Dalam lingkungan telekomunikasi, penggunaan protokol Signaling System No.7 (SS7) sangat penting, terutama pada jaringan 2G. Jika Anda penasaran bagaimana SS7 bekerja, protokol SS7 adalah standar telekomunikasi internasional yang digunakan untuk mengatur jaringan telepon publik yang dipertukarkan (PSTN) dan salah satu layanan yang ditawarkan adalah untuk Layanan Pesan Singkat (SMS). Salah satu kekhawatiran umum adalah bahwa penyerang mencoba mengeksploitasi kerentanannya pada protokol SS7 yang dapat membahayakan komunikasi suara dan SMS.

Untuk mendeteksi serangan SS7, Positive Technologies mengembangkan solusi yang disebut Telecom Attack Discovery (TAD). Karena sifat dan cakupan serangan yang dapat melintas dari teknologi informasi (IT) ke teknologi operasional (OT), kami telah mengimplementasikan TAD ke dalam LogRhythm SIEM untuk membantu melawan serangan SS7.

 

Cara Mendeteksi dan Merespons Serangan SS7 pada Jaringan dengan Integrasi TAD LogRhythm SIEM

Berikut adalah empat kerentanannya SS7 yang paling umum yang dapat dideteksi oleh pelanggan dan organisasi telekomunikasi menggunakan integrasi TAD pada LogRhythm SIEM:

 

1. Deteksi Paket Interkoneksi yang Dilarang

Penyerang dapat mengeksploitasi pesan yang diterima dari tautan yang saling terhubung dengan jaringan lain, tanpa adanya kesepakatan eksplisit untuk melakukannya. Berikut adalah beberapa contoh kerusakan yang dapat ditimbulkan oleh jenis serangan SS7 ini:

Penolakan Layanan (DoS):

• Gangguan operasi node jaringan
• Gangguan layanan langganan telepon

Penipuan:

• Penggunaan ilegal sumber daya atau layanan jaringan
• Transfer uang dari akun pelanggan
• Pengalihan panggilan
• Modifikasi profil pelanggan

Penyadapan Data:

• Pengungkapan, penyadapan, atau pencurian informasi pelanggan seperti lokasi, pesan teks, dan percakapan
• Akses ke rincian konfigurasi jaringan

Untuk semua contoh ini, LogRhythm SIEM memiliki kemampuan pemberitahuan otomatis dan alarm menggunakan Risk-Based Priority (RBP) untuk mendeteksi jenis serangan ini, dan pemberitahuan akan dikirimkan kepada pengguna atau grup yang tepat.

 

2. Menggunakan TAD dalam Mengidentifikasi Kerentanannya SS7

Dengan mengintegrasikan Telecom Attack Discovery (TAD) ke dalam LogRhythm SIEM, organisasi dapat melakukan deteksi lebih proaktif terhadap serangan SS7 yang dapat terjadi di jaringan mereka. Pendekatan ini membantu mengidentifikasi potensi serangan lebih cepat, mengurangi kerusakan, dan memitigasi ancaman sebelum semakin parah.

 

3. Tindak Lanjut dan Respons Insiden

Setelah serangan terdeteksi, LogRhythm memungkinkan respons insiden yang lebih cepat dengan menyediakan otomatisasi alur kerja untuk tindakan yang sesuai. Ini termasuk penutupan akses yang tidak sah, pemblokiran tautan yang terinfeksi, dan pengamanan data pelanggan untuk mencegah penyebaran lebih lanjut dari ancaman.

 

4. Pelaporan dan Kepatuhan

LogRhythm SIEM memfasilitasi pelaporan terperinci terkait serangan SS7 yang terdeteksi, memberikan informasi penting untuk kepatuhan regulasi serta analisis pasca-kejadian, sehingga memastikan semua langkah mitigasi terdokumentasi dengan baik.

Integrasi TAD dalam LogRhythm SIEM sangat bermanfaat bagi organisasi telekomunikasi dalam mengidentifikasi, merespons, dan memitigasi potensi serangan SS7 secara efisien.

 

2. Deteksi Paket dari Jaringan Tidak Sah yang Memerlukan Jawaban

Serangan ini mengeksploitasi pesan yang seharusnya diterima terutama terkait dengan pelanggan roaming (pengunjung) yang berasal dari jaringan rumah pelanggan tersebut dan memerlukan jawaban. Dampak dari serangan ini adalah pencurian data.

 

Dampak Serangan:

• Penyadapan Data: Informasi pelanggan, seperti lokasi, pesan teks, dan percakapan, dapat disadap atau dicuri tanpa izin.

LogRhythm SIEM dengan integrasi TAD dapat mendeteksi paket yang berasal dari jaringan yang tidak sah dan memerlukan jawaban. Sistem ini membantu dalam mengidentifikasi dan mengamankan jalur komunikasi yang terancam untuk mencegah kebocoran data lebih lanjut.

3. Deteksi Paket Lokasi Mencurigakan

Serangan SS7 ini mengeksploitasi pesan yang terkait dengan aktivitas pelanggan roaming (selain pendaftaran pelanggan) dari jaringan yang sedang dikunjungi oleh pelanggan tersebut. Alamat bagian kontrol koneksi sinyal panggilan (SCCP) pada pesan-pesan ini seharusnya mencocokkan alamat Visitor Location Register (VLR) yang sedang berlaku. Dampak dari serangan ini adalah pencurian data.

Dampak Serangan:

• Penyadapan Data: Informasi pelanggan, seperti lokasi, pesan teks, dan percakapan, bisa disadap atau dicuri.

Dengan menggunakan LogRhythm SIEM yang terintegrasi dengan TAD, serangan ini dapat dideteksi secara efisien. Sistem ini memonitor aktivitas roaming dan memverifikasi kesesuaian alamat SCCP dengan alamat VLR yang relevan, serta memberikan peringatan jika ada ketidaksesuaian yang mencurigakan.

 

4. Deteksi Upaya Pendaftaran Mencurigakan

Serangan ini mengeksploitasi pesan yang terlibat langsung dalam pendaftaran pelanggan, seperti UL (Update Location) dan Serving Area Interface (SAI). Pesan-pesan ini seharusnya hanya diterima terkait dengan pelanggan roaming yang berasal dari jaringan yang sedang dikunjungi oleh pelanggan tersebut. Dampak dari serangan ini adalah Penolakan Layanan (DoS) dan penipuan.

Dampak Serangan:

• Penolakan Layanan (DoS): Mengganggu proses pendaftaran pelanggan, yang dapat menyebabkan ketidakmampuan pelanggan untuk mengakses layanan.
• Penipuan: Penyerang dapat memalsukan identitas atau mengambil alih pendaftaran pelanggan untuk melakukan aktivitas ilegal seperti pencurian identitas atau penyalahgunaan akun.

Dengan integrasi LogRhythm SIEM dan TAD, serangan ini dapat terdeteksi dengan memonitor upaya pendaftaran yang mencurigakan, terutama yang berasal dari jaringan yang tidak sah atau tidak sesuai dengan lokasi pelanggan yang sebenarnya. Peringatan otomatis dapat dikirimkan ketika ada upaya pendaftaran yang mencurigakan untuk memitigasi potensi ancaman.

 

Identifikasi dan Respons Terhadap Serangan SS7 di Lingkungan Telco

Menyediakan pemantauan 24×7 adalah langkah penting lainnya dalam mendeteksi serangan SS7 di lingkungan telekomunikasi. Layout Event Dashboard dan Analyze Dashboard dari LogRhythm SIEM memanfaatkan blok bangunan yang sama (widget) untuk menyajikan kasus penggunaan yang membantu analis dalam mengidentifikasi dan menyelidiki aktivitas. LogRhythm SIEM menyediakan Telco Security Dashboard yang mengumpulkan semua informasi dari TAD dan menampilkannya dalam bentuk live. Dengan cara ini, pelanggan dapat dengan mudah memantau ketidaknormalan yang terpicu di lingkungan OT telco mereka.

Kemampuan Pelaporan Terjadwal

Kemampuan pelaporan yang komprehensif dari LogRhythm SIEM menggabungkan kenyamanan laporan yang telah dikemas sebelumnya dengan fleksibilitas laporan kustom untuk memungkinkan distribusi data yang mudah. LogRhythm SIEM dapat dikonfigurasi untuk mengirim pemberitahuan dan laporan langsung kepada individu, grup, direktori bersama, helpdesk — atau kombinasi dari semuanya — memungkinkan penyebaran informasi yang efektif di seluruh tenaga kerja yang tersebar. Laporan dapat dijadwalkan untuk pengiriman atau dihasilkan sesuai permintaan. Laporan ini dapat dengan mudah diakses melalui Personal Dashboard waktu nyata, pemberitahuan email, atau alat ekspor seperti file Excel dan PDF.

 

Merespons Serangan SS7 dengan SOAR

LogRhythm SIEM dengan Case Management dan SmartResponse automation™ menyederhanakan respons insiden dan memungkinkan orkestrasi keamanan melalui alur kerja analis yang sudah ditentukan, alat kolaborasi tim, dan proses eskalasi bawaan. Untuk membantu mengurangi dampak serangan SS7, SmartResponse memungkinkan otomatisasi respons insiden yang meningkatkan time to response (TTR). Analis dapat menjalankan tindakan otomatis sepenuhnya, seperti pembuatan kasus atau penugasan playbook.

 

Amankan Organisasi Telekomunikasi Anda dengan LogRhythm SIEM

Dengan semakin meningkatnya jumlah serangan siber terhadap organisasi telekomunikasi, sangat penting untuk mematangkan operasi keamanan Anda dengan mengimplementasikan solusi Security Orchestration, Automation, and Response (SOAR) yang dapat menyederhanakan investigasi ancaman. Kemampuan SOAR dari LogRhythm Indonesia mengurangi langkah-langkah dalam alur kerja dengan memecah kasus penggunaan menjadi bagian-bagian yang lebih mudah dikelola. Seiring tim Anda menstandarisasi proses dan menjadi lebih efisien, Anda dapat menangani kasus penggunaan yang lebih kompleks yang relevan dengan telekomunikasi dalam skala besar.