti kita ketahui, pertahanan tipikal terhadap phising sering hanya mengandalkan kemampuan pengguna untuk mengenali email phising. Pendekatan ini hanya akan memiliki keberhasilan yang terbatas.
Sebaliknya, Anda harus memperluas pertahanan untuk memasukkan lebih banyak tindakan teknis. Ini akan meningkatkan ketahanan Anda terhadap serangan phising tanpa mengganggu produktivitas pengguna.
Anda akan memiliki banyak peluang untuk mendeteksi serangan phising, lalu menghentikannya sebelum menyebabkan kerusakan.
Berikut adalah panduan untuk membagi mitigasi menjadi empat lapisan untuk membangun pertahanan:
- Mempersulit peretas untuk menjangkau pengguna Anda
- Bantu pengguna mengidentifikasi dan melaporkan dugaan email phising
- Lindungi perusahaan Anda dari efek email phising yang tidak terdeteksi
- Menanggapi insiden dengan cepat
Jika Anda tidak dapat mengimplementasikan semua pertahanan phising berlapis tersebut, coba atasi setidaknya beberapa mitigasi dari dalam setiap lapisan.
Empat Lapisan Mitigasi
Lapisan 1: Mempersulit peretas untuk menjangkau pengguna Anda
Pertahanan phising berlapis pada bagian ini menjelaskan pertahanan yang dapat mempersulit peretas bahkan untuk menjangkau pengguna akhir Anda.
Jangan biarkan alamat email Anda menjadi sumber bagi peretas
peretas ‘menipu’ email tepercaya, membuat email mereka terlihat seperti dikirim oleh perusahaan terkemuka (seperti milik Anda). Email palsu ini dapat digunakan untuk menyerang pelanggan Anda, atau orang-orang dalam perusahaan Anda.
Persulit email dari domain Anda untuk dipalsukan dengan menggunakan kontrol anti spoofing: DMARC, SPF, dan DKIM, dan dorong kontak Anda untuk melakukan hal yang sama.
Kurangi informasi yang tersedia untuk peretas
Peretas menggunakan informasi yang tersedia secara publik tentang perusahaan dan pengguna Anda untuk membuat pesan phising (dan khususnya spear phising) mereka lebih meyakinkan. Ini sering diperoleh dari situs web dan akun media sosial Anda (informasi yang dikenal sebagai ‘jejak digital’).
Bagaimana melakukannya?
- Pertimbangkan apa yang perlu diketahui pengunjung situs web Anda, dan detail apa yang tidak diperlukan (namun dapat bermanfaat bagi peretas)? Ini sangat penting untuk anggota perusahaan Anda yang terkenal, karena informasi ini dapat digunakan untuk membuat serangan whaling yang dipersonalisasi (sejenis spear phising yang menargetkan phising besar, seperti anggota dewan yang memiliki akses ke aset berharga).
- Bantu staf Anda memahami bagaimana membagikan informasi pribadi mereka dapat memengaruhi mereka dan perusahaan Anda, dan kembangkan ini menjadi kebijakan jejak digital yang jelas untuk semua pengguna.
- Waspadai apa yang diberikan mitra, kontraktor, dan pemasok Anda tentang perusahaan Anda secara online.
Filter atau blokir email phising yang masuk
Memfilter atau memblokir email phising sebelum sampai ke pengguna Anda tidak hanya mengurangi kemungkinan insiden phising; itu juga mengurangi jumlah waktu yang dibutuhkan pengguna untuk memeriksa dan melaporkan email. Layanan pemfilteran/pemblokiran Anda mungkin merupakan layanan bawaan penyedia email berbasis cloud, atau layanan pesanan khusus untuk server email Anda sendiri.
Bagaimana melakukannya?
- Periksa semua email masuk untuk spam, phising, dan malware. Email phising yang dicurigai harus difilter atau diblokir sebelum sampai ke pengguna Anda. Idealnya ini harus dilakukan di server, tetapi juga dapat dilakukan di perangkat pengguna akhir (mis. di klien email).
- Untuk email masuk, kebijakan anti spoofing domain pengirim harus dihormati. Jika pengirim memiliki kebijakan DMARC dengan kebijakan karantina atau penolakan, maka Anda harus melakukan seperti yang diminta jika pemeriksaan validasi gagal.
- Jika Anda menggunakan penyedia email berbasis cloud, pastikan bahwa layanan pemfilteran/pemblokiran mereka cukup untuk kebutuhan Anda, dan diaktifkan secara default untuk semua pengguna Anda.
- Layanan pemfilteran biasanya mengirim email ke folder spam/sampah, sedangkan layanan pemblokiran memastikan bahwa email tersebut tidak pernah menjangkau pengguna Anda. Aturan yang menentukan pemblokiran atau pemfilteran perlu disesuaikan dengan kebutuhan perusahaan Anda.
- Memfilter email di perangkat pengguna akhir dapat menawarkan lapisan pertahanan tambahan terhadap email berbahaya. Namun, ini seharusnya tidak mengimbangi tindakan berbasis server yang tidak efektif, yang dapat memblokir sejumlah besar email phising yang masuk seluruhnya.
- Email dapat difilter atau diblokir menggunakan berbagai teknik termasuk: alamat IP, nama domain, daftar alamat email yang diizinkan/ditolak, spam publik dan daftar penolakan relai terbuka, jenis lampiran, dan deteksi malware.
Lapisan 2: Bantu pengguna mengidentifikasi dan melaporkan dugaan email phising
Sementara untuk pertahanan phising berlapis pada bagian kedua ini menguraikan cara membantu staf Anda menemukan email phising, dan cara meningkatkan budaya pelaporan Anda.
Pertimbangkan dengan hati-hati pendekatan Anda terhadap pelatihan phising
Melatih pengguna terutama dalam bentuk simulasi phising, merupakan lapisan yang sering ditekankan secara berlebihan dalam pertahanan phising.
Menanggapi email dan mengklik tautan adalah bagian besar dari tempat kerja modern, jadi tidak realistis untuk mengharapkan pengguna tetap waspada sepanjang waktu.
Menemukan email phising itu sulit, dan spear phising bahkan lebih sulit dideteksi. Nasihat yang diberikan dalam banyak paket pelatihan, berdasarkan peringatan dan tanda standar, akan membantu pengguna Anda menemukan beberapa email phising, tetapi mereka tidak dapat mengajari semua orang untuk mengenali semua email phising.
Bagaimana melakukannya?
- Perjelas bahwa pesan phising bisa sulit dikenali, dan Anda tidak mengharapkan orang dapat mengidentifikasinya 100% setiap saat. Jangan pernah menghukum pengguna yang berjuang untuk mengenali email phising; itu ide yang buruk karena berbagai alasan. Pengguna yang takut pembalasan tidak akan segera melaporkan kesalahan, jika ada.
- Pelatihan harus mendorong kesediaan pengguna Anda untuk melaporkan insiden di masa mendatang, dan meyakinkan mereka kembali bahwa tidak apa-apa untuk meminta dukungan lebih lanjut jika ada sesuatu yang mencurigakan. Pesan ini membutuhkan dukungan di semua departemen termasuk SDM, dukungan, dan manajemen senior.
- Pastikan pengguna Anda memahami sifat ancaman yang ditimbulkan oleh phising, terutama departemen yang mungkin lebih rentan terhadapnya. Departemen yang berhadapan dengan pelanggan mungkin menerima email yang tidak diinginkan dalam jumlah besar.
- Bantu pengguna Anda menemukan fitur umum pesan phising, seperti isyarat urgensi atau otoritas yang menekan pengguna untuk bertindak.
- Menggunakan simulasi phising tidak akan membuat perusahaan Anda lebih aman. Beberapa perusahaan memiliki pelatihan pengguna yang membuat peserta membuat email phising mereka sendiri, memberi mereka pandangan yang lebih kaya tentang teknik yang digunakan. Yang lain bereksperimen dengan lokakarya, kuis, dan gamifikasi, membuat persaingan persahabatan antar rekan (bukan situasi ‘kita vs mereka’ dengan keamanan).
Permudah pengguna Anda untuk mengenali permintaan penipuan
peretas dapat mengeksploitasi proses untuk mengelabui pengguna agar menyerahkan informasi (termasuk kata sandi), atau melakukan pembayaran tanpa izin. Pertimbangkan proses mana yang dapat ditiru oleh peretas, dan cara meninjau dan menyempurnakannya sehingga serangan phising lebih mudah dikenali.
Selain itu, pikirkan bagaimana email yang Anda kirim ke pemasok dan pelanggan akan diterima. Bisakah penerima Anda dengan mudah membedakan email asli Anda dari serangan phising? Lagi pula, pengguna mereka (seperti milik Anda) tidak dapat diharapkan untuk mencari dan mengenali setiap tanda phising. Jangan menganggap memberikan informasi pribadi akan memverifikasi identitas Anda; informasi yang dicuri atau diteliti digunakan oleh phisher untuk membuat email mereka lebih meyakinkan.
Bagaimana melakukannya?
- Pastikan staf terbiasa dengan cara kerja normal untuk tugas-tugas utama (seperti bagaimana pembayaran dilakukan), sehingga mereka lebih siap untuk mengenali permintaan yang tidak biasa.
- Buat proses lebih tahan terhadap phising dengan memastikan bahwa semua permintaan email penting diverifikasi menggunakan jenis komunikasi kedua (seperti pesan SMS, panggilan telepon, masuk ke akun, atau konfirmasi melalui pos atau secara langsung. Contoh lain dari perubahan proses termasuk menggunakan metode login yang berbeda, atau berbagi file melalui akun cloud yang dikontrol aksesnya, daripada mengirim file sebagai lampiran.
- Pikirkan tentang bagaimana komunikasi keluar Anda tampak bagi pemasok dan pelanggan. Apakah penerima mengharapkan email, dan apakah mereka akan mengenali alamat email Anda? Apakah mereka memiliki cara untuk mengetahui apakah tautan itu asli?
- Pertimbangkan untuk memberi tahu pemasok atau pelanggan Anda apa yang harus diwaspadai (seperti ‘kami tidak akan pernah meminta kata sandi Anda, atau detail bank kami tidak akan berubah kapan pun’). Ini memberi penerima kesempatan lain untuk mendeteksi phish.
Ciptakan lingkungan yang mendorong pengguna untuk melaporkan upaya phising
Membangun budaya di mana pengguna dapat melaporkan upaya phising (termasuk yang diklik) memberi Anda informasi penting tentang jenis serangan phising yang digunakan.
Anda juga dapat mempelajari jenis email yang disalahartikan sebagai phising, dan apa dampaknya terhadap perusahaan Anda.
Bagaimana melakukannya?
- Miliki proses yang efektif bagi pengguna untuk melaporkan bahwa menurut mereka upaya phising mungkin berhasil melewati pertahanan teknis perusahaan Anda. Apakah prosesnya jelas, sederhana dan nyaman digunakan? Apakah pengguna yakin bahwa laporan akan ditindaklanjuti?
- Berikan umpan balik dengan cepat tentang tindakan apa yang telah diambil, dan jelaskan bahwa kontribusi mereka membuat perbedaan.
- Pikirkan tentang bagaimana Anda dapat menggunakan saluran komunikasi informal (melalui rekan kerja, tim, atau papan pesan internal) untuk menciptakan lingkungan yang memudahkan pengguna untuk ‘meminta dengan lantang’ dukungan dan panduan ketika mereka menghadapi upaya phising.
- Hindari membuat hukuman atau budaya yang berorientasi pada kesalahan seputar phising. Penting bagi pengguna untuk merasa didukung untuk maju bahkan ketika mereka telah ‘mengklik’ dan kemudian percaya bahwa ada sesuatu yang mencurigakan.
Lapisan 3: Lindungi perusahaan dari efek email phising yang tidak terdeteksi
Pada poin ketiga pertahanan phising berlapis, adalah bagaimana menguraikan cara meminimalkan dampak email phising yang tidak terdeteksi.
Lindungi perangkat Anda dari malware
Malware sering disembunyikan di email phising, atau di situs web yang mereka tautkan. Perangkat yang terkonfigurasi dengan baik dan pertahanan titik akhir yang baik dapat menghentikan penginstalan malware, bahkan jika email diklik.
Ada banyak pertahanan lain terhadap malware dan Anda perlu mempertimbangkan kebutuhan keamanan dan cara kerja Anda untuk memastikan pendekatan yang baik.
Beberapa pertahanan khusus untuk ancaman tertentu (seperti menonaktifkan makro) dan beberapa mungkin tidak sesuai untuk semua perangkat (perangkat lunak anti-malware mungkin sudah diinstal sebelumnya di beberapa perangkat dan tidak diperlukan di perangkat lain). Terakhir, dampak malware pada sistem Anda yang lebih luas akan bergantung pada bagaimana sistem Anda disiapkan. Untuk informasi selengkapnya, lihat prinsip desain keamanan kami.
Bagaimana melakukannya?
- Cegah peretas menggunakan kerentanan yang diketahui dengan hanya menggunakan perangkat lunak dan perangkat yang didukung. Pastikan perangkat lunak dan perangkat selalu diperbarui dengan tambalan terbaru.
- Cegah pengguna menginstal malware secara tidak sengaja dari email phising, dengan membatasi akun administrator hanya untuk mereka yang membutuhkan hak istimewa tersebut. Orang dengan akun administrator tidak boleh menggunakan akun ini untuk memeriksa email atau menjelajahi web.
Lindungi pengguna Anda dari situs web berbahaya
Tautan ke situs web jahat sering menjadi bagian penting dari email phising. Namun, jika tautan tersebut tidak dapat membuka situs web, maka serangan tidak dapat dilanjutkan.
Bagaimana melakukannya?
- Sebagian besar browser modern dan terkini akan memblokir situs phising dan malware yang diketahui. Perhatikan bahwa ini tidak selalu terjadi pada perangkat seluler.
- perusahaan harus menjalankan layanan proxy, baik di rumah atau di cloud, untuk memblokir upaya apa pun untuk menjangkau situs web yang telah diidentifikasi sebagai hosting malware atau kampanye phising.
- perusahaan sektor publik harus menggunakan layanan DNS Sektor Publik, yang akan mencegah pengguna menyelesaikan domain yang diketahui berbahaya.
Lindungi akun Anda dengan autentikasi dan otorisasi yang efektif
Kata sandi adalah target utama peretas, terutama untuk akun dengan hak istimewa seperti akses ke informasi sensitif, menangani aset keuangan, atau mengelola sistem TI. Anda harus membuat proses masuk ke semua akun lebih tahan terhadap phising, dan membatasi jumlah akun dengan akses istimewa seminimal mungkin.
Bagaimana melakukannya?
- Tambahkan keamanan tambahan ke proses login Anda dengan menyiapkan autentikasi multi-faktor (MFA), yang juga disebut ‘Verifikasi Dua Langkah’ di beberapa layanan web. Memiliki faktor kedua berarti peretas tidak dapat mengakses akun hanya dengan menggunakan kata sandi yang dicuri.
- Pertimbangkan untuk menggunakan pengelola kata sandi, beberapa di antaranya dapat mengenali situs web asli dan tidak akan mengisi otomatis di situs web palsu. Demikian pula, Anda dapat menggunakan metode masuk tunggal (di mana perangkat mengenali dan masuk ke situs web nyata secara otomatis). Mengadopsi teknik ini berarti memasukkan kata sandi secara manual menjadi tidak biasa, dan pengguna dapat lebih mudah mengenali permintaan yang mencurigakan.
- Pertimbangkan untuk menggunakan mekanisme masuk alternatif (seperti biometrik atau kartu pintar) yang membutuhkan lebih banyak upaya untuk mencuri daripada kata sandi.
- Kerusakan yang dapat ditimbulkan peretas sebanding dengan hak istimewa yang dialokasikan untuk kredensial yang telah mereka curi. Berikan akses istimewa hanya kepada orang yang membutuhkannya untuk peran mereka. Tinjau ini secara teratur dan cabut hak istimewa jika tidak lagi diperlukan.
- Hapus atau tangguhkan akun yang tidak lagi digunakan, seperti saat anggota perusahaan Anda keluar atau pindah ke peran baru.
- Pertimbangkan untuk meninjau kebijakan kata sandi Anda. Melakukannya dapat (misalnya) mengurangi kemungkinan staf menggunakan kembali kata sandi di akun rumah dan kantor.
Lapisan 4: Menanggapi insiden dengan cepat
Semua perusahaan akan mengalami insiden keamanan di beberapa titik, jadi pastikan Anda dapat mendeteksinya dengan cepat, dan meresponsnya dengan cara yang terencana merupakan bagian dari pertahanan phising berlapis.
Deteksi insiden dengan cepat
Mengetahui tentang suatu insiden lebih cepat daripada nanti memungkinkan Anda untuk membatasi kerugian yang dapat ditimbulkannya.
Bagaimana melakukannya?
- Pastikan pengguna mengetahui sebelumnya bagaimana mereka dapat melaporkan insiden. Ingatlah bahwa mereka mungkin tidak dapat mengakses alat komunikasi normal jika perangkat mereka disusupi.
- Gunakan sistem logging keamanan untuk mengetahui insiden yang tidak diketahui pengguna Anda. Untuk mengumpulkan informasi ini, Anda dapat menggunakan alat pemantauan yang disertakan dalam layanan siap pakai (seperti panel keamanan email cloud), membangun tim internal, atau melakukan outsourcing ke layanan pemantauan keamanan terkelola.
- Setelah kemampuan pemantauan telah diatur, perlu terus diperbarui untuk memastikannya tetap efektif.
Demikian pemaparan secara menyeluruh mengenai pertahanan phising berlapis yang dapat diterapkan dalam sistem perusahaan, semoga dapat bermanfaat.
Baca lainnya:
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
- Layanan Phising Telegram
- Phising ChatGPT
- Phising Merek Terkenal
Sumber berita: