1. MENGAMANKAN WINDOWS
a. Membuat Account Administrators Baru
Membuat account dengan Previlege Administrators baru dengan WAJIB mengisi kolom description yang berbeda dengan User name,
kolom description merupakan caption yang akan tampil Ketika kita akan login di windows, jika tidak di isi maka default akan menampilkan User Name dan jika User Name diketahui oleh orang lain maka server kita dapat dengan mudah di Brute Force untuk mendapatkan passwordnya.
Dimana metode brute force sipelaku harus mengetahui User Name terlebih dahulu untuk mempermudah mendapatkan password target.
Membuat User name dengan nama yang sulit dilihat secara kasat mata, kalau saya bisanyanya menggunakan underscore “_” atau Spasi “ “ dengan jumlah yang cukup banyak secara berturut seperti berikut “_______” (ada berapa underscore yang tampak ?)
Membuat password yang komplek/rumit dan user name yang komplek/rumit.
Selama ini kita cuma berpikiran mengamankan password saja, padahal merahasiakan user name itu tidak kalah penting, karena login harus menggunakan 2 parameter, yakni user name dan password.
b. Disable Account Administrator Bawaan Windows (Default)
Secara Default Windows memiliki account dengan Previlege Administrators dengan nama Administrator, account ini tidak dapat dihapus, namun dapat dinon aktifkan, disable Account ini.
Account Administrator jika diaktifkan akan mempermudah pelaku melakukan brute force password atas account tersebut.
c. Hindari menggunakan Remote Desktop Windows
Bekerja secara remot merupakan kebutuhan penting bagi Developer dan Admin Server, Namun hal ini menimbulkan celah security jika tidak hati-hati dalam melaksanakannya.
Upayakan untuk pekerjaan Remote meremote Server tidak menggunakan Remote Desktop Windows, dan Disable Fitur ini dan pastikan tidak ada satupun user account yang dapat login via remote desktop, terlebih lagi klau kita tidak mangamankan User Administrator.
Banyak Kasus kebobolan server widnows melalui cara mengambil alih windows via remote desktop
2. MENGAMANKAN JARINGAN
Gunakan Firewall untuk mengamankan jaringan, firewall dapat menggunakan yang open source jika terbatas budget, intinya Firewall harus minimal dapat mendeteksi dan memblock jika terjadi serangan brute force attack dan SQL Injection.
Menggunakan firewall ini juga dapat mengurangi beban server dalam menangkis serangan dari luar.
Sekelas PDN saya rasa pasti ada Firewall, tapi kenapa bisa lolos, berikut analisa saya :
- Firewall tidak disetting untuk sensifif ngeblock adanya brute force attack, DDOS Attack, SQL Injection, dll
- Port Remote Desktop Windows di allow untuk bisa lewat
- Limit Traffic IN/OUT tidak dibatasi.
3. RAJIN MEMERIKSA SERVER
Administrator Sistem harus rajin memantau kondisi server diantaranya :
- Memantau Kondisi Fisik Perangkat Keras
- Memantau Kondisi beban Prosessor, Kondisi Storage, Memory Free & Used
- Memantau Event Viewer
- Memantau Firewall dan Router
- Memantau Proses Backup
- Mengupdate Sistem Operasi, dll
4. MENGAMANKAN REMOTE SERVER
Seperti yang telah disampaikan, remote server adalah kebutuhan pekerajaan di era 4.0 ini, semua dilakukan dari jarak jauh agar mempercepat waktu dan menghemat biaya, untuk itu perlu dilakukan pengamanan, saya menyebutnya SERVER REMOTE DMZ (Demiliterisasi Zone), dengan topologi seperti berikut :
Server DMZ ketika diremote oleh user terbatas hanya sebagai Guest sehingga tidak dapat menginstal aplikasi, mematikan service antivirus, menghapus log dsb, di Server DMZ dipersiapkan aplikasi remote khusus lagi untuk masuk ke Server Utama, dan di server DMZ di install aplikasi perekam desktop (CCTV).
V. KENAPA SERANGAN PDN MEMATIKAN DAN BEREFEK LUAS
Berikut adalah Gambaran topologi serderhana PDN menurut Analisa saya :
Dengan topologi ini memang dapat menghemat pengadaan server, menghemat tempat, menghemat Listrik, dsb namun yang terjadi dalam case PDN ini adalah MAIN SERVER terkena serangan dan File-File Image Virtual Machine semuanya di Encrypted, sehingga semua VM tidak dapat berjalan, hal ini akan berbeda efeknya jika semua tenant menggunakan server on promise (server fisik).
Dan kenapa jadi mematikan, saya rasa karena telat dan tidak tepat penanganannya, Ketika terdeteksi sistem di tenant mulai tidak berjalan, harusnya segera di cek server dan jangan ragu mematikan paksa server, toh para tenant juga sudah tidak dapat mengakses ke server.
VI. KESIMPULAN
Berdasarkan analisa saya, saya menyimpulkan kalau pertama kali serangan bukan kepada windows defender, melainkan melalui jalur Port dan Aplikasi REMOTE DESKTOP Windows, yang mana jalur ini diaktifkan oleh pengelola Admin Server dalam memantau dan memilihara server, dengan brute Force Attack, dengan user name yang mudah diketahui maka password serumit apapun dapat didapatkan dengan mudah, setelah Hacker dapat Password tentu dia dapat masuk tanpa diketahui oleh firewall dan dapat mematikan semua pertahanan di server, bahkan sampai mengganti password server itu sendiri.
Terkait PDN yang sudah terenkripsi oleh ransomware, masih ada satu peluang terakhir tanpa harus mencari dekriptor atau membayar tebusan untuk menyelamatkan datanya dengan menggunakan Aplikasi Disk Recovery, memang akan memakan waktu yang cukup lumayan mengingat data dan storage yang besar.
VII. PENUTUP
Demikian Analisa dan pandangan saya terhadap kasus serangan PDN semoga kejadian serupa tidak terjadi Kembali dan dapat diatasi jika terjadi serangan, jujur serangan terhadap PDN sangat memalukan buat Negara kita dimata Negara Lain.
Terima Kasih.
#ransomware
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
