• March 10, 2025

Keamanan tradisional tidak dapat menghentikan serangan LOTL. Exabeam UEBA mengatasinya secara efektif.

Keamanan tradisional tidak dapat menghentikan serangan LOTL, tetapi Exabeam UEBA dapat menghancurkannya.

LOTL: Bersembunyi di Depan Mata

Serangan Living-Off-The-Land (LOTL) menggunakan alat, perangkat lunak, atau fitur yang sah untuk melakukan tindakan berbahaya. Alih-alih memperkenalkan malware eksternal atau alat yang tidak sah, penyerang memanfaatkan utilitas bawaan atau proses yang sudah ada, sehingga deteksi menjadi lebih sulit.

Bagaimana Serangan LOTL Melewati Pertahanan?

  • Membajak Alat Tepercaya: Penyerang menggunakan alat seperti PowerShell, Windows Management Instrumentation (WMI), atau PsExec untuk menjalankan kampanye mereka.
  • Tak Terlihat oleh Pertahanan Tradisional: Karena alat ini sah dan banyak digunakan, solusi keamanan tradisional tidak mendeteksi penggunaannya yang berbahaya.
  • Persistensi yang Licik: Teknik LOTL memungkinkan penyerang untuk bersembunyi dan bergerak lateral dalam jaringan tanpa memicu alarm.

Trik yang Tidak Ingin Dilihat oleh Penyerang LOTL

  • Menggunakan PowerShell untuk menjalankan skrip berbahaya
  • Menggunakan Windows Task Scheduler untuk mempertahankan keberadaan
  • Mengeksploitasi utilitas desktop jarak jauh atau makro MS Office untuk menjalankan kode

Meskipun teknik ini sulit dideteksi dengan alat berbasis tanda tangan, Exabeam UEBA mengungkap ancaman ini seperti belum pernah terjadi sebelumnya.

Exabeam Behavior Analytics: Keunggulan Anda Melawan Serangan LOTL

Exabeam UEBA adalah rahasia dalam melawan penyerang yang bersembunyi. Platform ini memungkinkan tim keamanan untuk mendeteksi anomali halus dalam perilaku pengguna dan entitas, bahkan saat penyerang bersembunyi di depan mata.

  1. Menemukan Anomali yang Tidak Terdeteksi oleh yang Lain

Exabeam UEBA membangun baseline dinamis untuk setiap pengguna dan entitas dalam organisasi Anda. Baseline ini menangkap pola aktivitas normal sehingga platform dapat mendeteksi penyimpangan, seperti:

  • Seorang pengguna yang belum pernah menjalankan skrip sebelumnya tiba-tiba menggunakan PowerShell
  • Transfer file dari endpoint atau server
  • Koneksi desktop jarak jauh pada jam tidak biasa atau dari lokasi yang tidak dikenal
  1. Menyaring Kebisingan dengan Konteks

Saat Exabeam UEBA mendeteksi aktivitas mencurigakan, platform ini memberikan informasi kontekstual yang kaya kepada analis pusat operasi keamanan (SOC). Ini mencakup pengguna atau entitas yang terlibat, tindakan spesifik yang ditandai, dan skor risiko. Analis mendapatkan gambaran lengkap, sehingga investigasi menjadi lebih cepat dan akurat.

  1. Pergerakan Lateral? Tidak di Bawah Pengawasan Kami

Serangan LOTL sering kali melibatkan pergerakan lateral saat penyerang menavigasi jaringan. Exabeam UEBA memantau interaksi pengguna dan entitas, menyoroti akses yang tidak biasa atau penggunaan sumber daya yang menunjukkan pergerakan lateral.

  1. Mengungkap Ancaman Orang Dalam

Baik akun orang dalam yang dikompromikan maupun karyawan yang berperilaku jahat, Exabeam UEBA mengungkap perilaku yang tidak sesuai dengan karakteristik mereka, seperti:

  • Mengakses data yang belum pernah diakses sebelumnya
  • Mencoba meningkatkan hak istimewa tanpa riwayat sebelumnya
  • Pergerakan lateral dengan akses pertama kali ke sistem dan host baru
  1. Meningkatkan Deteksi dengan Integrasi Pihak Ketiga

Exabeam UEBA terintegrasi dengan manajemen informasi dan peristiwa keamanan (SIEM) serta orkestrasi keamanan, otomatisasi, dan respons (SOAR) untuk memperkaya peringatan dan mengotomatisasi respons. Sebagai vendor operasi keamanan pertama dan satu-satunya yang mendukung Open API Standard (OAS), Exabeam mempermudah integrasi alat keamanan pihak ketiga. Ini berarti serangan LOTL tidak hanya dideteksi tetapi juga dihentikan dengan cepat.

Skenario Dunia Nyata: Mendeteksi LOTL dengan Exabeam

Bayangkan sebuah skenario di mana akun pengguna yang sah menjalankan skrip PowerShell untuk mengunduh file dari alamat IP eksternal. Bagi alat keamanan tradisional, aktivitas ini tidak akan terdeteksi karena PowerShell adalah alat yang sah. Namun, Exabeam UEBA mengetahui bahwa pengguna ini belum pernah menjalankan PowerShell dengan cara ini sebelumnya dan menandai perilaku tersebut sebagai anomali. Dengan menghubungkan kejadian ini dengan aktivitas lain seperti waktu login yang tidak biasa atau upaya pergerakan lateral, Exabeam dapat membantu analis mengungkap serangan LOTL yang sedang berlangsung sebelum terlambat.

Mengapa Exabeam New-Scale Security Operations Platform adalah Pengubah Permainan

Platform Operasi Keamanan Skala Baru Exabeam dengan kemampuan UEBA terdepan di industri memberi tim keamanan kekuatan untuk:

  • Mendeteksi serangan tersembunyi seperti LOTL secara proaktif
  • Mengurangi kelelahan akibat peringatan dengan hanya memberi tahu perilaku yang benar-benar anomali
  • Meningkatkan deteksi dan respons ancaman dengan konteks dan otomatisasi

Dengan berfokus pada perilaku daripada aturan statis atau tanda tangan, pendekatan Exabeam memberikan pertahanan yang kuat terhadap teknik serangan modern, termasuk LOTL. Ketika penyerang menggunakan alat yang sudah dipercaya dalam organisasi, kemampuan Exabeam untuk mendeteksi penyimpangan dan mengungkap ancaman tersembunyi menjadi hal yang sangat diperlukan dalam strategi keamanan apa pun.

Berfokus pada Hasil

Selain kemampuan UEBA terdepan di industri, Exabeam membantu pelanggan fokus pada hasil keamanan yang positif. Outcomes Navigator memberikan nilai luar biasa bagi pelanggan kami dengan memungkinkan mereka melihat bagaimana cakupan keamanan mereka sesuai dengan taktik, teknik, dan prosedur (TTP) MITRE ATT&CK®.

Exabeam Outcomes Navigator adalah alat dalam New-Scale Security Operations Platform yang membantu tim keamanan menilai seberapa baik lingkungan mereka dikonfigurasi untuk melindungi dari ancaman tertentu, mengidentifikasi potensi celah dalam cakupan, dan memberikan rekomendasi tentang cara meningkatkan postur keamanan mereka dengan menyelaraskan sumber data mereka dengan kasus penggunaan keamanan yang umum. Pada dasarnya, alat ini berfungsi sebagai cara untuk memvisualisasikan dan mengukur efektivitas konfigurasi keamanan mereka terhadap ancaman yang diketahui.

Serangan LOTL termasuk dalam kategori “Defense Evasion” dalam kerangka kerja ATT&CK. Outcomes Navigator mengukur terhadap 44 TTP berbeda dalam kategori ini dan memberikan rekomendasi tentang sumber data tambahan yang dapat meningkatkan cakupan Anda terhadap jenis serangan tertentu.

Outcomes Navigator assesses security coverage and suggests additional data sources to improve coverage over time.

Gambar 1: Outcomes Navigator menilai cakupan keamanan dan menyarankan sumber data tambahan untuk meningkatkan cakupan seiring waktu.

Platform LogRhythm? Bukan Masalah!

Jika Anda adalah pelanggan LogRhythm, kini Anda dapat melihat manfaat langsung dari penggabungan dengan Exabeam. Dalam beberapa bulan saja, kami telah menghadirkan deteksi UEBA terdepan di industri ke dalam platform LogRhythm melalui LogRhythm Intelligence. LogRhythm Intelligence adalah mesin deteksi UEBA berbasis cloud di backend yang menghadirkan analitik perilaku langsung ke antarmuka platform LogRhythm yang sudah Anda kenal.

Kesimpulan: Ini Wilayah Saya

Serangan Living-off-the-land (LOTL) menjadi tantangan besar bagi keamanan tradisional. Namun, dengan Exabeam New-Scale Security Operations Platform dan kemampuan UEBA-nya, Anda dapat mendeteksi serta merespons ancaman tingkat lanjut ini. Dengan analitik perilaku berbasis AI, Exabeam tidak hanya melindungi dari taktik LOTL, tetapi juga membantu tim keamanan tetap selangkah lebih maju menghadapi ancaman yang terus berkembang.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. LogRhythm menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.

Pelajari lebih lanjut di logrhythm.ilogoindoneia.com dan konsultasikan kebutuhan IT Anda dengan kami!