Saya baru dapet slide presentasi Florian Roth tentang ransomware resistance. Florian Roth ini peneliti keamanan dari Nextron. Pada slide tersebut dia cerita langkah apa saja yang dapat kita lakukan dalam menghadapi ransomware. Dia bagi 3: protection, resistence dan resilience. Secara umum protection (perlindungan) dari ransomware menggunakan, antivirus, sandbox dan EDR (Endpoint Detection & response). Resistence yang dia maksud adalah tindakan pencegahan yang perlu dilakukan agar tidak terkena ransomware. Resilience: adalah strategi pemulihan bila terkena serangan ransomware.
Dijelaskan juga Ransomware kill chain: metoda delivery, metoda infeksi dan penyebaran. Beberapa teknik pencegahan yang bisa dilakukan diantaranya:
-
Backup and Restore Process
-
Windows Defender Ransomware Protection
-
Block Macros
-
Block Windows Binary Access to Internet
-
Filter Attachments Level 1
-
Filter Attachments Level 2
-
Use Web Proxies
-
Block Executable Downloads
-
Enforce UAC Prompt
-
Remove Admin Privileges
-
Restrict Workstation Communication
-
Sandboxing Email Input
-
Execution Prevention
-
Change Default “Open With” to Notepad
-
Restrict program execution
-
Sysmon
-
VSSAdmin Rename
-
Disable WSH
-
Folder Redirection
-
Remove Backup Server from Domain
-
Multi-Factor-Authentication (MFA)
Tindakan pencegahan ini berdasarkan tingkat kesulitan implementasinya dibagi jadi kategori mudah (low complexity) dan sulit (high complexity). Contoh yang high complexity yaitu: filter attachment dan block program executions. Florian memberi juga contoh best practice dan worst practice komunikasi di jaringan. Best practice diantarnaya:
- menggunakan proxy yang melakukan filtering,
- blok download file executables
- blok komunikasi workstation to workstation
Florian roth juga menampilkan rekap jenis2 ransomware, metoda enkripsi yang digunakan, dan tindakan pencegahannya
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/edit#gid=0
Semoga bermanfaat!